Řešení potíží s Azure Load Balancer odezvami back-endového provozu

Tato stránka obsahuje informace o řešení potíží s Azure Load Balancer dotazy.

Virtuální počítače za nástrojem pro vyrovnávání zatížení přijímají nerovnoměrnou distribuci provozu

Pokud máte podezření, že členové back-endového fondu přijímají provoz, může to být způsobeno následujícími příčinami. Azure Load Balancer distribuuje provoz na základě připojení. Nezapomeňte zkontrolovat distribuci provozu podle připojení, a ne podle paketů. Ověřte to pomocí karty Distribuce toku na předkonfigurovaném řídicím panelu Load Balancer Insights.

Azure Load Balancer nepodporuje skutečné vyrovnávání zatížení kruhového dotazování, ale podporuje distribuční režim založený na hodnotě hash.

Příčina 1: Máte nakonfigurovanou trvalost relací.

Použití režimu distribuce trvalosti zdroje může způsobit nerovnoměrnou distribuci provozu. Pokud tato distribuce není žádoucí, aktualizujte trvalost relace tak, aby se provoz distribuoval mezi všechny instance v back-endovém fondu, které jsou v pořádku. Přečtěte si další informace o distribučních režimech pro Azure Load Balancer.

Příčina 2: Máte nakonfigurovaný proxy server.

Klienti, kteří běží za proxy servery, mohou být z pohledu nástroje pro vyrovnávání zatížení považováni za jednu jedinečnou klientskou aplikaci.

Virtuální počítače za nástrojem pro vyrovnávání zatížení nereagují na provoz na nakonfigurovaný datový port

Pokud je virtuální počítač back-endového fondu uvedený jako v pořádku a reaguje na sondy stavu, ale stále se neúčastní vyrovnávání zatížení nebo nereaguje na přenos dat, může to být z následujících důvodů:

  • Virtuální počítač back-endového fondu nástroje pro vyrovnávání zatížení nenaslouchá na datovém portu

  • Skupina zabezpečení sítě blokuje port na virtuálním počítači back-endového fondu nástroje pro vyrovnávání zatížení

  • Přístup k nástroji pro vyrovnávání zatížení ze stejného virtuálního počítače a síťové karty

  • Přístup k front-endu internetového nástroje pro vyrovnávání zatížení z virtuálního počítače back-endového fondu zúčastněného nástroje pro vyrovnávání zatížení

Příčina 1: Virtuální počítač back-endového fondu nástroje pro vyrovnávání zatížení nenaslouchá na datovém portu

Pokud virtuální počítač nereaguje na přenos dat, může to být tím, že cílový port není otevřený na zúčastněném virtuálním počítači, nebo virtuální počítač na daném portu nenaslouchá.

Ověření a řešení

  1. Přihlaste se k back-endovému virtuálnímu počítači.

  2. Otevřete příkazový řádek a spuštěním následujícího příkazu ověřte, že na datovém portu naslouchá nějaká aplikace:

    netstat -an 
    
  3. Pokud port není uvedený ve stavu NASLOUCHÁ, nakonfigurujte správný port naslouchacího procesu.

  4. Pokud je port označený jako NASLOUCHÁ, zkontrolujte, jestli cílová aplikace na daném portu nemá žádné možné problémy.

Příčina 2: Skupina zabezpečení sítě blokuje port na virtuálním počítači back-endového fondu nástroje pro vyrovnávání zatížení

Pokud jedna nebo více skupin zabezpečení sítě nakonfigurovaných v podsíti nebo na virtuálním počítači blokuje zdrojovou IP adresu nebo port, virtuální počítač nemůže reagovat.

U veřejného nástroje pro vyrovnávání zatížení se ip adresa internetových klientů použije ke komunikaci mezi klienty a back-endovými virtuálními počítači nástroje pro vyrovnávání zatížení. Ujistěte se, že jsou IP adresy klientů povolené ve skupině zabezpečení sítě back-endového virtuálního počítače.

  1. Vypište skupiny zabezpečení sítě nakonfigurované na back-endovém virtuálním počítači. Další informace najdete v tématu Správa skupin zabezpečení sítě.

  2. V seznamu skupin zabezpečení sítě zkontrolujte, jestli:

    • Příchozí nebo odchozí provoz na datovém portu kolizí.

    • Pravidlo Odepřít všechny skupiny zabezpečení sítě u síťové karty virtuálního počítače nebo podsítě s vyšší prioritou než výchozí pravidlo, které povoluje sondy a provoz nástroje pro vyrovnávání zatížení (skupiny zabezpečení sítě musí povolit IP adresu nástroje pro vyrovnávání zatížení 168.63.129.16, což je port sondy).

  3. Pokud některé z pravidel blokuje provoz, odeberte a překonfigurujte tato pravidla tak, aby umožňovala přenos dat. 

  4. Otestujte, jestli virtuální počítač začal reagovat na sondy stavu.

Příčina 3: Přístup k internímu nástroji pro vyrovnávání zatížení ze stejného virtuálního počítače a síťového rozhraní

Pokud se vaše aplikace hostovaná na back-endovém virtuálním počítači interního nástroje pro vyrovnávání zatížení pokouší získat přístup k jiné aplikaci hostované ve stejném back-endovém virtuálním počítači přes stejné síťové rozhraní, jedná se o nepodporovaný scénář a selže.

Řešení

Tento problém můžete vyřešit některou z následujících metod:

  • Nakonfigurujte samostatné virtuální počítače back-endových fondů pro každou aplikaci.

  • Nakonfigurujte aplikaci na virtuálních počítačích se dvěma síťovými adaptéry, aby každá aplikace používala vlastní síťové rozhraní a IP adresu.

Příčina 4: Přístup k front-endu interního nástroje pro vyrovnávání zatížení z zúčastněného virtuálního počítače back-endového fondu nástroje pro vyrovnávání zatížení

Pokud je interní nástroj pro vyrovnávání zatížení nakonfigurovaný ve virtuální síti a jeden z back-endových virtuálních počítačů účastníka se pokouší získat přístup k internímu front-endu nástroje pro vyrovnávání zatížení, může dojít k selháním, když je tok namapován na původní virtuální počítač. Tento scénář není podporovaný.

Řešení

Existuje několik způsobů, jak tento scénář odblokovat, včetně použití proxy serveru. Vyhodnoťte Application Gateway nebo jiné proxy servery třetích stran (například nginx nebo haproxy). Další informace o Application Gateway najdete v tématu Přehled Application Gateway.

Podrobnosti

Interní nástroje pro vyrovnávání zatížení nepřekládají odchozí připojení na front-end interního nástroje pro vyrovnávání zatížení, protože obě jsou v privátním adresní prostoru IP adres. Veřejné nástroje pro vyrovnávání zatížení poskytují odchozí připojení z privátních IP adres v rámci virtuální sítě na veřejné IP adresy. U interních nástrojů pro vyrovnávání zatížení tento přístup zabraňuje potenciálnímu vyčerpání portů SNAT uvnitř jedinečného interního adresního prostoru IP adres, kde se překlad nevyžaduje.

Vedlejším efektem je, že pokud se odchozí tok z virtuálního počítače v back-endovém fondu pokusí o tok do front-endu interního nástroje pro vyrovnávání zatížení ve svém fondu a namapuje se zpět na sebe, obě části toku se neshodují. Protože se neshodují, tok selže. Tok bude úspěšný, pokud se tok nenamapoval zpět na stejný virtuální počítač v back-endovém fondu, který vytvořil tok na front-end.

Když se tok mapuje zpět na sebe, vypadá to, že odchozí tok pochází z virtuálního počítače do front-endu a odpovídající příchozí tok se zdá, že pochází z virtuálního počítače k sobě. Z pohledu hostovaného operačního systému se příchozí a odchozí část stejného toku uvnitř virtuálního počítače neshoduje. Zásobník PROTOKOLU TCP nerozpozná tyto poloviny stejného toku jako součást stejného toku. Zdroj a cíl se neshoduje. Když se tok mapuje na jakýkoli jiný virtuální počítač v back-endovém fondu, poloviny toku se shodují a virtuální počítač může na tok reagovat.

Příznakem pro tento scénář jsou přerušované vypršení časových limitů připojení, když se tok vrátí do stejného back-endu, ze kterého tok pochází. Mezi běžná alternativní řešení patří vložení vrstvy proxy za interní nástroj pro vyrovnávání zatížení a použití pravidel stylu Direct Server Return (DSR). Další informace najdete v tématu Více front-endů pro Azure Load Balancer.

Interní nástroj pro vyrovnávání zatížení můžete kombinovat s libovolným proxy serverem třetí strany nebo můžete použít interní Application Gateway pro scénáře proxy serveru s protokolem HTTP/HTTPS. I když byste mohli tento problém zmírnit pomocí veřejného nástroje pro vyrovnávání zatížení, výsledný scénář je náchylný k vyčerpání SNAT. Vyhněte se tomuto druhému přístupu, pokud není pečlivě spravovaný.

Další kroky

Pokud předchozí kroky problém nevyřeší, otevřete lístek podpory.