Partager via


Vue d’ensemble des problèmes de connexion

Avec l’augmentation des charges de travail sophistiquées et hautes performances dans Azure, il est essentiel d’augmenter la visibilité et le contrôle de l’état opérationnel des réseaux complexes exécutant ces charges de travail. Des scénarios de réseau si complexes sont implémentés à l’aide de groupes de sécurité réseau, de pare-feu, d’itinéraires définis par l’utilisateur et de ressources fournies par Azure. Ces configurations complexes rendent difficile la résolution des problèmes de connectivité.

La fonctionnalité de résolution des problèmes de connexion d’Azure Network Watcher permet de réduire le temps nécessaire pour diagnostiquer et résoudre les problèmes de connectivité réseau. Les résultats obtenus peuvent fournir des insights sur la cause racine du problème de connectivité et sur le fait qu’il soit dû à un problème de configuration de plateforme ou d’utilisateur.

La résolution des problèmes de connexion réduit le temps moyen de résolution (MTTR) en fournissant une méthode complète d’exécution de toutes les vérifications principales de connexion pour détecter les problèmes liés aux groupes de sécurité réseau, aux itinéraires définis par l’utilisateur et aux ports bloqués. Elle fournit les résultats suivants avec des insights actionnables dans lesquels un guide pas à pas ou une documentation correspondante est fourni pour une résolution plus rapide :

  • Test de connectivité avec différents types de destination (machine virtuelle, URI, nom de domaine complet ou adresse IP)
  • Problèmes de configuration ayant un impact sur l’accessibilité
  • Tous les tronçons possibles par tronçon de la source vers la destination
  • Latence entre les sauts
  • Latence (minimum, maximum et moyenne entre la source et la destination)
  • Vue de topologie graphique de la source vers la destination
  • Nombre de sondes ayant échoué pendant la vérification des problèmes de connexion

Types de sources et de destinations prises en charge

La résolution des problèmes de connexion permet de vérifier les connexions TCP ou ICMP à partir de l’une de ces ressources Azure :

  • Machines virtuelles
  • Groupes identiques de machines virtuelles
  • Instances Azure Bastion
  • Passerelles applicatives (sauf v1)

Important

Pour résoudre les problèmes de connexion, la machine virtuelle à partir de laquelle vous procédez doit disposer de l’extension de Network Watcher Agent de la machine virtuelle installée. L’extension n’est pas nécessaire sur la machine virtuelle de destination.

La résolution des problèmes de connexion peut tester les connexions à l’une des destinations suivantes :

  • Machines virtuelles
  • Noms de domaine complets (FQDN)
  • URI (Uniform Resource Identifier)
  • Adresses IP

Problèmes détectés par résolution des problèmes de connexion

La résolution des problèmes de connexion peut détecter les types de problèmes suivants qui peuvent avoir un impact sur la connectivité :

  • Utilisation élevée du processeur de machine virtuelle
  • Utilisation élevée de la mémoire de machine virtuelle
  • Règles de pare-feu de machine virtuelle (invité) bloquant le trafic
  • échecs de résolution DNS
  • Itinéraires mal configurés ou manquants
  • Règles de groupe de sécurité réseau (NSG) qui bloquent le trafic
  • Incapacité d’ouvrir un socket sur le port source spécifié
  • Entrées de protocole de résolution d’adresses manquantes pour les circuits Azure ExpressRoute
  • Les serveurs ne sont pas à l’écoute sur les ports de destination désignés

response

Le tableau suivant présente les propriétés retournées une fois la résolution des problèmes de connexion effectuée.

