Sdílet prostřednictvím


Přehled řešení potíží s připojením

S nárůstem sofistikovaných a vysoce výkonných úloh v Azure je zásadní potřeba zvýšit viditelnost a kontrolu nad provozním stavem složitých sítí, které tyto úlohy provozují. Tyto složité sítě se implementují pomocí skupin zabezpečení sítě, bran firewall, tras definovaných uživatelem a prostředků poskytovaných Azure. Složité konfigurace usnadňují řešení potíží s připojením.

Funkce řešení potíží s připojením služby Azure Network Watcher pomáhá zkrátit dobu diagnostiky a řešení potíží s připojením k síti. Získané výsledky mohou poskytnout informace o hlavní příčině problému s připojením a o tom, zda je příčinou problém s platformou nebo konfigurací uživatele.

Řešení potíží s připojením zkracuje střední dobu řešení (MTTR) tím, že poskytuje komplexní metodu provádění všech kontrol významných připojení k detekci problémů souvisejících se skupinami zabezpečení sítě, trasami definovanými uživatelem a blokovanými porty. Poskytuje následující výsledky s použitelnými přehledy, kde je k dispozici podrobný průvodce nebo odpovídající dokumentace pro rychlejší řešení:

  • Test připojení s různými cílovými typy (virtuální počítač, identifikátor URI, plně kvalifikovaný název domény nebo IP adresa)
  • Problémy s konfigurací, které mají vliv na dostupnost
  • Všechny možné směrování podle cest směrování ze zdroje do cíle
  • Latence směrování podle segmentu směrování
  • Latence (minimum, maximum a průměr mezi zdrojem a cílem)
  • Grafické zobrazení topologie ze zdroje do cíle
  • Počet testů selhal během kontroly řešení potíží s připojením

Podporované typy zdroje a cíle

Řešení potíží s připojením poskytuje možnost zkontrolovat připojení TCP nebo ICMP z některého z těchto prostředků Azure:

  • Virtuální počítače
  • Škálovací sady virtuálních počítačů
  • Instance služby Azure Bastion
  • Aplikační brány (s výjimkou v1)

Důležité

Řešení potíží s připojením vyžaduje, aby byl na virtuálním počítači, ze kterého řešíte potíže, nainstalované rozšíření virtuálního počítače agenta Network Watcher. Rozšíření není na cílovém virtuálním počítači povinné.

Řešení potíží s připojením může testovat připojení k některému z těchto cílů:

  • Virtuální počítače
  • Plně kvalifikované názvy domén (FQDN)
  • Identifikátory URI (Uniform Resource Identifier)
  • Adresy IP

Problémy zjištěné připojením

Řešení potíží s připojením může zjistit následující typy problémů, které můžou mít vliv na připojení:

  • Vysoké využití procesoru virtuálního počítače
  • Vysoké využití paměti virtuálního počítače
  • Pravidla brány firewall virtuálního počítače (hosta) blokující provoz
  • Selhání překladu DNS
  • Chybně nakonfigurované nebo chybějící trasy
  • Pravidla skupiny zabezpečení sítě (NSG), která blokují provoz
  • Nemožnost otevřít soket na zadaném zdrojovém portu
  • Chybějící položky protokolu překladu adres pro okruhy Azure ExpressRoute
  • Servery nenaslouchají na určených cílových portech

Response

Následující tabulka uvádí vlastnosti vrácené po spuštění řešení potíží s připojením.

