Memecahkan masalah akses, penyerapan, dan pengoperasian kluster Azure Data Explorer Anda di jaringan virtual Anda

Penting

Pertimbangkan untuk pindah ke solusi berbasis Titik Akhir Privat Azure untuk menerapkan keamanan jaringan dengan Azure Data Explorer. Ini kurang rawan kesalahan dan menyediakan paritas fitur.

Di bagian ini Anda mempelajari cara memecahkan masalah konektivitas, operasional, dan pembuatan kluster untuk kluster yang disebarkan ke Virtual Network Anda.

Masalah akses

Jika Anda mengalami masalah saat mengakses kluster menggunakan titik akhir publik (cluster.region.kusto.windows.net) atau privat (private-cluster.region.kusto.windows.net) dan Anda menduga itu terkait dengan penyiapan jaringan virtual, lakukan langkah-langkah berikut untuk memecahkan masalah.

Periksa konektivitas TCP

Langkah pertama termasuk memeriksa konektivitas TCP menggunakan OS Windows atau Linux.

Windows

1. Unduh TCping ke komputer yang terhubung ke kluster.

2. Ping tujuan dari komputer sumber dengan menggunakan perintah berikut:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Menginstal netcat di komputer yang terhubung ke kluster

   apt-get install netcat
   

2. Ping tujuan dari komputer sumber dengan menggunakan perintah berikut:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Jika pengujian tidak berhasil, lanjutkan dengan langkah-langkah berikut. Jika pengujian berhasil, masalah ini bukan karena masalah konektivitas TCP. Buka masalah operasional untuk memecahkan masalah lebih lanjut.

Periksa aturan Kelompok Keamanan Jaringan (NSG)

Periksa apakah NSG yang terpasang pada subnet kluster, memiliki aturan masuk yang memungkinkan akses dari IP komputer klien untuk port 443.

Periksa tabel rute dikonfigurasi untuk mencegah masalah akses

Jika subnet kluster dikonfigurasi untuk memaksa terowongan semua lalu lintas yang terikat internet kembali ke firewall Anda (subnet dengan tabel rute yang berisi rute default '0.0.0.0/0'), pastikan bahwa alamat IP komputer memiliki rute dengan jenis hop berikutnya ke VirtualNetwork/Internet. Rute ini diperlukan untuk mencegah masalah rute asimetris.

Masalah penyerapan

Jika Anda mengalami masalah penyerapan dan mencurigainya terkait dengan penyiapan jaringan virtual, lakukan langkah-langkah berikut.

Periksa kesehatan penyerapan

Periksa apakah metrik penyerapan kluster menunjukkan status sehat.

Memeriksa aturan keamanan pada sumber daya sumber data

Jika metrik menunjukkan bahwa tidak ada peristiwa yang diproses dari sumber data (Metrik peristiwa yang diproses untuk Event/IoT Hubs), pastikan bahwa sumber daya sumber data (Azure Event Hubs atau Storage) mengizinkan akses dari subnet kluster di aturan firewall atau titik akhir layanan.

Periksa aturan keamanan yang dikonfigurasi pada subnet kluster

Pastikan subnet kluster memiliki aturan NSG, UDR, dan firewall dikonfigurasi dengan benar. Selain itu, uji konektivitas jaringan untuk semua titik akhir dependen.

Masalah pembuatan dan operasi kluster

Jika Anda mengalami masalah pembuatan atau operasi kluster dan Mencurigainya terkait dengan penyiapan jaringan virtual, ikuti langkah-langkah ini untuk memecahkan masalah.

Periksa konfigurasi "server DNS"

Menyiapkan Titik Akhir Privat memerlukan konfigurasi DNS, Kami hanya mendukung penyiapan zona DNS Privat Azure. Penyiapan server DNS kustom tidak mendukung, periksa apakah rekaman yang dibuat sebagai bagian dari titik akhir privat didaftarkan ke zona DNS Privat Azure.

Mendiagnosis jaringan virtual dengan REST API

ARMClient digunakan untuk memanggil REST API menggunakan PowerShell.

1. Masuk dengan ARMClient

   armclient login
   

2. Memanggil operasi diagnosis

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Periksa respons

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Tunggu penyelesaian operasi

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Tunggu hingga properti status menunjukkan Selesai, maka bidang properti akan ditampilkan:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Jika properti Temuan menunjukkan hasil kosong, itu berarti bahwa semua pengujian jaringan lulus dan tidak ada koneksi yang rusak. Jika kesalahan berikut ditampilkan, Dependensi keluar '{dependencyName}:{port}' mungkin tidak terpenuhi (Keluar), kluster tidak dapat mencapai titik akhir layanan dependen. Lanjutkan dengan langkah-langkah berikut.

Periksa aturan NSG

Pastikan bahwa NSG dikonfigurasi dengan benar sesuai instruksi dalam Mengonfigurasi aturan Kelompok Keamanan Jaringan.

Periksa tabel rute dikonfigurasi untuk mencegah masalah penyerapan

Jika subnet kluster dikonfigurasi untuk memaksa terowongan semua lalu lintas yang terikat internet kembali ke firewall Anda (subnet dengan tabel rute yang berisi rute default '0.0.0.0/0') pastikan bahwa alamat IP manajemen) dan alamat IP pemantauan kesehatan memiliki rute dengan jenis hop Berikutnya Internet, dan awalan alamat sumber ke 'management-ip/32' dan 'health-monitoring-ip/32'. Rute ini diperlukan untuk mencegah masalah rute asimetris.

Periksa aturan firewall

Jika Anda memaksa lalu lintas keluar subnet terowongan ke firewall, pastikan semua dependensi FQDN (misalnya, .blob.core.windows.net) diizinkan dalam konfigurasi firewall seperti yang dijelaskan dalam mengamankan lalu lintas keluar dengan firewall.

Masalah penangguhan kluster

Jika kluster gagal ditangguhkan, konfirmasikan bahwa tidak ada kunci pada sumber daya jaringan di langganan Anda.