Información general sobre la solución de problemas de conexión
Con el aumento de las cargas de trabajo sofisticadas y de alto rendimiento en Azure, resulta crítico aumentar la visibilidad y el control sobre el estado operativo de las redes complejas que ejecutan estas cargas de trabajo. Estas redes complejas se implementan mediante grupos de seguridad de red, firewalls, rutas definidas por el usuario y recursos proporcionados por Azure. Las configuraciones complejas dificultan la solución de problemas de conectividad.
La característica de solución de problemas de conexión de Azure Network Watcher ayuda a reducir la cantidad de tiempo para diagnosticar y solucionar problemas de conectividad de red. Los resultados devueltos pueden proporcionar información sobre la causa principal del problema de conectividad y si se debe a un problema de configuración de plataforma o usuario.
La solución de problemas de conexión reduce el tiempo medio de resolución (MTTR) al proporcionar un método completo para realizar todas las comprobaciones principales de conexión con el fin de detectar problemas relacionados con grupos de seguridad de red, rutas definidas por el usuario y puertos bloqueados. Ofrece los siguientes resultados con información práctica en la que se proporciona una guía paso a paso o la documentación correspondiente para una resolución más rápida:
- Prueba de conectividad con diferentes tipos de destino (VM, URI, FQDN o dirección IP)
- Problemas de configuración que afectan a la accesibilidad
- Todas las rutas de acceso de salto a salto desde el origen hasta el destino
- Latencia de salto a salto
- Latencia (mínima, máximo y promedio entre el origen y el destino)
- Vista de topología gráfica de origen a destino
- Número de sondeos con errores durante la comprobación de la solución de problemas de conexión
Tipos de origen y destino admitidos
La solución de problemas de conexión proporciona la capacidad de comprobar las conexiones TCP o ICMP desde cualquiera de estos recursos de Azure:
- Máquinas virtuales
- Conjuntos de escalado de máquinas virtuales
- Instancias de Azure Bastion
- Puertas de enlace de aplicaciones (excepto v1)
Importante
La solución de problemas de conexión requiere que la máquina virtual desde la que soluciona el problema tenga la extensión de máquina virtual del agente de Network Watcher instalada. La extensión no es necesaria en la máquina virtual de destino.
- Para instalar la extensión en una máquina virtual Windows, consulte Extensión de máquina virtual del agente de Network Watcher para Windows.
- Para instalar la extensión en una máquina virtual Linux, consulte Extensión de máquina virtual del agente de Network Watcher para Linux.
- Para actualizar una extensión ya instalada, consulte Actualización de la extensión de máquina virtual del agente de Network Watcher a la versión más reciente.
La solución de problemas de conexión puede probar las conexiones a cualquiera de estos destinos:
- Máquinas virtuales
- Nombres de dominio completos (FQDN)
- Identificadores de recursos uniformes (URI)
- Direcciones IP
Problemas detectados por la solución de problemas de conexión
La solución de problemas de conexión puede detectar los tipos de problemas siguientes que pueden afectar la conectividad:
- Uso elevado de CPU de la máquina virtual
- Uso elevado de memoria de la máquina virtual
- Reglas de firewall de máquina virtual (invitada) que bloquean el tráfico
- Errores de resolución de DNS
- Rutas faltantes o mal configuradas
- Reglas del grupo de seguridad de red (NSG) que bloquean el tráfico
- Incapacidad de abrir un socket en el puerto de origen especificado
- Entradas faltantes del protocolo de resolución de direcciones para circuitos de Azure Express Route
- Servidores que no escuchan en puertos de destino designados
Response
En la tabla siguiente se muestran las propiedades devueltas después de ejecutar la solución de problemas de conexión.
