Az Azure Load Balancer háttérbeli forgalmi válaszainak hibaelhárítása

  • Cikk

Ezen a lapon hibaelhárítási információk találhatók az Azure Load Balancer kérdéseivel kapcsolatban.

A terheléselosztó mögötti virtuális gépek a forgalom egyenetlen eloszlását kapják

Ha azt gyanítja, hogy a háttérkészlet tagjai forgalmat kapnak, annak oka az alábbi okok lehetnek. Az Azure Load Balancer kapcsolatok alapján osztja el a forgalmat. Mindenképpen ellenőrizze a forgalom elosztását kapcsolatonként és nem csomagonként. Ellenőrizze, hogy az előre konfigurált Load Balancer Elemzések irányítópulton használja-e a Flow Distribution lapot.

Az Azure Load Balancer nem támogatja a valódi ciklikus időszeleteléses terheléselosztást, de támogatja a kivonatalapú terjesztési módot.

1. ok: A munkamenet-adatmegőrzés konfigurálva van

A forrásmegőrzési elosztási mód használata a forgalom egyenetlen eloszlását okozhatja. Ha ez a disztribúció nem kívánatos, frissítse a munkamenetek megőrzését a None értékre, így a forgalom a háttérkészlet összes kifogástalan példánya között el van osztva. További információ az Azure Load Balancer terjesztési módjairól.

2. ok: Proxy van konfigurálva

A proxyk mögött futó ügyfelek a terheléselosztó szempontjából egyetlen egyedi ügyfélalkalmazásnak tekinthetők.

A terheléselosztó mögötti virtuális gépek nem válaszolnak a konfigurált adatporton lévő forgalomra

Ha egy háttérkészlet virtuális gépe kifogástalan állapotúként van felsorolva, és az állapotmintákra válaszol, de továbbra sem vesz részt a terheléselosztásban, vagy nem válaszol az adatforgalomra, az a következő okok valamelyikének lehet az oka:

  • A terheléselosztó háttérkészlet virtuális gépe nem figyeli az adatportot

  • A hálózati biztonsági csoport blokkolja a portot a terheléselosztó háttérkészlet virtuális gépén

  • A terheléselosztó elérése ugyanabból a virtuális gépről és hálózati adapterről

  • Az internetes terheléselosztó előtérének elérése a részt vevő terheléselosztó háttérkészlet virtuális gépéről

1. ok: A terheléselosztó háttérkészlet virtuális gépe nem figyeli az adatportot

Ha egy virtuális gép nem válaszol az adatforgalomra, annak az lehet az oka, hogy a célport nem nyílik meg a résztvevő virtuális gépen, vagy a virtuális gép nem figyeli az adott portot.

Ellenőrzés és megoldás

  1. Jelentkezzen be a háttérbeli virtuális gépre.

  2. Nyisson meg egy parancssort, és futtassa a következő parancsot annak ellenőrzéséhez, hogy egy alkalmazás figyeli-e az adatportot: 

    netstat -an

  3. Ha a port nem szerepel a figyelő állapotában, konfigurálja a megfelelő figyelőportot

  4. Ha a port figyelőként van megjelölve, ellenőrizze az adott porton lévő célalkalmazást az esetleges problémákért.

2. ok: Egy hálózati biztonsági csoport blokkolja a portot a terheléselosztó háttérkészlet virtuális gépén

Ha egy vagy több, az alhálózaton vagy a virtuális gépen konfigurált hálózati biztonsági csoport blokkolja a forrás IP-címet vagy portot, akkor a virtuális gép nem tud válaszolni.

A nyilvános terheléselosztó esetében az internetes ügyfelek IP-címe lesz használva az ügyfelek és a terheléselosztó háttérbeli virtuális gépei közötti kommunikációhoz. Győződjön meg arról, hogy az ügyfelek IP-címe engedélyezett a háttérbeli virtuális gép hálózati biztonsági csoportjában.

  1. Listázhatja a háttérbeli virtuális gépen konfigurált hálózati biztonsági csoportokat. További információ: Hálózati biztonsági csoportok kezelése

  2. A hálózati biztonsági csoportok listájában ellenőrizze, hogy:

    • Az adatport bejövő vagy kimenő forgalma interferenciát okoz.

    • A virtuális gép hálózati adapterén vagy az alhálózaton a terheléselosztó mintavételezését és forgalmát engedélyező alapértelmezett szabály (a hálózati biztonsági csoportoknak engedélyeznie kell a 168.63.129.16-os terheléselosztó IP-címét, vagyis a mintavételi portot)

  3. Ha valamelyik szabály blokkolja a forgalmat, távolítsa el és konfigurálja újra ezeket a szabályokat az adatforgalom engedélyezéséhez. 

