Masalah peralatan virtual jaringan di Azure

  • Artikel

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Anda mungkin mengalami masalah dan kesalahan konektivitas VM atau VPN saat menggunakan Perangkat Virtual Jarangan (NVA) pihak ketiga pada Microsoft Azure. Artikel ini menyediakan langkah-langkah dasar untuk membantu Anda memvalidasi persyaratan Platform Azure dasar untuk konfigurasi NVA.

Dukungan teknis untuk NVA pihak ketiga dan integrasinya dengan platform Azure disediakan oleh vendor NVA.

Catatan

Jika Anda memiliki masalah konektivitas atau perutean yang melibatkan NVA, Anda harus menghubungi vendor NVA secara langsung.

Jika masalah Azure Anda tidak diatasi dalam artikel ini, kunjungi forum Azure di Microsoft Q & A dan Stack Overflow. Anda dapat memposting masalah Anda di forum ini, atau memposting ke @AzureSupport di Twitter. Anda juga dapat mengirimkan permintaan dukungan Azure. Untuk mengirimkan permintaan dukungan, pada halaman dukungan Azure, pilih Dapatkan dukungan.

Daftar periksa untuk pemecahan masalah dengan vendor NVA

  • Pembaruan perangkat lunak untuk perangkat lunak VM NVA
  • Penyiapan dan fungsionalitas Akun Layanan
  • Rute yang ditentukan pengguna (UDR) pada subnet jaringan virtual yang mengarahkan lalu lintas ke NVA
  • UDR pada subnet jaringan virtual yang mengarahkan lalu lintas dari NVA
  • Aturan dan tabel perutean dalam NVA (misalnya, dari NIC1 ke NIC2)
  • Menelusuri NVA untuk memverifikasi penerimaan dan pengiriman lalu lintas jaringan
  • Saat menggunakan SKU Standar dan IP Publik, harus ada NSG yang dibuat dan aturan eksplisit untuk mengizinkan lalu lintas agar dialihkan ke NVA.

Langkah-langkah pemecahan masalah

  • Periksa konfigurasi dasar
  • Periksa performa NVA
  • Pemecahan masalah jaringan tingkat lanjut

Periksa persyaratan konfigurasi minimum untuk NVA di Azure

Setiap NVA memiliki persyaratan konfigurasi dasar agar berfungsi dengan benar di Azure. Bagian berikut ini memberikan langkah-langkah untuk memverifikasi konfigurasi dasar ini. Untuk informasi selengkapnya, hubungi vendor NVA.

Periksa apakah penerusan IP diaktifkan di NVA

Menggunakan portal Microsoft Azure

  1. Temukan sumber daya NVA di portal Microsoft Azure, pilih Jaringan, lalu pilih Antarmuka jaringan.
  2. Di halaman Antarmuka jaringan, pilih konfigurasi IP.
  3. Pastikan bahwa penerusan IP aktif.

Menggunakan PowerShell

  1. Buka PowerShell lalu masuk ke akun Azure Anda.

  2. Jalankan perintah berikut (ganti nilai dalam tanda kurung dengan informasi Anda):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>

  3. Periksa properti EnableIPForwarding.

  4. Jika penerusan IP tidak diaktifkan, jalankan perintah berikut untuk mengaktifkannya:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Periksa NSG saat menggunakan IP Publik SKU Standar Saat menggunakan SKU Standar dan IP Publik, harus ada NSG yang dibuat dan aturan eksplisit untuk memungkinkan lalu lintas ke NVA.

Periksa apakah lalu lintas dapat dirutekan ke NVA

  1. Di portal Microsoft Azure, buka Network Watcher, pilih Lompatan Berikutnya.
  2. Tentukan VM yang dikonfigurasi untuk mengalihkan lalu lintas ke NVA, dan alamat IP tujuan tempat melihat lompatan berikutnya.
  3. Jika NVA tidak terdaftar sebagai lompatan berikutnya, periksa dan perbarui tabel rute Azure.

Periksa apakah lalu lintas dapat mencapai NVA

  1. Di portal Microsoft Azure, buka Network Watcher, lalu pilih Verifikasi Alur IP.
  2. Tentukan VM dan alamat IP NVA, lalu periksa apakah lalu lintas terblokir oleh Kelompok keamanan jaringan (NSG) apapun.
  3. Jika ada aturan NSG yang memblokir lalu lintas, temukan NSG dalam aturan keamanan efektif lalu perbarui untuk mengizinkan lalu lintas agar lolos. Kemudian jalankan Verifikasi Alur IP kembali dan gunakan Pemecahan masalah koneksi untuk menguji komunikasi TCP dari VM ke alamat IP internal atau eksternal Anda.

Periksa apakah NVA dan VM mendengarkan lalu lintas yang diharapkan

  1. Sambungkan ke NVA menggunakan RDP atau SSH, lalu jalankan perintah berikut:

    Untuk Windows:

    netstat -an

    Untuk Linux:

    netstat -an | grep -i listen

  2. Jika Anda tidak melihat port TCP yang digunakan perangkat lunak NVA yang tercantum dalam hasil, Anda harus mengonfigurasi aplikasi di NVA dan VM untuk mendengarkan dan menanggapi lalu lintas yang mencapai port tersebut. Hubungi vendor NVA untuk bantuan sesuai kebutuhan.

Periksa Performa NVA

Validasi CPU VM

Jika penggunaan CPU mendekati 100 persen, Anda mungkin mengalami masalah yang memengaruhi turunnya paket jaringan. VM Anda melaporkan CPU rata-rata untuk rentang waktu tertentu di portal Microsoft Azure. Selama lonjakan CPU, selidiki proses mana pada VM tamu yang menyebabkan CPU tinggi, lalu atasi, jika memungkinkan. Anda mungkin juga harus mengubah ukuran VM ke ukuran SKU yang lebih besar atau, untuk kumpulan skala komputer virtual, meningkatkan jumlah instans, atau mengatur ke skala otomatis pada penggunaan CPU. Untuk salah satu masalah ini, hubungi vendor NVA untuk bantuan, sesuai kebutuhan.

Memvalidasi statistik Jaringan VM

Jika jaringan VM menggunakan lonjakan atau menunjukkan periode penggunaan yang tinggi, Anda mungkin juga harus meningkatkan ukuran SKU VM untuk memperoleh kemampuan throughput yang lebih tinggi. Anda juga dapat melakukan penyebaran ulang VM dengan mengaktifkan Accelerated Networking. Untuk memverifikasi apakah NVA mendukung fitur Accelerated Networking, hubungi vendor NVA untuk mendapatkan bantuan, sesuai kebutuhan.

Pemecahan masalah administrator jaringan tingkat lanjut

Mengambil jejak jaringan

Ambil jejak jaringan simultan pada VM sumber, NVA, dan VM tujuan saat Anda menjalankan PsPing atau Nmap, lalu hentikan jejaknya.

  1. Untuk mengambil jejak jaringan secara simultan, jalankan perintah berikut:

    Untuk Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Untuk Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Gunakan PsPing atau Nmap dari VM sumber ke VM tujuan (misalnya: PsPing 10.0.0.4:80 atau Nmap -p 80 10.0.0.4).

  3. Buka jejak jaringan dari VM tujuan menggunakan Pemantauan Jaringan atau tcpdump. Terapkan filter tampilan untuk IP VM Sumber tempat Anda menjalankan PsPing atau Nmap, seperti IPv4.address==10.0.0.4 (Windows netmon) atau tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

Menganalisis jejak

Jika Anda tidak melihat paket yang masuk ke jejak VM backend, kemungkinan ada NSG atau UDR yang mengganggu atau tabel perutean NVA tidak benar.

Jika Anda melihat paket masuk, tetapi tidak ada respons, Anda perlu mengatasi aplikasi VM atau masalah firewall. Untuk salah satu masalah ini, hubungi vendor NVA untuk bantuan sesuai kebutuhan.