| Propiedad | Descripción |
|---|---|
| ConnectionStatus | Estado de la comprobación de conectividad. Los resultados posibles son Reachable y Unreachable. |
| AvgLatencyInMs | Promedio de latencia durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| MinLatencyInMs | Latencia mínima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| MaxLatencyInMs | Latencia máxima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| ProbesSent | Número de sondeos enviados durante la comprobación. El valor máximo es 100. |
| ProbesFailed | Número de sondeos con error durante la comprobación. El valor máximo es 100. |
| Hops | Ruta salto por salto desde el origen al destino. |
| Hops[].Type | Tipo de recurso. Los valores posibles son Origen, VirtualAppliance, VnetLocal e Internet. |
| Hops[].Id | Identificador único del salto. |
| Hops[].Address | Dirección IP del salto. |
| Hops[].ResourceId | Id. de recurso del salto si el salto es un recurso de Azure. Si se trata de un recurso de Internet, ResourceID es Internet. |
| Hops[].NextHopIds | Identificador único del siguiente salto. |
| Hops[].Issues | Una recopilación de los problemas encontrados durante la comprobación del salto. Si no hubiera ningún problema, el valor está en blanco. |
| Hops[].Issues[].Origin | Salto actual donde se produjo el problema. Los valores posibles son: Entrante: el problema se encuentra en el vínculo entre el salto anterior y el salto actual. Saliente: el problema se encuentra en el vinculo entre el salto actual y el próximo salto. Local: El problema se encuentra en el salto actual. |
| Hops[].Issues[].Severity | La gravedad del problema detectado. Los valores posibles son Error y Advertencia. |
| Hops[].Issues[].Type | Tipo del problema detectado. Los valores posibles son: CPU Memoria GuestFirewall DNSResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Detalles relacionados con el problema detectado. |
| Hops[].Issues[].Context[].key | Clave del par clave-valor devuelta. |
| Hops[].Issues[].Context[].value | Valor del par clave-valor devuelto. |
| NextHopAnalysis.NextHopType | Tipo del próximo salto. Los valores posibles son: HyperNetGateway Internet Ninguno VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Dirección IP del próximo salto. |
| Identificador de recurso de la tabla de rutas asociada a la ruta que se va a devolver. Si la ruta devuelta no se corresponde a ninguna ruta creada por el usuario, este campo será la cadena Ruta del sistema. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Perfil de diagnóstico de configuración de red. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Origen del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Destino del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Puerto de destino del tráfico. Los valores posibles son: * y un único puerto en el rango (0 - 65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Protocolo que se va a comprobar. Los valores posibles son: *, TCP y UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | La dirección del tráfico. Los valores posibles son: Saliente y Entrante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Resultado del grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Lista de resultados de diagnóstico de grupos de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | Id.de recurso de la NIC o subred a la que se aplica el grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Regla de seguridad de red coincidente. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Nombre de la regla de seguridad de red coincidente. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | Id. del grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Lista de resultados de evaluación de reglas de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | Valor que indica si el destino coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | Valor que indica si coincide con el puerto de destino. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Nombre de la regla de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | Valor que indica si el protocolo coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | Valor que indica si el origen coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | Valor que indica si el puerto de origen coincide. Valores booleanos. |
| DestinationSecurityRuleAnalysis | Igual que el formato SourceSecurityRuleAnalysis. |
| SourcePortStatus | Determina si el puerto en el origen es accesible o no. Los valores posibles son: Unknown Accesible Inestable NoConnection Tiempo de espera |
| DestinationPortStatus | Determina si el puerto en el destino es accesible o no. Los valores posibles son: Unknown Accesible Inestable NoConnection Tiempo de espera |
En el siguiente ejemplo se muestra un problema encontrado en un salto.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Tipo de error
La solución de problemas de conexiones devuelve tipos de error sobre la conexión. En la siguiente tabla se proporciona una lista de los posibles tipos de errores devueltos.
| Tipo | Descripción |
|---|---|
| CPU | Alta utilización de CPU. |
| Memoria | Alta utilización de memoria. |
| GuestFirewall | El tráfico se bloquea debido a una configuración de firewall de máquina virtual. Un ping de TCP es un caso de uso único en el que, si no hay ninguna regla permitida, el propio firewall responde a la solicitud de ping TCP del cliente aunque el ping TCP no llegue a la dirección IP o FQDN de destino. Este evento no se registra. Si hay una regla de red que permite el acceso a la dirección IP o FQDN de destino, la solicitud de ping llega al servidor de destino y su respuesta se retransmite de nuevo al cliente. Este evento se registra en el registro de reglas de red. |
| DNSResolution | Error en la resolución DNS para la dirección de destino. |
| NetworkSecurityRule | Una regla de grupo de seguridad de red bloquea el tráfico (se devuelve una regla de seguridad). |
| UserDefinedRoute | El tráfico se interrumpe debido a una ruta del sistema o definida por el usuario. |
Paso siguiente
Para obtener información sobre cómo usar la solución de problemas de conexión para probar y solucionar problemas de conexiones, continúe con lo siguiente: