Bagikan melalui

Memecahkan masalah status pemeriksaan kesehatan Azure Load Balancer

  • Artikel

Halaman ini menyediakan informasi pemecahan masalah pertanyaan umum pemeriksaan kesehatan Azure Load Balancer.

Gejala: VM di belakang Load Balancer tidak merespons pemeriksaan kesehatan

Agar server backend berpartisipasi dalam set load balancer, mereka harus melewati pemeriksaan probe. Untuk informasi selengkapnya tentang pemeriksaan kesehatan, lihat Memahami Probe Load Balancer

VM kumpulan backend Load Balancer mungkin tidak menanggapi probe karena salah satu alasan berikut:

  • Load Balancer backend pool VM tidak sehat
  • VM kumpulan backend Load Balancer tidak mendengarkan pada port probe
  • Firewall, atau kelompok keamanan jaringan memblokir port pada VM kumpulan backend Load Balancer
  • Kesalahan konfigurasi lainnya di Load Balancer

Penyebab 1: Load Balancer kumpulan backend VM tidak sehat

Validasi dan resolusi

Untuk mengatasi masalah ini, masuk ke VM yang berpartisipasi, dan periksa apakah status VM sehat, dan dapat merespons PsPing atau TCPing dari VM lain di kumpulan. Jika VM tidak sehat, atau tidak dapat menanggapi probe, Anda harus memperbaiki masalah dan membuat VM kembali ke kondisi sehat sebelum dapat berpartisipasi dalam load balancing.

Penyebab 2: VM kumpulan backend Load Balancer tidak mendengarkan di port probe

Jika VM sehat, tetapi tidak merespons pemeriksaan, maka salah satu kemungkinan alasannya adalah port probe tidak terbuka pada VM yang berpartisipasi, atau VM tidak mendengarkan di port tersebut.

Validasi dan resolusi

  1. Masuk ke VM backend.
  2. Buka perintah dan jalankan perintah berikut untuk memvalidasi ada aplikasi yang mendengarkan di port probe: netstat -an
  3. Jika status port tidak tercantum sebagai LISTENING, konfigurasikan port yang tepat.
  4. Atau, pilih port lain yang terdaftar sebagai LISTENING dan perbarui konfigurasi load balancer yang sesuai.

Penyebab 3: Firewall, atau kelompok keamanan jaringan memblokir port pada VM kumpulan backend Load Balancer

Jika firewall pada VM memblokir port probe, atau satu atau beberapa grup keamanan jaringan yang dikonfigurasi pada subnet atau pada VM, tidak memungkinkan pemeriksaan mencapai port, VM tidak dapat merespons pemeriksaan kesehatan.

Validasi dan resolusi

  1. Jika firewall diaktifkan, periksa apakah firewall dikonfigurasi untuk mengizinkan port probe. Jika tidak, konfigurasikan firewall untuk memungkinkan lalu lintas pada port probe, dan uji lagi.
  • Periksa untuk memastikan firewall VM Anda tidak memblokir lalu lintas pemeriksaan yang berasal dari alamat IP 168.63.129.16
  • Anda dapat memeriksa port mendengarkan dengan menjalankan netstat -a dari prompt perintah Windows atau dari netstat -l terminal Linux
  • Anda dapat mengkueri profil firewall untuk memeriksa apakah kebijakan Anda memblokir lalu lintas masuk dengan menjalankan netsh advfirewall show allprofiles | more dari perintah Windows atau sudo iptables -L dari terminal Linux untuk melihat semua aturan firewall yang dikonfigurasi.
  • Detail selengkapnya mengenai pemecahan masalah firewall untuk mesin virtual Azure, lihat Firewall OS Tamu mesin virtual Azure memblokir lalu lintas masuk.
  1. Dari daftar kelompok keamanan jaringan, periksa apakah lalu lintas masuk atau keluar pada port probe mengalami gangguan.
  2. Juga, periksa apakah aturan Kelompok Keamanan Jaringan Tolak Semua pada NIC VM atau subnet yang memiliki prioritas lebih tinggi daripada aturan default yang memungkinkan probe LB & lalu lintas (kelompok keamanan jaringan harus mengizinkan Load Balancer IP 168.63.129.16).
  3. Jika salah satu aturan ini memblokir lalu lintas probe, hapus dan konfigurasi ulang aturan untuk memungkinkan lalu lintas pemeriksaan. 
  4. Uji apakah VM sekarang telah mulai menanggapi pemeriksaan kesehatan.

Penyebab 4: Kesalahan konfigurasi lainnya di Load Balancer

Jika semua penyebab sebelumnya tampaknya divalidasi dan diselesaikan dengan benar, dan VM backend masih tidak merespons pemeriksaan kesehatan, maka uji konektivitas secara manual, dan kumpulkan beberapa jejak untuk memahami konektivitas.

Validasi dan resolusi

  1. Gunakan Psping dari salah satu VM lain dalam VNet untuk menguji respons port probe (misalnya: .\psping.exe -t 10.0.0.4:3389) dan catat hasilnya.
  2. Gunakan TCPing dari salah satu VM lain dalam VNet untuk menguji respons port probe (misalnya: .\psping.exe -t 10.0.0.4 3389) dan catat hasilnya.
  3. Jika tidak ada respons yang diterima dalam pengujian ping ini, maka
    • Jalankan jejak Netsh simultan pada kumpulan backend target VM dan uji VM lain dari VNet yang sama. Sekarang, jalankan tes PsPing untuk beberapa waktu, kumpulkan beberapa jejak jaringan, dan kemudian hentikan tes.
    • Analisis penangkapan jaringan dan lihat apakah ada paket masuk dan keluar yang terkait dengan kueri ping.
      • Jika tidak ada paket masuk yang diamati pada VM kumpulan backend, kemungkinan ada kelompok keamanan jaringan atau kesalahan konfigurasi UDR yang memblokir lalu lintas.
      • Jika tidak ada paket keluar yang diamati pada pool backend VM, VM perlu diperiksa untuk masalah yang tidak terkait (misalnya, Aplikasi memblokir port probe).
    • Verifikasi apakah paket probe dipaksa ke tujuan lain (mungkin melalui pengaturan UDR) sebelum mencapai load balancer. Hal ini dapat menyebabkan lalu lintas tidak pernah mencapai VM backend.
  4. Ubah jenis probe (misalnya, HTTP ke TCP), dan konfigurasikan port yang sesuai dalam kelompok keamanan jaringan ACL dan firewall untuk memvalidasi apakah masalahnya adalah dengan konfigurasi respons probe. Untuk informasi selengkapnya tentang konfigurasi pemeriksaan kesehatan, lihat Konfigurasi pemeriksaan kesehatan Titik Akhir Load Balancing.

Langkah berikutnya

Jika langkah-langkah sebelumnya tidak mengatasi masalah, buka tiket dukungan.