Behandeln von Problemen mit der Konnektivität privater Azure-Endpunkte
In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie die Konnektivitätseinrichtung für Ihren privaten Azure-Endpunkt überprüfen und diagnostizieren.
Ein privater Azure-Endpunkt ist eine Netzwerkschnittstelle, über die eine private und sichere Verbindung mit einem Private Link-Dienst hergestellt wird. Diese Lösung unterstützt Sie beim Schützen Ihrer Workloads in Azure, indem Ihnen private Konnektivität mit Ihren Azure-Dienstressourcen über Ihr virtuelles Netzwerk bereitgestellt wird. Durch diese Lösung werden die Dienste effektiv in Ihr virtuelles Netzwerk eingebunden.
Folgende Konnektivitätsszenarien mit privatem Endpunkt sind verfügbar:
Virtuelles Netzwerk aus der gleichen Region
Virtuelle Netzwerke mit regionalem Peering
Virtuelle Netzwerke mit globalem Peering
Lokale Kunden über VPN oder ExpressRoute-Verbindungen
Diagnostizieren von Konnektivitätsproblemen
Vergewissern Sie sich mithilfe der folgenden Schritte, dass alle üblichen Konfigurationen ordnungsgemäß festgelegt sind, um Konnektivitätsprobleme mit Ihren privaten Endpunkten zu beheben.
Überprüfen Sie die Konfiguration des privaten Endpunkts, indem Sie die Ressource durchsuchen.
a. Navigieren Sie zum Private Link-Center.
b. Wählen Sie im linken Bereich Private Endpunkte aus.
c. Filtern Sie nach dem zu diagnostizierenden privaten Endpunkt, und wählen Sie ihn aus.
d. Überprüfen Sie die Informationen zum virtuellen Netzwerk und die DNS-Informationen.
Vergewissern Sie sich, dass der Verbindungsstatus Genehmigt lautet.
Vergewissern Sie sich, dass der virtuelle Computer mit dem virtuellen Netzwerk verbunden ist, von dem die privaten Endpunkte gehostet werden.
Vergewissern Sie sich, dass die FQDN-Informationen und die private IP-Adresse zugewiesen sind, und kopieren Sie den FQDN.
Überprüfen Sie mithilfe von Azure Monitor, ob Daten übermittelt werden.
a. Wählen Sie unter der privaten Endpunktressource Metriken aus.
Wählen Sie Eingehende Bytes oder Ausgehende Bytes aus.
Überprüfen Sie, ob Daten übermittelt werden, wenn Sie versuchen, eine Verbindung mit dem privaten Endpunkt herzustellen. Rechnen Sie mit einer Verzögerung von etwa zehn Minuten.
Verwenden Sie die Problembehandlung für VM-Verbindungen von Azure Network Watcher.
a. Wählen Sie den virtuellen Clientcomputer aus.
b. Wählen Sie Problembehandlung für Verbindung und anschließend die Registerkarte Ausgehende Verbindungen aus.
c. Wählen Sie Network Watcher für detaillierte Verbindungsablaufverfolgung verwenden aus.
d. Wählen Sie Test by FQDN (Nach FQDN testen) aus.
Fügen Sie den FQDN aus der privaten Endpunktressource ein.
Geben Sie einen Port an. In der Regel wird 443 für Azure Storage oder Azure Cosmos DB und 1336 für SQL verwendet.
e. Wählen Sie Testen aus, und überprüfen Sie die Testergebnisse.
Die DNS-Auflösung der Testergebnisse muss die private IP-Adresse aufweisen, die dem privaten Endpunkt zugewiesen ist.
a. Sollten die DNS-Einstellungen nicht korrekt sein, führen Sie die folgenden Schritte aus:
Vorgehensweise bei Verwendung einer privaten Zone:
Vergewissern Sie sich, dass das virtuelle Netzwerk des virtuellen Clientcomputers der privaten Zone zugeordnet ist.
Vergewissern Sie sich, dass der Eintrag für die private DNS-Zone vorhanden ist. Falls nicht, erstellen Sie ihn.
Vorgehensweise bei Verwendung eines benutzerdefinierten DNS:
- Überprüfen Sie die Einstellungen Ihres benutzerdefinierten DNS, und vergewissern Sie sich, dass die DNS-Konfiguration korrekt ist. Einen entsprechenden Leitfaden finden Sie unter Was ist privater Endpunkt in Azure? – DNS-Konfiguration.
b. Sollten die Probleme mit der Konnektivität auf Netzwerksicherheitsgruppen (NSGs) oder benutzerdefinierte Routen zurückzuführen sein, gehen Sie wie folgt vor:
Überprüfen Sie die NSG-Ausgangsregeln, und erstellen Sie geeignete Ausgangsregeln, um den Datenverkehr zuzulassen.
Der virtuelle Quellcomputer sollte die IP-Adresse des privaten Endpunkts im nächsten Hop als InterfaceEndpoints in den effektiven Routen der Netzwerkschnittstelle aufweisen.
a. Überprüfen Sie, ob die folgenden Gegebenheiten vorliegen, wenn die private Endpunktroute nicht im virtuellen Quellcomputer angezeigt wird
Die Quell-VM und der private Endpunkt gehören dem gleichen virtuellen Netzwerk an. Wenn das der Fall ist, müssen Sie den Support kontaktieren.
Die Quell-VM und der private Endpunkt sind Teil verschiedener virtueller Netzwerke, die miteinander durch direktes Peering verbunden sind. Wenn das der Fall ist, müssen Sie den Support kontaktieren.
Die Quell-VM und der private Endpunkt gehören unterschiedlichen virtuellen Netzwerken an, die nicht miteinander durch direktes Peering verbunden sind. In diesem Fall müssen Sie die IP-Konnektivität zwischen diesen virtuellen Netzwerken überprüfen.
Wenn die Ergebnisse der Verbindung überprüft wurden, kann das Konnektivitätsproblem mit anderen Aspekten wie Geheimnissen, Token und Kennwörtern auf der Anwendungsebene zusammenhängen.
- Überprüfen Sie in diesem Fall die Konfiguration der Private Link-Ressource, die dem privaten Endpunkt zugeordnet ist. Weitere Informationen finden Sie unter Behandlung von Konnektivitätsproblemen bei Azure Private Link.
Bevor Sie ein Supportticket erstellen, sollten Sie die Fehlerquelle eingrenzen.
a. Wenn ein lokaler Quellcomputer keine Verbindung mit einem privaten Endpunkt in Azure herstellen kann, dann:
Versuchen Sie, lokal eine Verbindung mit einem anderen virtuellen Computer herzustellen. Überprüfen Sie, ob IP-Konnektivität zwischen der lokalen Umgebung und dem virtuellen Netzwerk besteht.
Versuchen Sie, über einen virtuellen Computer im virtuellen Netzwerk eine Verbindung mit dem privaten Endpunkt herzustellen.
b. Wenn der Quellcomputer sich in Azure und der private Endpunkt sich in einem anderen virtuellen Netzwerk befindet, dann:
Versuchen Sie, eine Verbindung mit dem privaten Endpunkt aus einer anderen Quelle herzustellen. Wenn Sie eine Verbindung aus einer anderen Quelle herstellen, können Sie alle VM-spezifischen Probleme isolieren.
Versuchen Sie, eine Verbindung mit einem beliebigen virtuellen Computer herzustellen, der Teil desselben virtuellen Netzwerks des privaten Endpunkts ist.
Wenn der private Endpunkt mit einem Private Link-Dienst verknüpft ist, der mit einem Lastenausgleich verknüpft ist, prüfen Sie, ob der Back-End-Pool den Zustand „Fehlerfrei“ meldet. Die Behebung der Integrität des Lastenausgleichs wird das Problem mit der Verbindung zum privaten Endpunkt beheben.
Sie können ein visuelles Diagramm oder eine Abhängigkeitsansicht der zugehörigen Ressourcen, Metriken und Erkenntnisse anzeigen, indem Sie zu Folgendem wechseln:
Azure Monitor
Netzwerke
Private Endpunkte
Ressourcenansicht
Sollten weiterhin Konnektivitätsprobleme auftreten, wenden Sie sich an das Azure-Supportteam.