Résoudre les problèmes liés à Azure Load Balancer

  • Article

Cette page contient des informations pour résoudre les problèmes courants liés à Azure Load Balancer (versions De base et Standard). Pour plus d’informations sur Standard Load Balancer, consultez la présentation de Standard Load Balancer.

Lorsque la connectivité de l’équilibreur de charge n’est pas disponible, les symptômes les plus courants sont les suivants :

  • Les machines virtuelles situées derrière Load Balancer ne répondent pas aux sondes d’intégrité
  • Les machines virtuelles situées derrière Load Balancer ne répondent pas au trafic sur le port configuré

Lorsque les clients externes aux machines virtuelles back-end passent par l’équilibreur de charge, l’adresse IP des clients est utilisée pour la communication. Vérifiez que l’adresse IP des clients est ajoutée à la liste d’autorisation des NSG.

Problème : aucune connectivité sortante à partir des équilibreurs de charge internes standard (ILB)

Validation et résolution

Les équilibrages standards sont sécurisés par défaut. Les équilibrages standards sont autorisés à se connecter à Internet via une adresse IP publique masquée appelée adresse IP d’accès sortant par défaut. Cela n’est pas recommandé pour les charges de travail de production, car l’adresse IP n’est ni statique ni verrouillée via les groupes de sécurité réseau dont vous êtes propriétaire. Si vous êtes récemment passé d’un ILB De base à un ILB Standard, vous devez créer une IP publique de manière explicite via la configuration Sortie uniquement, qui verrouille l’IP via des groupes de sécurité réseau. Vous pouvez également utiliser une passerelle NAT Gateway sur votre sous-réseau. NAT Gateway est la solution recommandée pour le trafic sortant.

Problème : aucune connectivité entrante vers des équilibreurs de charge externes standard (ELB)

Cause

Les équilibreurs de charge Standard et les IP publiques standard sont fermés aux connexions entrantes, sauf si celles-ci sont ouvertes par les groupes de sécurité du réseau. Les groupes de sécurité réseau sont utilisés pour autoriser explicitement le trafic autorisé. Si vous n’avez pas de groupe de sécurité réseau sur un sous-réseau ou une carte réseau de votre ressource de machine virtuelle, le trafic n’est pas autorisé à atteindre cette ressource.

Résolution

Pour autoriser le trafic d’entrée, ajoutez un groupe de sécurité réseau au sous-réseau ou à l’interface de votre ressource virtuelle.

Problème : impossible de modifier le port back-end pour la règle d’équilibreur de charge existante d’un équilibreur de charge dont le groupe de machines virtuelles identiques est déployé dans le pool back-end.

Cause

Le port back-end ne peut pas être changé quand une règle d’équilibrage de charge est utilisée par une sonde d’intégrité pour un équilibreur de charge référencé par le groupe de machines virtuelles identiques

Résolution

Pour modifier le port, vous pouvez supprimer la sonde d’intégrité en mettant à jour le groupe de machines virtuelles identiques, puis mettre à jour le port et reconfigurer la sonde d’intégrité.

Problème : le petit trafic passe toujours par l’équilibreur de charge après la suppression des machines virtuelles du pool back-end de l’équilibreur de charge.

Cause

Les machines virtuelles supprimées du pool principal ne doivent plus recevoir le trafic. La faible quantité de trafic réseau peut être liée à un stockage, à un DNS et à d’autres fonctions dans Azure.

Résolution

Pour vérifier, vous pouvez suivre une trace réseau. Le FQDN (nom de domaine complet) utilisé pour votre compte Stockage Blob est listé dans les propriétés de chaque compte de stockage. À partir d’une machine virtuelle de votre abonnement Azure, vous pouvez exécuter nslookup pour déterminer l’adresse IP Azure affectée à ce compte de stockage.

Problème : Load Balancer en état d’échec

Résolution

  • Une fois que vous avez identifié la ressource en état d’échec, accédez à Azure Resource Explorer et identifiez la ressource dans cet état.
  • Mettez à jour le bouton bascule situé dans le coin supérieur droit en sélectionnant Lecture/écriture.
  • Sélectionnez Modifier pour la ressource à l’état d’échec.
  • Sélectionnez PUT, puis GET pour vérifier que l’état de provisionnement a été mis à jour et qu’il indique Réussite.
  • Vous pouvez ensuite entreprendre d’autres actions lorsque la ressource n’est plus en état d’échec.

Captures réseau nécessaires à la résolution des problèmes et aux cas de support

Si vous décidez d’ouvrir un dossier de support, collectez les informations suivantes pour accélérer la résolution du problème. Choisissez une machine virtuelle principale unique pour effectuer les tests suivants :

  • Utilisez ps ping à partir d’une des machines virtuelles back-end du réseau virtuel pour tester la réponse du port de la sonde (par exemple : ps ping 10.0.0.4:3389) et enregistrez les résultats.
  • Si aucune réponse n’est reçue dans ces tests Ping, exécutez une trace Netsh simultanée sur la machine virtuelle back-end et la machine virtuelle test du réseau virtuel tout en exécutant PsPing, puis arrêtez la trace Netsh.

Étapes suivantes

Si les étapes précédentes ne vous permettent pas de résoudre le problème, ouvrez un ticket d’incident.