英語で読む

次の方法で共有

ネットワーク仮想アプライアンスに関する問題をトラブルシューティングする

  • [アーティクル]

Azure Stack Hub でネットワーク仮想アプライアンス (NVA) を使用する仮想マシンまたは VPN で、接続の問題が発生する場合があります。

この記事は、NVA 構成のための Azure Stack Hub の基本プラットフォーム要件を確認するのに役立ちます。

NVA と、Azure Stack Hub プラットフォームとの統合に対するテクニカル サポートは、NVA のベンダーによって提供されます。

注意

NVA が関係する接続やルーティングの問題がある場合は、直接 NVA のベンダーにお問い合わせいただく必要があります。

Azure Stack Hub での NVA に関する問題をこの記事で対処できない場合は、Azure Stack Hub サポート チケットを作成してください。

NVA のベンダーによるトラブルシューティングを行うためのチェックリスト

  • NVA の VM ソフトウェアの更新。
  • サービス アカウントのセットアップと機能。
  • トラフィックを NVA にダイレクトする仮想ネットワーク サブネット上のユーザー定義ルート (UDR)。
  • NVA からトラフィックをダイレクトする仮想ネットワーク サブネット上の UDR。
  • NVA 内のテーブルとルールのルーティング (例: NIC1 から NIC2)。
  • ネットワーク トラフィックの送受信を確認するための NVA NIC のトレース。

基本的なトラブルシューティングの手順

  1. 基本構成の確認。
  2. NVA のパフォーマンスの確認。
  3. 高度なネットワークのトラブルシューティングの実行。

Azure 上の NVA に対する最小構成要件の確認

各 NVA が Azure Stack Hub 上で正常に機能するには、基本的な構成要件を満たす必要があります。 このセクションでは、これらの基本構成を確認するための手順を示します。 詳細については、NVA のベンダーにお問い合わせください

重要

パケットで S2S トンネルが使用される場合は、追加のヘッダーでさらにカプセル化されます。 このカプセル化により、各パケットの全体的なサイズが増加します。

このシナリオでは、TCP MSS を 1,350 バイトで固定する必要があります。 お使いの VPN デバイスで MSS クランプがサポートされていない場合は、代わりにトンネル インターフェイスの MTU を 1,400 バイトに設定できます。

詳細については、仮想ネットワークの TCP/IP パフォーマンスのチューニングに関する記事を参照してください。

NVA で IP 転送が有効かどうかを確認する

  1. Azure Stack Hub ポータルで NVA リソースを検索し、 [ネットワーク] を選択して、ネットワーク インターフェイスを選択します。
  2. [ネットワーク インターフェイス] ページで、 [IP 構成] を選択します。
  3. IP 転送が有効になっていることを確認します。

トラフィックを NVA にルーティングできるかどうかを確認する

  1. NVA にトラフィックをリダイレクトするように構成されている VM を見つけます。
  2. NVA が次ホップであることを確認するには、Tracert <Private IP of NVA> (Windows の場合) または Traceroute <Private IP of NVA> を実行します。
  3. NVA が次ホップとして一覧表示されていない場合は、Azure Stack Hub のルート テーブルを確認して更新します。

ゲストレベルのオペレーティング システムによっては、ICMP トラフィックをブロックするためのファイアウォール ポリシーが配置されていることがあります。 これらのファイアウォール ルールを機能させるために、前のコマンドで更新する必要があります。

トラフィックで NVA に到達できるかどうかを確認する

  1. NVA に接続する必要がある VM を見つけます。
  2. ネットワーク セキュリティ グループ (NSG) によってトラフィックがブロックされているかどうかを確認します。 Windows の場合、ping (ICMP) または Test-NetConnection <Private IP of NVA> (TCP) を実行します。 Linux の場合、Tcpping <Private IP of NVA> を実行します。
  3. NSG によってトラフィックがブロックされている場合は、トラフィックを許可するように変更します。

NVA と VM で予期されるトラフィックがリッスンされているかどうかを確認する

  1. RDP または SSH を使用して NVA に接続した後、次のコマンドを実行します。

    Windows

    netstat -an

    Linux

    netstat -an | grep -i listen

  2. 結果に示されている NVA ソフトウェアによって使用されている TCP ポートを探します。 それらを確認できない場合は、NVA と VM 上のアプリケーションを、これらのポートに到達するトラフィックをリッスンして応答するように構成してします。 サポートが必要な場合は NVA のベンダーにお問い合わせください

NVA のパフォーマンスの確認

VM の CPU 使用率を確認する

CPU 使用率が 100 パーセントに近くなると、ネットワーク パケットの破棄に影響する問題が発生する可能性があります。

CPU のスパイク時に、高い CPU の原因となっているゲスト VM 上のプロセスを調べます。 可能であれば、使用率を軽減します。

また、場合によっては、VM の SKU サイズを増やすか、仮想マシン スケール セットであれば、インスタンス数を増やす必要があります。

サポートが必要な場合は、NVA のベンダーにお問い合わせください

VM ネットワークの統計を検証する

VM ネットワークでスパイクが使用される場合、または使用率が高い期間が示される場合は、VM の SKU サイズを大きくしてスループットを向上させることを検討してください。

高度なネットワーク管理者のトラブルシューティング

ネットワーク トレースをキャプチャする

PsPing または Nmap の実行中に、ソース VM、宛先 VM、および NVA で、同時ネットワーク トレースをキャプチャします。 その後、トレースを停止します。

  1. 同時ネットワーク追跡をキャプチャするには、次のコマンドを実行します。

    Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. ソース VM から宛先 VM に対して PsPing または Nmap を使用します。 たとえば、PsPing 10.0.0.4:80Nmap -p 80 10.0.0.4 などです。

  3. tcpdump か自分で選んだパケット アナライザーを利用し、宛先 VM からネットワーク トレースを開きます。 PsPing または Nmap を実行できるソース VM の IP に表示フィルターを適用します。 Windows での netmon の例は IPv4.address==10.0.0.4です。 Linux での例は tcpdump -nn -r vmtrace.cap srcdst host 10.0.0.4 などです。

トレースの分析

バックエンド VM トレースにパケットが入ってこない場合は、NSG または UDR により妨害されているか、NVA ルーティング テーブルが正しくない可能性があります。

パケットを確認できるが、応答がない場合は、VM アプリケーションまたはファイアウォールの問題に対処する必要があります。

サポートが必要な場合は、NVA のベンダーにお問い合わせください

サポート チケットの作成

上記の手順で問題が解決しない場合は、サポート チケットを作成し、オンデマンド ログ収集ツールを使用してログを提供してください。