Übersicht über die Verbindungsproblembehandlung
Mit der Zunahme anspruchsvoller und hochleistungsfähiger Workloads in Azure besteht entscheidender Bedarf an mehr Transparenz und Kontrolle über den Betriebszustand komplexer Netzwerke, in denen diese Workloads ausgeführt werden. Solch komplexe Netzwerke werden mithilfe von Netzwerksicherheitsgruppen, Firewalls, benutzerdefinierten Routen und Ressourcen, die von Azure bereitgestellt werden, implementiert. Komplexe Konfigurationen stellen eine große Herausforderung bei der Behandlung von Konnektivitätsproblemen dar.
Die Problembehandlungsfunktion für Verbindungen von Azure Network Watcher hilft dabei, die Zeit für die Diagnose und Behandlung von Problemen mit der Netzwerkkonnektivität zu verkürzen. Die zurückgegebenen Ergebnisse können Erkenntnisse über die Grundursache des Konnektivitätsproblems und darüber, ob es sich um ein Problem mit der Plattform- oder Benutzerkonfiguration handelt, liefern.
Bei der Problembehandlung für Verbindungen wird die Durchschnittszeit bis zur Auflösung (Mean Time To Resolution, MTTR) reduziert, indem eine umfassende Methode zum Durchführen aller Hauptüberprüfungen der Verbindung bereitgestellt wird, um Probleme im Zusammenhang mit Netzwerksicherheitsgruppen, benutzerdefinierten Routen und blockierten Ports zu erkennen. Sie liefert die folgenden Ergebnisse mit verwertbaren Erkenntnissen, wenn eine Schritt-für-Schritt-Anleitung oder entsprechende Dokumentation für eine schnellere Lösung bereitgestellt wird:
- Konnektivitätstest mit verschiedenen Zieltypen (VM, URI, FQDN oder IP-Adresse)
- Konfigurationsprobleme, die sich auf die Erreichbarkeit auswirken
- Alle möglichen Hop-By-Hop-Pfade von der Quelle zum Ziel
- Hop-by-Hop-Latenz
- Latenz (Mindest-, maximale und Durchschnittslatenz zwischen Quelle und Ziel)
- Grafische Topologieansicht von der Quelle zum Ziel
- Anzahl der Tests, die während der Überprüfung der Verbindungsproblembehandlung abgelegt wurden
Unterstützte Quell- und Zieltypen
Die Problembehandlung für Verbindungen bietet die Möglichkeit, TCP- oder ICMP-Verbindungen von einer der folgenden Azure-Ressourcen zu überprüfen:
- Virtuelle Computer
- VM-Skalierungsgruppen
- Azure Bastion-Instanzen
- Application Gateway (außer V1)
Wichtig
Für die Problembehandlung für Verbindungen muss auf der VM, auf der Sie die Problembehandlung ausführen, die Network Watcher-Agent-VM-Erweiterung installiert sein. Die Erweiterung ist nicht auf dem virtuellen Zielcomputer erforderlich.
- Informationen zum Installieren der Erweiterung auf einer Windows-VM finden Sie unter Azure Network Watcher-Agent-VM-Erweiterung für Windows.
- Informationen zum Installieren der Erweiterung auf einer Linux-VM finden Sie unter Azure Network Watcher-Agent-VM-Erweiterung für Linux.
- Um eine bereits installierte Erweiterung zu aktualisieren, siehe Aktualisieren der VM-Erweiterung des Network Watcher-Agents auf die neueste Version.
Bei der Problembehandlung für Verbindungen können Verbindungen mit einem der folgenden Ziele getestet werden:
- Virtuelle Computer
- Vollqualifizierte Domänennamen (FQDNs)
- Uniform Resource Identifier (URIs)
- IP-Adressen
Probleme, die bei der Problembehandlung für Verbindungen erkannt wurden
Die Verbindungsproblembehandlung kann die folgenden Arten von Problemen erkennen, die sich auf die Konnektivität auswirken können:
- Hohe CPU-Auslastung der VM
- Hohe Speicherauslastung der VM
- VM-Firewallregeln (Gast) blockieren Datenverkehr
- Fehler bei der DNS-Auflösung
- Falsch konfigurierte oder fehlende Routen
- Regeln für Netzwerksicherheitsgruppen (NSG), die Datenverkehr blockieren
- Unfähigkeit, einen Socket am angegebenen Quellport zu öffnen
- Fehlende Adressauflösungs-Protokolleinträge für Azure Express Route-Verbindungen
- Server, die nicht an den vorgesehenen Zielports lauschen
Antwort
Die folgende Tabelle zeigt die Eigenschaften, die nach der Ausführung der Problembehandlung für Verbindungen zurückgegeben werden:
| Eigenschaft | Beschreibung |
|---|---|
| ConnectionStatus | Status der Konnektivitätsprüfung. Mögliche Ergebnisse sind Erreichbar und Nicht erreichbar. |
| AvgLatencyInMs | Durchschnittliche Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet). |
| MinLatencyInMs | Minimale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet). |
| MaxLatencyInMs | Maximale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet). |
| ProbesSent | Anzahl der Tests, die während der Überprüfung gesendet werden. Der Maximalwert ist 100. |
| ProbesFailed | Anzahl der fehlerhaften Tests während der Überprüfung. Der Maximalwert ist 100. |
| Hops | Hop-by-Hop-Pfad von der Quelle zum Ziel. |
| Hops[].Type | Ressourcentyp. Mögliche Werte: Source, VirtualAppliance, VnetLocal und Internet. |
| Hops[].Id | Eindeutiger Bezeichner des Hops. |
| Hops[].Address | IP-Adresse des Hops. |
| Hops[].ResourceId | Ressourcen-ID des Hops, wenn der Hop eine Azure-Ressource ist. Wenn es sich um eine Internetressource handelt, lautet die Ressourcen-ID Internet. |
| Hops[].NextHopIds | Eindeutiger Bezeichner des nächsten Hops. |
| Hops[].Issues | Eine Sammlung der Probleme, die während der Überprüfung des Hops aufgetreten sind. Wert ist leer, wenn keine Probleme aufgetreten sind. |
| Hops[].Issues[].Origin | Auf dem aktuellen Hop, wo das Problem aufgetreten ist. Mögliche Werte sind: Eingehend: Das Problem liegt in der Verbindung vom vorherigen Hop zum aktuellen Hop. Ausgehend: Das Problem liegt in der Verbindung vom aktuellen Hop zum nächsten Hop. Lokal: Problem befindet sich auf dem aktuellen Hop. |
| Hops[].Issues[].Severity | Der Schweregrad des gefundenen Problems. Mögliche Werte: Fehler und Warnung. |
| Hops[].Issues[].Type | Der Typ des gefundenen Problems. Mögliche Werte sind: CPU Arbeitsspeicher GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Details zum erkannten Problem. |
| Hops[].Issues[].Context[].key | Schlüssel des zurückgegebenen Schlüssel-Wert-Paars. |
| Hops[].Issues[].Context[].value | Wert des zurückgegebenen Schlüssel-Wert-Paars. |
| NextHopAnalysis.NextHopType | Der Typ des nächsten Hops. Mögliche Werte sind: HyperNetGateway Internet None VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Die IP-Adresse des nächsten Hops. |
| Der Ressourcenbezeichner der Routingtabelle, die der zurückgegebenen Route zugeordnet ist. Wenn die zurückgegebene Route keinen benutzerseitig erstellten Routen entspricht, ist dieses Feld die Zeichenfolge Systemroute. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Das Profil der Netzwerkkonfigurationsdiagnose. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Die Datenverkehrsquelle. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Das Ziel für den Datenverkehr. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Der Zielport für den Datenverkehr. Mögliche Werte: * und ein einzelner Port im Bereich (0–65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Das zu überprüfende Protokoll. Mögliche Werte: *, TCP und UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | Die Richtung des Datenverkehrs. Mögliche Werte: Eingehend und Ausgehend. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Das Ergebnis für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Die Liste der Diagnoseergebnisse für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | Die Ressourcen-ID der Netzwerkkarte oder des Subnetzes, auf die/das die Netzwerksicherheitsgruppe angewendet wird. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Die entsprechende Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Der Name der entsprechenden Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | Die ID der Netzwerksicherheitsgruppe. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Die Liste mit den Auswertungsergebnissen für Netzwerksicherheitsregeln. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | Der Wert gibt an, ob das Ziel übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | Der Wert gibt an, ob der Zielport übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Der Name der Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | Der Wert gibt an, ob das Protokoll übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | Der Wert gibt an, ob die Quelle übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | Der Wert gibt an, ob der Quellport übereinstimmt. Boolesche Werte. |
| DestinationSecurityRuleAnalysis | Identisch mit dem SourceSecurityRuleAnalysis-Format. |
| SourcePortStatus | Bestimmt, ob der Port an der Quelle erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
| DestinationPortStatus | Bestimmt, ob der Port am Ziel erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
Das folgende Beispiel zeigt ein in einem Hop gefundenes Problem.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Fehlertypen
Die Problembehandlung für Verbindungen gibt Fehlertypen der Verbindung zurück. Die folgende Tabelle listet alle möglichen zurückgegebenen Fehlertypen auf.
| Typ | Beschreibung |
|---|---|
| CPU | Hohe CPU-Auslastung. |
| Arbeitsspeicher | Hohe Speicherauslastung. |
| GuestFirewall | Datenverkehr wird aufgrund der Firewall-Konfiguration eines virtuellen Computers blockiert. Ein TCP-Ping ist ein besonderer Anwendungsfall, bei dem die Firewall selbst auf die TCP-Pinganforderung des Clients antwortet, auch wenn der TCP-Ping die Ziel-IP-Adresse bzw. den FQDN nicht erreicht, wenn es keine Zulassungsregel gibt. Dieses Ereignis wird nicht protokolliert. Wenn eine Netzwerkregel vorhanden ist, die den Zugriff auf die IP-Zieladresse bzw. den FQDN zulässt, erreicht die Pinganforderung den Zielserver, und die Antwort wird an den Client zurückgeleitet. Dieses Ereignis wird im Protokoll für Netzwerkregeln protokolliert. |
| DNSResolution | Fehler bei DNS-Auflösung für Zieladresse. |
| NetworkSecurityRule | Der Datenverkehr wird durch eine Netzwerksicherheitsgruppenregel blockiert (Sicherheitsregel wird zurückgegeben). |
| UserDefinedRoute | Datenverkehr wird aufgrund einer benutzerdefinierten oder Systemroute verworfen. |
Nächster Schritt
Um zu erfahren, wie Sie das Problembehandlungstool für Verbindungen verwenden, um Verbindungen zu testen und Probleme zu lösen, fahren Sie mit folgendem Artikel fort: