Share via

Risolvere i problemi relativi allo stato del probe di integrità Azure Load Balancer

  • Articolo

Questa pagina fornisce informazioni sulla risoluzione dei problemi comuni del probe di integrità di Azure Load Balancer.

Sintomo: le macchine virtuali dietro al Load Balancer non rispondono ai probe di integrità

Per partecipare al set di bilanciamento del carico, i server back-end devono superare il controllo del probe. Per altre informazioni sui probe di integrità, vedere Informazioni sui probe di bilanciamento del carico

Le macchine virtuali del pool back-end di Load Balancer possono non rispondere ai probe per i motivi seguenti:

  • La macchina virtuale del pool back-end di Load Balancer non è integra
  • La macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta del probe
  • Un firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end di Load Balancer
  • Altri errori di configurazione in Load Balancer

Causa 1: la macchina virtuale del pool back-end di Load Balancer non è integra

Convalida e la risoluzione

Per risolvere questo problema, accedere alle macchine virtuali partecipanti e verificare se la macchina virtuale è integra e può rispondere a richieste PsPing o TCPing inviate da un'altra macchina virtuale nel pool. Se la macchina virtuale non è integra o non riesce a rispondere al probe, è necessario risolvere il problema e ripristinare l'integrità della macchina virtuale prima che questa possa partecipare al bilanciamento del carico.

Causa 2: La macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta del probe

Se la macchina virtuale è integra, ma non risponde al probe, è possibile che la porta del probe non sia aperta nella macchina virtuale partecipante o che la macchina virtuale non sia in ascolto su tale porta.

Convalida e la risoluzione

  1. Accedere alla macchina virtuale back-end.
  2. Aprire un prompt dei comandi ed eseguire il comando seguente per verificare che un'applicazione sia in ascolto sulla porta del probe: netstat -an
  3. Se lo stato della porta non è elencato come LISTENING, configurare la porta corretta.
  4. In alternativa, selezionare un'altra porta che sia elencata come LISTENING e aggiornare la configurazione di Load Balancer di conseguenza.

Causa 3: un firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end di Load Balancer

Se il firewall nella macchina virtuale blocca la porta del probe oppure uno o più gruppi di sicurezza di rete configurati nella subnet o nella macchina virtuale non consentono al probe di raggiungere la porta, la macchina virtuale non può rispondere al probe di integrità.

Convalida e la risoluzione

  1. Se il firewall è abilitato, verificare se è configurato per consentire la porta del probe. In caso contrario, configurare il firewall per consentire il traffico nella porta probe e riprovare.
  • Verificare che il firewall della macchina virtuale non blocchi il traffico del probe proveniente dall'indirizzo IP 168.63.129.16
  • È possibile controllare le porte di ascolto eseguendo netstat -a da un prompt dei comandi di Windows o netstat -l da un terminale Linux
  • È possibile eseguire query sui profili firewall per verificare se i criteri bloccano il traffico in ingresso eseguendo netsh advfirewall show allprofiles | more da un prompt dei comandi di Windows o sudo iptables -L da un terminale Linux per visualizzare tutte le regole del firewall configurate.
  • Per altre informazioni sulla risoluzione dei problemi del firewall per le macchine virtuali di Azure, vedere Il firewall del sistema operativo guest della macchina virtuale di Azure blocca il traffico in ingresso.
  1. Dall'elenco dei gruppi di sicurezza di rete, verificare se il traffico in ingresso o in uscita nella porta probe ha interferenze.
  2. Verificare anche se nella scheda di interfaccia di rete della macchina virtuale o nella subnet è presente una regola di tipo Nega tutto di un gruppo di sicurezza di rete avente una priorità superiore rispetto alla regola predefinita che consente il traffico e i probe di Load Balancer. I gruppi di sicurezza di rete devono consentire l'IP 168.63.129.16 di Load Balancer.
  3. Se alcune di queste regole bloccano il traffico probe, rimuoverle e riconfigurarle per consentire il traffico probe. 
  4. Verificare se la macchina virtuale ha ora iniziato a rispondere ai probe di integrità.

Causa 4: altri errori di configurazione in Load Balancer

Se tutte le cause precedenti sembrano essere state verificate e risolte correttamente, ma la macchina virtuale back-end continua a non rispondere al probe di integrità, testare manualmente la connettività e raccogliere alcune tracce per ottenere informazioni sulla connettività stessa.

Convalida e la risoluzione

  1. Usare Psping da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta della porta probe, ad esempio \psping.exe -t 10.0.0.4:3389, e registrare i risultati.
  2. Usare TCPing da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta della porta probe (esempio: \tcping.exe 10.0.0.4 3389) e registrare i risultati.
  3. Se non si ricevono risposte con questi test di ping:
    • Eseguire una traccia Netsh simultanea nella macchina virtuale del pool back-end e un'altra macchina virtuale di test dalla stessa rete virtuale. Eseguire ora un test PsPing per un certo periodo, raccogliere alcune tracce di rete e quindi interrompere il test.
    • Analizzare l'acquisizione di rete e verificare se sono disponibili pacchetti in ingresso e in uscita correlati alla query di ping.
      • Se non si osservano pacchetti in ingresso nella macchina virtuale del pool back-end, è possibile che un gruppo di sicurezza di rete o una UDR configurata in modo errato blocchi il traffico.
      • Se non si osservano pacchetti in uscita nella macchina virtuale del pool back-end, è necessario identificare eventuali problemi non correlati nella macchina virtuale, ad esempio la presenza di un'applicazione che blocca la porta probe.
    • Verificare se i pacchetti probe vengono forzati verso un'altra destinazione, magari tramite impostazioni delle route definite dall'utente, prima di raggiungere il servizio di bilanciamento del carico. Ciò può impedire costantemente al traffico di raggiungere la macchina virtuale back-end.
  4. Modificare il tipo di probe, ad esempio da HTTP a TCP, e configurare la porta corrispondente negli ACL dei gruppi di sicurezza di rete e nel firewall per verificare se il problema è la configurazione della risposta probe. Per altre informazioni sulla configurazione del probe di integrità, vedere la configurazione del probe di integrità di bilanciamento del carico con endpoint.

Passaggi successivi

Se il problema non viene risolto tramite i passaggi precedenti, aprire un ticket di supporto.