  4. Tesztelje, hogy a virtuális gép megkezdte-e a válaszadást az állapotmintákra.

3. ok: A belső terheléselosztó elérése ugyanabból a virtuális gépből és hálózati adapterről

Ha egy belső terheléselosztó háttérbeli virtuális gépén üzemeltetett alkalmazás egy másik, ugyanazon a háttérbeli virtuális gépen üzemeltetett alkalmazást próbál elérni ugyanazon a hálózati adapteren keresztül, az nem támogatott forgatókönyv, és sikertelen lesz.

Resolution (Osztás)

A problémát az alábbi módszerek egyikével oldhatja meg:

  • Alkalmazásonként konfiguráljon külön háttérkészletbeli virtuális gépeket.

  • Konfigurálja az alkalmazást kettős hálózati adapteres virtuális gépeken, hogy minden alkalmazás saját hálózati adaptert és IP-címet használjon.

4. ok: A belső terheléselosztó előtérének elérése a részt vevő terheléselosztó háttérkészlet virtuális gépéről

Ha egy belső terheléselosztó egy virtuális hálózaton belül van konfigurálva, és az egyik résztvevő háttérbeli virtuális gépe megpróbál hozzáférni a belső terheléselosztó előtéréhez, hibák léphetnek fel, ha a folyamat az eredeti virtuális géphez van leképezve. Ez a forgatókönyv nem támogatott.

Resolution (Osztás)

Ezt a forgatókönyvet többféleképpen is feloldhatja, beleértve a proxy használatát is. Értékelje ki az Application Gatewayt vagy más külső proxykat (például nginx vagy haproxy). További információ az Application Gatewayről: Az Application Gateway áttekintése

Részletek

A belső terheléselosztók nem fordítják le a kimenő kapcsolatokat a belső terheléselosztó előterére, mert mindkettő privát IP-címtérben található. A nyilvános terheléselosztók kimenő kapcsolatokat biztosítanak a virtuális hálózaton belüli privát IP-címekről a nyilvános IP-címekre. A belső terheléselosztók esetében ez a megközelítés elkerüli az SNAT-portok esetleges kimerülését egy egyedi belső IP-címtérben, ahol nincs szükség fordításra.

Ennek az a mellékhatása, hogy ha a háttérkészletben lévő virtuális gép kimenő folyamata a készlet belső terheléselosztójának elejére kísérli meg a folyamatot, és vissza van képezve magára, a folyamat két lába nem egyezik meg. Mivel nem egyeznek, a folyamat meghiúsul. A folyamat akkor sikeres, ha a folyamat nem a háttérkészlet ugyanazon virtuális gépére képezte vissza a folyamatot az előtérbe.

Amikor a folyamat visszaképezi magát, a kimenő folyamat úgy tűnik, hogy a virtuális gépről az előtérre származik, és úgy tűnik, hogy a megfelelő bejövő folyamat magától a virtuális géptől származik. A vendég operációs rendszer szempontjából ugyanannak a folyamatnak a bejövő és kimenő részei nem egyeznek meg a virtuális gépen belül. A TCP-verem nem fogja felismerni ugyanannak a folyamatnak a felét, mintha ugyanannak a folyamatnak a része. A forrás és a cél nem egyezik. Amikor a folyamat leképezi a háttérkészlet bármely más virtuális gépét, a folyamat felei megegyeznek, és a virtuális gép képes válaszolni a folyamatra.

Ennek a forgatókönyvnek a tünete az időszakos kapcsolat időtúllépése, amikor a folyamat visszatér a folyamatot létrehozó háttérrendszerhez. A gyakori kerülő megoldások közé tartozik egy proxyréteg beszúrása a belső terheléselosztó mögött, valamint a Direct Server Return (DSR) stílusszabályok használata. További információ: Több előtér az Azure Load Balancerhez.

A belső terheléselosztót kombinálhatja bármely külső proxyval, vagy használhatja a belső Application Gatewayt proxyforgatókönyvekhez HTTP/HTTPS használatával. Bár a probléma megoldásához használhat nyilvános terheléselosztót, az eredményül kapott forgatókönyv hajlamos az SNAT-kimerültségre. Kerülje ezt a második megközelítést, kivéve, ha gondosan kezelik.

Következő lépések

Ha az előző lépések nem oldják meg a problémát, nyisson meg egy támogatási jegyet.