Propriété Description
ConnectionStatus État de la vérification de la connectivité. Les résultats possibles sont Joignable et Inaccessible.
AvgLatencyInMs Latence moyenne pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable).
MinLatencyInMs Latence minimale pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable).
MaxLatencyInMs Latence maximale pendant la vérification de la connectivité, en millisecondes (Affichée uniquement si l’état de la vérification est Joignable).
ProbesSent Nombre de sondes envoyées lors de la vérification. La valeur maximale est 100.
ProbesFailed Nombre de sondes ayant échoué lors de la vérification. La valeur maximale est 100.
Hops Chemin tronçon par tronçon entre la source et la destination.
Hops[].Type Type de ressource. Les valeurs possibles sont Source, VirtualAppliance, VnetLocal et Internet.
Hops[].Id Identificateur unique du tronçon.
Hops[].Address Adresse IP du tronçon.
Hops[].ResourceId ID de ressource du tronçon si le tronçon est une ressource Azure. S’il s’agit d’une ressource internet, l’ID de ressource est Internet.
Hops[].NextHopIds Identificateur unique du prochain tronçon.
Hops[].Issues Ensemble des problèmes rencontrés lors de la vérification au niveau du tronçon. En l’absence de problème, la valeur est vide.
Hops[].Issues[].Origin Au niveau du tronçon actuel, emplacement où le problème s’est produit. Les valeurs possibles sont les suivantes :
Inbound : le problème se trouve sur le lien entre le tronçon précédent et le tronçon actuel.
Outbound : le problème se trouve sur le lien entre le tronçon actuel et le tronçon suivant.
Local : le problème se trouve sur le tronçon en cours.
Hops[].Issues[].Severity Niveau de gravité du problème détecté. Les valeurs possibles sont Error et Warning.
Hops[].Issues[].Type Type du problème détecté. Les valeurs possibles sont les suivantes :
UC
Mémoire
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hops[].Issues[].Context Détails concernant le problème détecté.
Hops[].Issues[].Context[].key Clé de la paire clé/valeur retournée.
Hops[].Issues[].Context[].value Valeur de la paire clé/valeur retournée.
NextHopAnalysis.NextHopType Type du tronçon suivant. Les valeurs possibles sont les suivantes :
HyperNetGateway
Internet
Aucun
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Adresse IP du saut suivant.
Identificateur de ressource de la table de routage associée à l’itinéraire retourné. Si l’itinéraire retourné ne correspond à aucun itinéraire créé par l’utilisateur, ce champ correspond à la chaîne Itinéraire système.
SourceSecurityRuleAnalysis.Results[].Profile Profil de diagnostic de la configuration réseau.
SourceSecurityRuleAnalysis.Results[].Profile.Source Source du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service.
SourceSecurityRuleAnalysis.Results[].Profile.Destination Destination du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Port de destination du trafic. Les valeurs possibles sont : * et un seul port dans la plage (0 – 65535).
SourceSecurityRuleAnalysis.Results[].Profile.Protocol Protocole à vérifier. Les valeurs possibles sont : *, TCP et UDP.
SourceSecurityRuleAnalysis.Results[].Profile.Direction Direction du trafic. Les valeurs possibles sont : Outbound et Inbound.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult Résultat du groupe de sécurité réseau.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Liste des résultats du diagnostic des groupes de sécurité réseau.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo ID de ressource de la carte réseau ou du sous-réseau auquel le groupe de sécurité réseau est appliqué.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule Règle de sécurité réseau correspondante.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName Nom de la règle de sécurité réseau correspondante.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId ID du groupe de sécurité réseau.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] Liste des résultats de l’évaluation des règles de sécurité réseau.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched La valeur indique si la destination correspond. Valeurs booléennes.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched La valeur indique si le port de destination correspond. Valeurs booléennes.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name Nom de la règle de sécurité réseau.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched La valeur indique si le protocole correspond. Valeurs booléennes.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched La valeur indique si la source correspond. Valeurs booléennes.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched La valeur indique si le port source correspond. Valeurs booléennes.
DestinationSecurityRuleAnalysis Identique au format SourceSecurityRuleAnalysis.
SourcePortStatus Détermine si le port à la source est accessible ou non. Les valeurs possibles sont les suivantes :
Inconnu
Accessible
Instable
NoConnection
Délai d'expiration
DestinationPortStatus Détermine si le port à destination est accessible ou non. Les valeurs possibles sont les suivantes :
Inconnu
Accessible
Instable
NoConnection
Délai d'expiration

L’exemple suivant montre un exemple de problème détecté sur un tronçon.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Types d’erreur

La résolution des problèmes de connexion retourne les types d’erreur liés à la connexion. Le tableau ci-dessous fournit la liste des types d’erreurs renvoyées possibles.

Type Description
UC Utilisation élevée du processeur.
Mémoire Utilisation élevée de la mémoire.
GuestFirewall Le trafic est bloqué à cause de la configuration d’un pare-feu de machine virtuelle.

Un test ping TCP est un cas d’usage unique. Si aucune règle n’est autorisée, le pare-feu répond à la requête ping TCP du client même si le test ping TCP n’atteint pas l’adresse IP ou le FQDN cible. Cet événement n’est pas journalisé. Si une règle réseau autorise l’accès à l’adresse IP ou au FQDN cible, la requête ping atteint le serveur cible et sa réponse est renvoyée au client. Cet événement est consigné dans le journal des règles de réseau.
DNSResolution Échec de la résolution DNS pour l’adresse de destination.
NetworkSecurityRule Le trafic est bloqué par une règle de groupe de sécurité réseau (la règle de sécurité est retournée).
UserDefinedRoute Le trafic est ignoré en raison d’un itinéraire défini par l’utilisateur ou le système.

Étape suivante

Pour savoir comment utiliser la résolution des problèmes de connexion pour tester et résoudre les problèmes de connexion, continuez à :