Panoramica della risoluzione dei problemi di connessione
Con l'aumento dei carichi di lavoro sofisticati e ad alte prestazioni in Azure, è necessario aumentare la visibilità e il controllo sullo stato operativo di reti complesse che eseguono questi carichi di lavoro. Queste reti complesse vengono implementate usando gruppi di sicurezza di rete, firewall, route definite dall'utente e risorse fornite da Azure. Le configurazioni complesse rendono difficile la risoluzione dei problemi di connettività.
La funzionalità di risoluzione dei problemi di connessione di Azure Network Watcher consente di ridurre la quantità di tempo per diagnosticare e risolvere i problemi di connettività di rete. I risultati restituiti possono fornire informazioni dettagliate sulla causa radice del problema di connettività e se è dovuto a un problema di piattaforma o di configurazione dell'utente.
La risoluzione dei problemi di connessione riduce il tempo medio di risoluzione (MTTR) fornendo un metodo completo per eseguire tutti i controlli principali della connessione per rilevare i problemi relativi ai gruppi di sicurezza di rete, alle route definite dall'utente e alle porte bloccate. Fornisce i risultati seguenti con informazioni dettagliate utili in cui viene fornita una guida dettagliata o una documentazione corrispondente per una risoluzione più rapida:
- Test della connettività con tipi di destinazione diversi (VM, URI, FQDN o indirizzo IP)
- Problemi di configurazione che influisce sulla raggiungibilità
- Tutti i possibili percorsi hop per hop dall'origine alla destinazione
- Latenza hop per hop
- Latenza (minima, massima e media tra origine e destinazione)
- Visualizzazione della topologia grafica dall'origine alla destinazione
- Numero di probe non riusciti durante il controllo della risoluzione dei problemi di connessione
Tipi di origine e destinazione supportati
La risoluzione dei problemi di connessione offre la possibilità di controllare le connessioni TCP o ICMP da una di queste risorse di Azure:
- Macchine virtuali
- set di scalabilità di macchine virtuali
- Istanze di Azure Bastion
- Gateway applicazione (ad eccezione di v1)
Importante
La risoluzione dei problemi di connessione richiede che la macchina virtuale da cui si esegue la risoluzione dei problemi abbia installato l'estensione macchina virtuale dell'agente Network Watcher. L'estensione non è necessaria nella macchina virtuale di destinazione.
- Per installare l'estensione in una macchina virtuale Windows, vedere Estensione macchina virtuale dell'agente Network Watcher per Windows.
- Per installare l'estensione in una macchina virtuale Linux, vedere Estensione macchina virtuale dell'agente Network Watcher per Linux.
- Per aggiornare un'estensione già installata, vedere Aggiornare l'estensione macchina virtuale dell'agente Network Watcher alla versione più recente.
La risoluzione dei problemi di connessione può testare le connessioni a una di queste destinazioni:
- Macchine virtuali
- Nomi di dominio completi (FQDN)
- Uniform Resource Identifier (URI)
- Indirizzi IP
Problemi rilevati dalla risoluzione dei problemi di connessione
La risoluzione dei problemi di connessione può rilevare i tipi di problemi seguenti che possono influire sulla connettività:
- Utilizzo elevato della CPU della macchina virtuale
- Utilizzo elevato della memoria delle macchine virtuali
- Regole del firewall della macchina virtuale (guest) che bloccano il traffico
- Errori di risoluzione DNS
- Route non configurate correttamente o mancanti
- Regole del gruppo di sicurezza di rete (NSG) che bloccano il traffico
- Impossibilità di aprire un socket nella porta di origine specificata
- Voci del protocollo di risoluzione degli indirizzi mancanti per i circuiti Azure ExpressRoute
- Server non in ascolto sulle porte di destinazione designate
Response
Nella tabella seguente vengono illustrate le proprietà restituite dopo la risoluzione dei problemi di connessione in esecuzione.
| Proprietà | Descrizione |
|---|---|
| ConnectionStatus | Lo stato del controllo della connettività. I risultati possibili sono Reachable e Unreachable. |
| AvgLatencyInMs | Latenza media durante il controllo della connettività, espressa in millisecondi. (Visualizzato solo se lo stato del controllo è raggiungibile). |
| MinLatencyInMs | Latenza minima durante il controllo della connettività, espressa in millisecondi. (Visualizzato solo se lo stato del controllo è raggiungibile). |
| MaxLatencyInMs | Latenza massima durante il controllo della connettività, espressa in millisecondi. (Visualizzato solo se lo stato del controllo è raggiungibile). |
| ProbesSent | Numero di probe inviati durante il controllo. Il valore massimo è 100. |
| ProbesFailed | Numero di probe non riusciti durante il controllo. Il valore massimo è 100. |
| Hops | Hop per percorso hop da origine a destinazione. |
| Hops[].Type | Tipo di risorsa. I valori possibili sono: Source, VirtualAppliance, VnetLocal e Internet. |
| Hops[].Id | Identificatore univoco dell'hop. |
| Hops[].Address | Indirizzo IP dell'hop. |
| Hops[].ResourceId | ID risorsa dell'hop se l'hop è una risorsa di Azure. Se si tratta di una risorsa Internet, ResourceID è Internet. |
| Hops[].NextHopIds | Identificatore univoco dell'hop successivo. |
| Hops[].Issues | Raccolta di problemi riscontrati durante il controllo dell'hop. Se non sono stati riscontrati problemi, il valore è vuoto. |
| Hops[].Issues[].Origin | Hop corrente in cui si è verificato il problema. I valori possibili sono: In ingresso : il problema si trova nel collegamento dall'hop precedente all'hop corrente. In uscita : il problema si trova nel collegamento dall'hop corrente all'hop successivo. Local: il problema è nell'hop corrente. |
| Hops[].Issues[].Severity | Gravità del problema rilevato. I valori possibili sono: Error e Warning. |
| Hops[].Issues[].Type | Tipo del problema rilevato. I valori possibili sono: CPU Memory GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Dettagli relativi al problema rilevato. |
| Hops[].Issues[].Context[].key | Chiave della coppia chiave-valore restituita. |
| Hops[].Issues[].Context[].value | Valore della coppia chiave-valore restituito. |
| NextHopAnalysis.NextHopType | Tipo di hop successivo. I valori possibili sono: HyperNetGateway Internet Nessuno VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Indirizzo IP dell'hop successivo. |
| Identificatore della risorsa della tabella di route associata alla route restituita. Se la route restituita non corrisponde ad alcuna route creata dall'utente, questo campo sarà la stringa Route di sistema. | |
| SourceSecurityRuleAnalysis.Results[]. Profilo | Profilo di diagnostica della configurazione di rete. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Source | Origine del traffico. I valori possibili sono: *, indirizzo IP/CIDR e tag di servizio. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Destination | Destinazione del traffico. I valori possibili sono: *, indirizzo IP/CIDR e tag di servizio. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Porta di destinazione del traffico. I valori possibili sono: * e una singola porta nell'intervallo (da 0 a 65535). |
| SourceSecurityRuleAnalysis.Results[]. Profile.Protocol | Protocollo da verificare. I valori possibili sono: *, TCP e UDP. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Direction | Direzione del traffico. I valori possibili sono: in uscita e in ingresso. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Risultato del gruppo di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Elenco dei risultati di diagnostica dei gruppi di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | Il traffico di rete è consentito o negato. I valori possibili sono: Allow e Deny. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo | ID risorsa della scheda di interfaccia di rete o della subnet a cui viene applicato il gruppo di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule | Regola di sicurezza di rete corrispondente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action | Il traffico di rete è consentito o negato. I valori possibili sono: Allow e Deny. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName | Nome della regola di sicurezza di rete corrispondente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | ID gruppo di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Elenco dei risultati della valutazione delle regole di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched | Il valore indica se la destinazione è corrispondente. Valori booleani. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Il valore indica se la porta di destinazione è corrispondente. Valori booleani. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Nome | Nome della regola di sicurezza di rete. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched | Il valore indica se il protocollo corrisponde. Valori booleani. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Il valore indica se l'origine è corrispondente. Valori booleani. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Il valore indica se la porta di origine è corrispondente. Valori booleani. |
| DestinationSecurityRuleAnalysis | Uguale al formato SourceSecurityRuleAnalysis. |
| SourcePortStatus | Determina se la porta all'origine è raggiungibile o meno. I valori possibili sono: Unknown Raggiungibile Instabile NoConnection Timeout |
| DestinationPortStatus | Determina se la porta nella destinazione è raggiungibile o meno. I valori possibili sono: Unknown Raggiungibile Instabile NoConnection Timeout |
L'esempio seguente mostra un problema rilevato in un hop.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Tipi di errore
La funzionalità di risoluzione dei problemi di connessione restituisce i tipi di errore relativi alla connessione. Nella tabella seguente viene fornito un elenco dei possibili tipi di errore restituiti.
| Tipo | Descrizione |
|---|---|
| CPU | Utilizzo elevato della CPU. |
| Memoria | Uso intensivo della memoria. |
| GuestFirewall | Traffico bloccato a causa della configurazione del firewall di una macchina virtuale. Un ping TCP è un caso d'uso univoco in cui, se non esiste alcuna regola consentita, il firewall risponde alla richiesta ping TCP del client anche se il ping TCP non raggiunge l'indirizzo IP di destinazione/FQDN. Questo evento non viene registrato. Se è presente una regola di rete che consente l'accesso all'indirizzo IP/FQDN di destinazione, la richiesta ping raggiunge il server di destinazione e la risposta viene inoltrata al client. Questo evento viene registrato nel log delle regole di rete. |
| DNSResolution | Risoluzione DNS non riuscita per l'indirizzo di destinazione. |
| NetworkSecurityRule | Il traffico viene bloccato da una regola del gruppo di sicurezza di rete (viene restituita una regola di sicurezza). |
| UserDefinedRoute | Traffico ignorato a causa di una route definita dall'utente o di sistema. |
Passaggio successivo
Per informazioni su come usare la risoluzione dei problemi di connessione per testare e risolvere i problemi relativi alle connessioni, continuare con: