Устранение проблем с подключением к частной конечной точке Azure
В этой статье приводится пошаговое руководство по проверке и диагностике настройки подключения для частной конечной точки Azure.
Частная конечная точка Azure — это сетевой интерфейс, который обеспечивает защищенное частное подключение к службе с поддержкой приватного канала. Это решение помогает защитить рабочие нагрузки в Azure, обеспечивая частное подключение к ресурсам службы Azure из виртуальной сети. Это решение эффективно переносит эти службы в виртуальную сеть.
Ниже приведены сценарии подключения, доступные через частную конечную точку.
Виртуальная сеть из того же региона
Виртуальные сети с региональным пирингом
Виртуальные сети с глобальным пирингом
Локальные сети клиента, доступные через VPN или каналы Azure ExpressRoute
Диагностика проблем с подключением
Для устранения проблем с подключением при настройке частной конечной точки выполните указанные ниже шаги, чтобы должным образом задать все стандартные конфигурации.
Просмотрите конфигурацию частной конечной точки, просмотрив ресурс.
а. Перейдите в Центр Приватного канала.
b. В области слева выберите Частные конечные точки.
c. Выполните фильтрацию и выберите частную конечную точку, для которой необходимо выполнить диагностику.
d. Проверьте сведения о виртуальной сети и DNS.
Убедитесь, что для подключения задано состояние Утверждено.
Убедитесь, что виртуальная машина подключена к виртуальной сети, в которой размещены частные конечные точки.
Убедитесь, что указаны сведения о полном доменном имени (копия) и частный IP-адрес.
Используйте Azure Monitor, чтобы узнать, передаются ли данные.
а. В ресурсе частной конечной точки выберите Метрики.
Выберите Байты входящего трафика или Байты исходящего трафика.
Проверьте, передаются ли данные при попытке подключения к частной конечной точке. Задержка будет составлять около 10 минут.
Используйте средство устранения неполадок подключения к виртуальной машине из Наблюдателя за сетями Azure.
а. Выберите клиентскую виртуальную машину.
b. Выберите устранение неполадок подключения и перейдите на вкладку Исходящие подключения.
c. Выберите Использовать Наблюдатель за сетями для подробной трассировки подключения.
d. Выберите Test by FQDN (Проверить по полному доменному имени).
Вставьте полное доменное имя из ресурса частной конечной точки.
Укажите порт. Как правило, для службы хранилища Azure и Azure Cosmos DB используется порт 443, а для SQL — 1336.
д) Выберите Тест и проверьте результаты теста.
Для разрешения DNS в результатах теста частной конечной точке должен быть назначен тот же частный IP-адрес.
а. Если параметры DNS неверны, выполните следующие действия.
При использовании частной зоны:
Убедитесь, что виртуальная сеть клиентской виртуальной машины связана с частной зоной.
Проверьте, существует ли запись частной зоны DNS. Если она отсутствует, создайте ее.
При использование пользовательской службы DNS:
- Проверьте параметры пользовательской службы DNS и убедитесь в правильности конфигурации DNS. Инструкции см. в обзоре частных конечных точек, в разделе "Конфигурация DNS".
b. Если подключение завершается сбоем из-за групп безопасности сети или определяемых пользователем маршрутов, сделайте следующее.
Проверьте правила исходящего трафика группы безопасности сети и создайте соответствующие правила для исходящего трафика, чтобы разрешить трафик.
Исходная виртуальная машина должна иметь маршрут к IP-адресу частной конечной точки следующим прыжком как InterfaceEndpoints в действующих маршрутах сетевого интерфейса.
а. Если вы не видите маршрут частной конечной точки на исходной виртуальной машине, проверка, если
Исходная виртуальная машина и частная конечная точка являются частью одной виртуальной сети. Если да, необходимо обратиться в службу поддержки.
Исходная виртуальная машина и частная конечная точка являются частью разных виртуальных сетей, которые напрямую связаны друг с другом. Если да, необходимо обратиться в службу поддержки.
Исходная виртуальная машина и частная конечная точка являются частью разных виртуальных сетей, которые не связаны между собой напрямую, а затем проверка для IP-подключения между виртуальными сетями.
Если результаты проверки подключения верны, проблема с подключением может быть связана с другими аспектами, например секретами, токенами и пароли на уровне приложения.
- В этом случае проверьте конфигурацию ресурса приватного канала, связанного с частной конечной точкой. Дополнительные сведения см. в руководстве по устранению неполадок Приватного канала Azure.
Прежде чем отправлять запрос в службу поддержки, рекомендуется сузить область поиска ее причины.
а. Если источник находится в локальной среде, при подключении к частной конечной точке в Azure возникают проблемы, то:
Попробуйте подключиться к другой виртуальной машине из локальной среды. Проверьте, есть ли у вас IP-подключение к виртуальной сети из локальной среды.
Попробуйте подключиться из виртуальной машины в виртуальной сети к частной конечной точке.
b. Если источником является Azure, а частная конечная точка находится в другой виртуальной сети, то:
Попробуйте подключиться к частной конечной точке из другого источника. Подключився из другого источника, можно изолировать все проблемы, связанные с виртуальными машинами.
Попробуйте подключиться к любой виртуальной машине, которая является частью той же виртуальной сети частной конечной точки.
Если частная конечная точка связана со службой Приватный канал, связанной с подсистемой балансировки нагрузки, проверка, если внутренний пул сообщает о работоспособности. Исправление работоспособности подсистемы балансировки нагрузки устраняет проблему с подключением к частной конечной точке.
Вы можете просмотреть визуальную схему или представление ресурсов связанных ресурсов, метрик и аналитических сведений, перейдя по следующим разделам:
Azure Monitor
Сети
Частные конечные точки
Представление ресурсов
Если проблема с подключением не устранена, обратитесь в Службу поддержки Azure.