Résoudre les problèmes liés à Azure Load Balancer

Cet article fournit des informations de dépannage pour les questions courantes sur Azure Load Balancer (niveaux de base et standard). Pour plus d’informations sur l’équilibreur Standard Load Balancer, voir la Vue d’ensemble de l’équilibreur de charge standard.

Lorsque la connectivité d’un équilibreur de charge n’est pas disponible, les symptômes les plus courants sont :

• Les machines virtuelles (VMs) derrière l'équilibreur de charge ne répondent pas aux sondes d'intégrité.
• Les VMs derrière l'équilibreur de charge ne répondent pas au trafic sur le port configuré.

Lorsque les clients externes aux machines virtuelles back-end passent par l’équilibreur de charge, l’adresse IP des clients est utilisée pour la communication. Assurez-vous que l’adresse IP des clients est ajoutée à la liste blanche du groupe de sécurité réseau (NSG).

Problème : aucune connectivité sortante à partir des équilibreurs de charge internes standard

Validation et résolution

Les équilibreurs de charge internes (ILB) standard disposent de fonctionnalités de sécurité par défaut. Les ILB de base permettent de se connecter à Internet via une adresse IP publique masquée appelée IP d'accès sortant par défaut. Nous vous déconseillons de vous connecter via l'adresse IP d'accès sortant par défaut pour les charges de travail de production, car l'adresse IP n'est pas statique ou verrouillée via les groupes de sécurité réseau que vous possédez.

Si vous êtes récemment passé d’un ILB de base à un ILB standard et que vous avez besoin d’une connectivité sortante vers Internet à partir de vos VMs, vous pouvez configurer Azure NAT Gateway sur votre sous-réseau. Nous recommandons NAT Gateway pour tous les accès sortants dans les scénarios de production.

Problème : aucune connectivité entrante vers les équilibreurs de charge externes standard

Cause

Les équilibreurs de charge standard et les adresses IP publiques standard sont fermés aux connexions entrantes, sauf si les groupes de sécurité réseau les ouvrent. Vous utilisez les NSG pour autoriser explicitement le trafic autorisé. Vous devez configurer vos NSG pour autoriser explicitement le trafic autorisé. Si vous ne disposez pas d’un NSG sur un sous-réseau ou une carte d’interface réseau (NIC) de votre ressource VM, le trafic n’est pas autorisé à atteindre la ressource.

Résolution

Pour autoriser le trafic entrant, ajoutez un groupe de sécurité réseau au sous-réseau ou à l’interface de votre ressource virtuelle.

Problème : impossible de modifier le port principal d'une règle d'équilibrage de charge existante d'un équilibreur de charge disposant d'un ensemble de machines virtuelles identiques déployé dans le pool principal

Cause

Lorsqu'un équilibreur de charge est configuré avec un groupe de machines virtuelles identiques, vous ne pouvez pas modifier le port principal d'une règle d'équilibrage de charge lorsqu'il est associé à une sonde d'intégrité.

Résolution

Pour changer de port, vous pouvez retirer la sonde de santé. Mettez à jour le groupe de mise à l’échelle de la machine virtuelle, mettez à jour le port, puis configurez à nouveau la sonde d’intégrité.

Problème : un faible trafic continue de transiter par l'équilibreur de charge après la suppression des VMs du pool principal

Cause

Les VMs supprimées du pool principal de l'équilibreur de charge ne devraient plus recevoir de trafic. La petite quantité de trafic réseau pourrait être liée au stockage, au système de noms de domaine (DNS) et à d’autres fonctions dans Azure.

Résolution

Pour vérifier, vous pouvez suivre une trace réseau. Les propriétés de chaque compte de stockage répertorient le nom de domaine complet (FQDN) de votre compte de stockage blob. À partir d’une machine virtuelle de votre abonnement Azure, vous pouvez exécuter nslookup pour déterminer l’adresse IP Azure affectée à ce compte de stockage.

Problème : Azure Load Balancer en panne

Résolution

1. Accédez à Azure Resource Explorer et identifiez la ressource qui est dans un état d’échec.
2. Mettez à jour le bouton bascule dans le coin supérieur droit sur Lecture/Écriture.
3. Sélectionnez Modifier pour la ressource à l’état d’échec.
4. Sélectionnez PUT suivi de GET pour vous assurer que l'état de provisionnement est passé à Réussi.

Vous pouvez ensuite procéder à d’autres actions, car la ressource est sortie d’un état d’échec.

Captures réseau pour les tickets d'assistance

Si les résolutions précédentes ne résolvent pas le problème, ouvrez un ticket d'assistance.

Si vous décidez d'ouvrir un ticket d'assistance, collectez des captures réseau pour une résolution plus rapide. Choisissez une machine virtuelle principale unique pour effectuer les tests suivants :

• Utilisez ps ping d’une des VMs principales du réseau virtuel pour tester la réponse du port de sonde (exemple : ps ping 10.0.0.4:3389) et enregistrez les résultats.
• Si vous ne recevez pas de réponse aux tests ping, exécutez une trace Netsh simultanée sur la machine virtuelle principale et la machine virtuelle de test du réseau virtuel pendant que vous exécutez PsPing. Arrêtez ensuite la trace Netsh.