Vlastnost Popis
ConnectionStatus Stav kontroly připojení Možné výsledky jsou dostupné a nedostupné.
AvgLatencyInMs Průměrná latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný).
MinLatencyInMs Minimální latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný).
MaxLatencyInMs Maximální latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný).
SondySent Počet sond odeslaných během kontroly Maximální hodnota je 100.
Testy se nezdařily. Počet testů, které selhaly během kontroly Maximální hodnota je 100.
Směrování Směrování podle cesty směrování ze zdroje do cíle
Hops[]. Typ Typ prostředku Možné hodnoty jsou: Source, VirtualAppliance, VnetLocal a Internet.
Hops[]. Id Jedinečný identifikátor segmentu směrování.
Hops[]. Adresa IP adresa segmentu směrování.
Hops[]. ResourceId ID prostředku segmentu směrování, pokud je segment směrování prostředkem Azure. Pokud se jedná o internetový prostředek, resourceID je Internet.
Hops[]. NextHopIds Jedinečný identifikátor dalšího segmentu směrování.
Hops[]. Vydává Kolekce problémů, ke kterým došlo při kontrole segmentu směrování. Pokud nedošlo k žádným problémům, hodnota je prázdná.
Hops[]. Problémy[]. Původ V aktuálním segmentu směrování, kde došlo k problému. Možné hodnoty:
Příchozí – Problém je na odkazu z předchozího segmentu směrování na aktuální segment směrování.
Odchozí – Problém je na odkazu z aktuálního segmentu směrování na další segment směrování.
Místní – Problém se týká aktuálního segmentu směrování.
Hops[]. Problémy[]. Závažnost Závažnost zjištěného problému. Možné hodnoty jsou: Chyba a Upozornění.
Hops[]. Problémy[]. Typ Typ zjištěného problému. Možné hodnoty:
PROCESOR
Paměť
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hops[]. Problémy[]. Kontext Podrobnosti týkající se zjištěného problému
Hops[]. Problémy[]. Kontext[].key Klíč páru klíč-hodnota vrácený.
Hops[]. Problémy[]. Kontext[].value Vrácená hodnota páru klíč-hodnota
NextHopAnalysis.NextHopType Typ dalšího segmentu směrování. Možné hodnoty:
HyperNetGateway
Internet
Nic
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress IP adresa dalšího segmentu směrování.
Identifikátor prostředku směrovací tabulky přidružené k vrácené trase. Pokud vrácená trasa neodpovídá žádným uživatelům vytvořeným trasám, bude toto pole řetězcová systémová trasa.
SourceSecurityRuleAnalysis.Results[]. Profil Diagnostický profil konfigurace sítě
SourceSecurityRuleAnalysis.Results[]. Profile.Source Zdroj provozu. Možné hodnoty jsou: *, IP adresa/CIDR a značka služby.
SourceSecurityRuleAnalysis.Results[]. Profile.Destination Cíl provozu. Možné hodnoty jsou: *, IP adresa/CIDR a značka služby.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Cílový port provozu. Možné hodnoty jsou: * a jeden port v rozsahu (0 – 65535).
SourceSecurityRuleAnalysis.Results[]. Profile.Protocol Protokol, který se má ověřit. Možné hodnoty jsou: *, TCP a UDP.
SourceSecurityRuleAnalysis.Results[]. Profile.Direction Směr provozu. Možné hodnoty jsou: Odchozí a Příchozí.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Výsledek skupiny zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Seznam výsledků diagnostiky skupin zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult Síťový provoz je povolený nebo zakázaný. Možné hodnoty jsou: Povolit a Odepřít.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo ID prostředku síťové karty nebo podsítě, na kterou se používá skupina zabezpečení sítě.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule Odpovídající pravidlo zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action Síťový provoz je povolený nebo zakázaný. Možné hodnoty jsou: Povolit a Odepřít.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName Název odpovídajícího pravidla zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId ID skupiny zabezpečení sítě.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Seznam výsledků vyhodnocení pravidel zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched Hodnota označuje, jestli se cíl shoduje. Logické hodnoty.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Hodnota označuje, jestli se cílový port shoduje. Logické hodnoty.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Jméno Název pravidla zabezpečení sítě
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched Hodnota označuje, jestli se protokol shoduje. Logické hodnoty.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Hodnota označuje, jestli se zdroj shoduje. Logické hodnoty.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Hodnota označuje, jestli se zdrojový port shoduje. Logické hodnoty.
DestinationSecurityRuleAnalysis Stejné jako formát SourceSecurityRuleAnalysis.
SourcePortStatus Určuje, zda je port ve zdroji dostupný nebo ne. Možné hodnoty:
Neznámý
Dosažitelný
Nestabilní
NoConnection
Časový limit
DestinationPortStatus Určuje, zda je port v cíli dostupný nebo ne. Možné hodnoty:
Neznámý
Dosažitelný
Nestabilní
NoConnection
Časový limit

Následující příklad ukazuje problém nalezený v segmentu směrování.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Typy chyb

Řešení potíží s připojením vrací typy chyb o připojení. Následující tabulka obsahuje seznam možných vrácených typů chyb.

Typ Popis
Procesor Vysoké využití procesoru
Memory (Paměť) Vysoké využití paměti.
GuestFirewall Provoz je zablokovaný kvůli konfiguraci brány firewall virtuálního počítače.

Příkaz ping tcp je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama odpoví na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. Tato událost není protokolována. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.
DNSResolution Překlad DNS pro cílovou adresu se nezdařil.
NetworkSecurityRule Provoz je blokovaný pravidlem skupiny zabezpečení sítě (vrátí se pravidlo zabezpečení).
UserDefinedRoute Provoz se zahodí kvůli definovanému uživateli nebo systémové trase.

Další krok

Pokud chcete zjistit, jak pomocí řešení potíží s připojením testovat a řešit potíže s připojeními, pokračujte takto: