Diagnostika potíží se směrováním virtuálního počítače

V tomto článku se dozvíte, jak diagnostikovat problémy se směrováním zobrazením efektivních tras pro síťové rozhraní ve virtuálním počítači. Azure automaticky vytváří výchozí trasy pro každou podsíť virtuální sítě. Tyto výchozí trasy můžete přepsat definováním vlastních tras v směrovací tabulce a přidružením tabulky k podsíti. Efektivní trasy pro síťové rozhraní představují kombinaci výchozích tras Azure, vlastních tras, které definujete, a všech tras šířených z místní sítě přes bránu Azure VPN pomocí protokolu BGP (Border Gateway). Pokud s virtuálními sítěmi, síťovými rozhraními nebo směrováním začínáte, podívejte se na přehled virtuální sítě, síťové rozhraní a přehled směrování.

Scénář

Pokusíte se připojit k virtuálnímu počítači, ale připojení selže. Pokud chcete zjistit, proč se nemůžete připojit k virtuálnímu počítači, můžete zobrazit efektivní trasy pro síťové rozhraní pomocí webu Azure Portal, PowerShellu nebo Azure CLI.

Následující kroky předpokládají, že máte existující virtuální počítač ke zobrazení efektivních tras. Pokud ještě nemáte existující virtuální počítač, nejprve nasaďte virtuální počítač s Linuxem nebo Windows a dokončete úlohy uvedené v tomto článku. Příklady v tomto článku jsou určené pro virtuální počítač s názvem vm-1 se síťovým rozhraním s názvem vm-1445. Virtuální počítač a síťové rozhraní jsou ve skupině prostředků s názvem test-rg a jsou v oblasti USA – východ . Podle potřeby změňte hodnoty pro virtuální počítač, pro který problém diagnostikujete.

Diagnostika pomocí webu Azure Portal

1. Přihlaste se k webu Azure Portal pomocí účtu Azure, který má potřebná oprávnění.

2. V horní části webu Azure Portal zadejte do vyhledávacího pole název virtuálního počítače, který je ve spuštěném stavu. Když se ve výsledcích hledání zobrazí název virtuálního počítače, vyberte ho.

3. Rozbalte část Sítě a vyberte Nastavení sítě.

4. Rozhraní vyberete tak, že vyberete jeho název.

   

5. V síťovém rozhraní rozbalte nápovědu. Vyberte Efektivní trasy.

   

   Výběrem požadovaného síťového rozhraní zobrazte efektivní trasy. Každé rozhraní může patřit do jiné podsítě, což vede k jedinečným trasám. Příklad na obrázku ukazuje výchozí trasy vytvořené v Azure pro každou podsíť. Seznam obsahuje výchozí trasy a může obsahovat i další trasy. Trasy mohou pocházet z funkcí, jako je peering virtuálních sítí nebo připojení k lokálním sítím skrze bránu Azure VPN. Podrobnosti o trasách najdete v tématu Směrování provozu virtuální sítě. Pokud existuje mnoho tras, použijte možnost Stáhnout a uložte je jako soubor .csv, abyste je mohli snadněji zkontrolovat.

I když byly efektivní trasy zobrazeny přes virtuální počítač v předchozích krocích, můžete také zobrazit efektivní trasy prostřednictvím:

• Individuální síťové rozhraní: Zjistěte, jak zobrazit síťové rozhraní.

• Jednotlivé směrovací tabulky: Zjistěte, jak zobrazit směrovací tabulku.

Diagnostika pomocí PowerShellu

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Můžete spustit příkazy, které následují v Azure Cloud Shellu, nebo spuštěním PowerShellu z počítače. Azure Cloud Shell je bezplatné interaktivní prostředí. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem. Pokud spustíte PowerShell ze svého počítače, potřebujete modul Azure PowerShell verze 1.0.0 nebo novější. Spusťte Get-Module -ListAvailable Az na svém počítači, abyste zjistili nainstalovanou verzi. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte se také přihlásit Connect-AzAccount k Azure pomocí účtu, který má potřebná oprávnění.

Získejte efektivní trasy pro síťové rozhraní pomocí rutiny Get-AzEffectiveRouteTable. Následující příklad získá efektivní trasy pro síťové rozhraní s názvem vm-1445 ve skupině prostředků s názvem test-rg:

$Params = @{
  NetworkInterfaceName = "vm-1445"
  ResourceGroupName    = "test-rg"
}
Get-AzEffectiveRouteTable @Params | Format-Table

Aby bylo možné pochopit informace vrácené ve výstupu, podívejte se na přehled směrování. Výstup se vrátí jenom v případě, že je virtuální počítač ve spuštěném stavu. Pokud je k virtuálnímu počítači připojeno více síťových rozhraní, můžete zkontrolovat efektivní trasy pro každé síťové rozhraní. Vzhledem k tomu, že každé síťové rozhraní může být v jiné podsíti, může mít každé síťové rozhraní různé efektivní trasy. Pokud stále máte problém s komunikací, prohlédněte si další diagnózy a úvahy.

Pokud znáte název virtuálního počítače, ale ne název síťového rozhraní, použijte následující příkazy k vrácení ID všech síťových rozhraní připojených k virtuálnímu počítači:

$Params = @{
  Name              = "vm-1"
  ResourceGroupName = "test-rg"
}
$VM = Get-AzVM @Params
$VM.NetworkProfile

Zobrazí se výstup podobný následujícímu příkladu:

NetworkInterfaces
-----------------
{/subscriptions/<ID>/resourceGroups/test-rg/providers/Microsoft.Network/networkInterfaces/vm-1445

V předchozím výstupu je název síťového rozhraní vm-1445.

Diagnostika pomocí Azure CLI

Můžete spustit příkazy, které následují v Azure Cloud Shellu, nebo spuštěním rozhraní příkazového řádku z počítače. Tento článek vyžaduje Azure CLI verze 2.0.32 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI. Pokud používáte Azure CLI místně, musíte také spustit az login Azure a přihlásit se k Azure pomocí účtu, který má potřebná oprávnění.

Získejte efektivní trasy pro síťové rozhraní pomocí příkazu az network nic show-effective-route-table. Následující příkaz získá efektivní trasy pro síťové rozhraní s názvem vm-1445 , který je ve skupině prostředků s názvem test-rg:

az network nic show-effective-route-table \
  --name vm-1445 \
  --resource-group test-rg

Aby bylo možné pochopit informace vrácené ve výstupu, podívejte se na přehled směrování. Výstup se vrátí jenom v případě, že je virtuální počítač ve spuštěném stavu. Pokud je k virtuálnímu počítači připojeno více síťových rozhraní, můžete zkontrolovat efektivní trasy pro každé síťové rozhraní. Vzhledem k tomu, že každé síťové rozhraní může být v jiné podsíti, může mít každé síťové rozhraní různé efektivní trasy. Pokud stále máte problém s komunikací, podívejte se na další diagnostiky a úvahy.

Pokud znáte název virtuálního počítače, ale ne název síťového rozhraní, použijte následující příkazy k vrácení ID všech síťových rozhraní připojených k virtuálnímu počítači:

az vm show \
  --name vm-1 \
  --resource-group test-rg

Řešení problému

Řešení problémů se směrováním se obvykle skládá z následujících postupů:

• Přidání vlastní trasy, aby nahradila jednu z výchozích tras Azure Zjistěte, jak přidat vlastní trasu.

• Došlo ke změně nebo odebrání vlastní trasy, což mohlo vést k nasměrování na nechtěné místo. Zjistěte, jak změnit nebo odstranit vlastní trasu.

• Ujistěte se, že směrovací tabulka, která obsahuje všechny vlastní trasy definované, je přidružená k podsíti, ve které je síťové rozhraní. Zjistěte, jak přidružit směrovací tabulku k podsíti.

• Ujistěte se, že jsou zařízení, jako je azure VPN Gateway nebo síťová virtuální zařízení nasazená, funkční. Pomocí funkce diagnostiky SÍTĚ VPN služby Network Watcher můžete určit případné problémy s bránou Azure VPN.

Pokud stále máte problémy s komunikací, podívejte se na téma Důležité informace a další diagnostiky.

Úvahy

Při řešení potíží s komunikací zvažte následující body:

• Směrování používá nejdelší shodu předpon (LPM) k určení nejlepší trasy ze systémových tras, protokolu BGP a vlastních tras. Pokud několik tras sdílí stejnou shodu LPM, Azure jednu vybere na základě pořadí priority v přehledu směrování. Efektivní trasy zobrazují jenom trasy odpovídající LPM, což usnadňuje identifikaci tras, které ovlivňují komunikaci virtuálních počítačů a řešení souvisejících potíží.

• Pokud vlastní trasy směrují provoz do síťového virtuálního zařízení (NVA) s virtuálním zařízením jako dalším typem přeskoku, ujistěte se, že je povoleno předávání IP síťového virtuálního zařízení, jinak se pakety zahodí. Zjistěte, jak povolit předávání IP pro síťové rozhraní a nakonfigurovat operační systém nebo aplikaci síťového virtuálního zařízení (NVA) ke směrování provozu.

• Pokud se vytvoří trasa na adresu 0.0.0.0/0, veškerý odchozí internetový provoz se směruje na další zadaný uzel, například na síťové virtuální zařízení nebo bránu VPN. Vytvoření takové trasy se často označuje jako vynucené tunelování. Vzdálená připojení využívající protokoly RDP nebo SSH z internetu k vašemu virtuálnímu počítači nemusí s touto trasou fungovat, podle toho, jak další hop zpracovává provoz. Vynucené tunelování je možné povolit:

  • Při použití Site-to-Site VPN vytvořte trasu s typem následujícího přeskoku VPN Gateway. Další informace o konfiguraci vynuceného tunelování se dozvíte zde.
  • Pokud je trasa 0.0.0.0/0 (výchozí trasa) inzerována přes BGP prostřednictvím brány virtuální sítě při použití VPN typu site-to-site nebo okruhu ExpressRoute. Přečtěte si další informace o používání protokolu BGP s vpn typu site-to-site nebo ExpressRoute.

• Aby provoz peeringu virtuálních sítí fungoval správně, musí existovat systémová trasa s typem dalšího směrování VNet Peering pro rozsah předpon partnerské virtuální sítě. Pokud taková trasa neexistuje a virtuální partnerský vztah sítě je připojený:

  • Počkejte několik sekund a zkuste to znovu. Pokud se jedná o nově vytvořenou peeringovou linku, může někdy trvat déle, než se propagační trasy dostanou do všech síťových rozhraní v podsíti. Další informace o partnerském vztahu virtuálních sítí najdete v tématu Přehled partnerského vztahu virtuálních sítí a správa partnerských vztahů virtuálních sítí.

  • Pravidla skupin zabezpečení sítě můžou mít vliv na komunikaci. Další informace najdete v tématu Diagnostika problému s filtrováním síťového provozu virtuálního počítače.

• Přestože Azure přiřazuje výchozí trasy každému síťovému rozhraní Azure, pokud máte k virtuálnímu počítači připojené více síťových rozhraní, pouze primární síťovému rozhraní je v operačním systému virtuálního počítače přiřazena výchozí trasa (0.0.0.0/0) nebo brána. Zjistěte, jak vytvořit výchozí trasu pro sekundární síťová rozhraní připojená k virtuálnímu počítači s Windows nebo Linuxem. Přečtěte si další informace o primárních a sekundárních síťových rozhraních.

Další diagnostika

• Pokud chcete spustit rychlý test, který určí typ dalšího skoku pro provoz směřující do umístění, použijte funkci 'Next hop' služby Azure Network Watcher. Další směrovací krok vám ukáže, jaký je typ pro provoz směřující do zadané lokace.

• Pokud nejsou žádné trasy způsobující selhání síťové komunikace virtuálních počítačů, příčinou problému může být software brány firewall spuštěný v operačním systému virtuálního počítače.

• Pokud provoz vynucujete tunelováním do místního zařízení přes bránu VPN nebo síťové virtuální zařízení (NVA), možná se nebudete moci připojit k virtuálnímu počítači z internetu, v závislosti na tom, jak je směrování pro zařízení nakonfigurováno. Ověřte, že směrování nakonfigurované pro zařízení směruje provoz na veřejnou nebo privátní IP adresu virtuálního počítače.

• Pomocí funkce řešení potíží s připojením služby Network Watcher můžete určit směrování, filtrování a příčiny odchozí komunikace v operačním systému.

Další kroky

• Přečtěte si o všech úkolech, vlastnostech a nastaveních směrovací tabulky a tras.

• Přečtěte si o všech typech dalšího směrování, systémových trasách a o tom, jak Azure vybere trasu.