Overzicht van verbindingsproblemen
Dankzij de toename van geavanceerde en krachtige workloads in Azure is er een kritieke behoefte aan meer zichtbaarheid en controle over de operationele status van complexe netwerken waarop deze workloads worden uitgevoerd. Dergelijke complexe netwerken worden geïmplementeerd met behulp van netwerkbeveiligingsgroepen, firewalls, door de gebruiker gedefinieerde routes en resources van Azure. Complexe configuraties maken het oplossen van verbindingsproblemen lastig.
De functie voor het oplossen van verbindingsproblemen van Azure Network Watcher helpt de tijd te verkorten om problemen met de netwerkverbinding vast te stellen en op te lossen. De geretourneerde resultaten kunnen waardevolle inzichten bieden met betrekking tot de onderliggende oorzaak van het verbindingsprobleem en of een probleem wordt veroorzaakt door een platform of een gebruikersconfiguratie.
Het oplossen van verbinding vermindert de GEMIDDELDE tijd tot oplossing (MTTR) door een uitgebreide methode te bieden voor het uitvoeren van alle belangrijke controles op verbindingen om problemen met betrekking tot netwerkbeveiligingsgroepen, door de gebruiker gedefinieerde routes en geblokkeerde poorten te detecteren. Het biedt de volgende resultaten met bruikbare inzichten, waarbij een stapsgewijze handleiding of bijbehorende documentatie wordt geboden voor een snellere oplossing:
- Connectiviteitstest met verschillende doeltypen (VM, URI, FQDN of IP-adres)
- Configuratieproblemen die van invloed zijn op de bereikbaarheid
- Alle mogelijke hops per hoppad van de bron naar de bestemming
- Hop per hoplatentie
- Latentie (minimum, maximum en gemiddelde tussen bron en doel)
- Grafische topologieweergave van bron naar doel
- Aantal tests is mislukt tijdens de controle voor het oplossen van problemen met de verbinding
Ondersteunde bron- en doeltypen
Problemen met verbindingen bieden de mogelijkheid om TCP- of ICMP-verbindingen te controleren vanuit een van deze Azure-resources:
- Virtuele machines
- Virtuele-machineschaalsets
- Azure Bastion-exemplaren
- Toepassingsgateways (behalve v1)
Belangrijk
Voor het oplossen van verbindingsproblemen moet de virtuele machine waaruit u problemen oplost, de VM-extensie van de Network Watcher-agent is geïnstalleerd. De extensie is niet vereist op de virtuele doelmachine.
- Als u de extensie op een virtuele Windows-machine wilt installeren, raadpleegt u de VM-extensie voor de Network Watcher-agent voor Windows.
- Als u de extensie op een virtuele Linux-machine wilt installeren, raadpleegt u de VM-extensie voor de Network Watcher-agent voor Linux.
- Als u een al geïnstalleerde extensie wilt bijwerken, raadpleegt u De VM-extensie network Watcher-agent bijwerken naar de nieuwste versie.
Verbindingsproblemen kunnen verbindingen met een van deze bestemmingen testen:
- Virtuele machines
- FQDN's (Fully Qualified Domain Names)
- Uniform resource identifiers (URI's)
- IP-adressen
Problemen gedetecteerd door verbinding oplossen
Verbindingsproblemen kunnen de volgende typen problemen detecteren die van invloed kunnen zijn op de connectiviteit:
- Hoog CPU-gebruik van VM's
- Hoog geheugengebruik van VM's
- Firewallregels voor virtuele machines (gast) die verkeer blokkeren
- DNS-omzettingsfouten
- Onjuist geconfigureerde of ontbrekende routes
- NSG-regels (Netwerkbeveiligingsgroep) die verkeer blokkeren
- Kan geen socket openen op de opgegeven bronpoort
- Ontbrekende adresomzettingsprotocolvermeldingen voor Azure ExpressRoute-circuits
- Servers luisteren niet op aangewezen doelpoorten
Respons
In de volgende tabel ziet u de eigenschappen die worden geretourneerd nadat u verbindingsproblemen hebt uitgevoerd.
| Eigenschappen | Beschrijving |
|---|---|
| ConnectionStatus | De status van de connectiviteitscontrole. Mogelijke resultaten zijn bereikbaar en onbereikbaar. |
| AvgLatencyInMs | Gemiddelde latentie tijdens de connectiviteitscontrole, in milliseconden. (Alleen weergegeven als de controlestatus bereikbaar is). |
| MinLatencyInMs | Minimale latentie tijdens de connectiviteitscontrole, in milliseconden. (Alleen weergegeven als de controlestatus bereikbaar is). |
| MaxLatencyInMs | Maximale latentie tijdens de connectiviteitscontrole, in milliseconden. (Alleen weergegeven als de controlestatus bereikbaar is). |
| ProbesSent | Aantal tests dat tijdens de controle is verzonden. De maximumwaarde is 100. |
| ProbesFailed | Aantal tests dat is mislukt tijdens de controle. De maximumwaarde is 100. |
| Hops | Hop per hoppad van bron naar bestemming. |
| Hops[]. Type | Type resource. Mogelijke waarden zijn: Bron, VirtualAppliance, VnetLocal en Internet. |
| Hops[]. Legitimatiebewijs | Unieke id van de hop. |
| Hops[]. Adres | IP-adres van de hop. |
| Hops[]. ResourceId | Resource-id van de hop als de hop een Azure-resource is. Als het een internetresource is, is ResourceID Internet. |
| Hops[]. NextHopIds | De unieke id van de volgende hop. |
| Hops[]. Kwesties | Een verzameling problemen die zijn opgetreden tijdens de controle van de hop. Als er geen problemen zijn, is de waarde leeg. |
| Hops[]. Problemen[]. Oorsprong | Bij de huidige hop, waar het probleem is opgetreden. Mogelijke waarden zijn: Binnenkomend: probleem staat op de koppeling van de vorige hop naar de huidige hop. Uitgaand : probleem staat op de koppeling van de huidige hop naar de volgende hop. Lokaal - Probleem bevindt zich in de huidige hop. |
| Hops[]. Problemen[]. Strengheid | De ernst van het gedetecteerde probleem. Mogelijke waarden zijn: Fout en Waarschuwing. |
| Hops[]. Problemen[]. Type | Het type van het gedetecteerde probleem. Mogelijke waarden zijn: CPU Geheugen GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[]. Problemen[]. Context | Details met betrekking tot het gedetecteerde probleem. |
| Hops[]. Problemen[]. Context[].key | Sleutel van het sleutelwaardepaar dat is geretourneerd. |
| Hops[]. Problemen[]. Context[].value | De waarde van het sleutelwaardepaar dat is geretourneerd. |
| NextHopAnalysis.NextHopType | Het type volgende hop. Mogelijke waarden zijn: HyperNetGateway Internet Geen VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | IP-adres van volgende hop. |
| De resource-id van de routetabel die is gekoppeld aan de route die wordt geretourneerd. Als de geretourneerde route niet overeenkomt met door de gebruiker gemaakte routes, is dit veld de tekenreekssysteemroute. | |
| SourceSecurityRuleAnalysis.Results[]. Profiel | Diagnostisch profiel voor netwerkconfiguratie. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Source | Verkeersbron. Mogelijke waarden zijn: *, IP-adres/CIDR en servicetag. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Destination | Bestemming van verkeer. Mogelijke waarden zijn: *, IP-adres/CIDR en servicetag. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Doelpoort voor verkeer. Mogelijke waarden zijn: * en één poort in het bereik (0 - 65535). |
| SourceSecurityRuleAnalysis.Results[]. Profile.Protocol | Protocol dat moet worden geverifieerd. Mogelijke waarden zijn: *, TCP en UDP. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Direction | De richting van het verkeer. Mogelijke waarden zijn: Uitgaand en Binnenkomend. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Resultaat van netwerkbeveiligingsgroep. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Lijst met resultaten van diagnostische netwerkbeveiligingsgroepen. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | Het netwerkverkeer is toegestaan of geweigerd. Mogelijke waarden zijn: Toestaan en Weigeren. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo | Resource-id van de NIC of het subnet waarop de netwerkbeveiligingsgroep wordt toegepast. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule | Overeenkomende netwerkbeveiligingsregel. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action | Het netwerkverkeer is toegestaan of geweigerd. Mogelijke waarden zijn: Toestaan en Weigeren. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName | Naam van de overeenkomende netwerkbeveiligingsregel. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | Netwerkbeveiligingsgroep-id. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Lijst met evaluatieresultaten van netwerkbeveiligingsregels. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched | Waarde geeft aan of de bestemming overeenkomt. Booleaanse waarden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Waarde geeft aan of de doelpoort overeenkomt. Booleaanse waarden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Naam | Naam van de netwerkbeveiligingsregel. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Protocolmatched | Waarde geeft aan of het protocol overeenkomt. Booleaanse waarden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Waarde geeft aan of de bron overeenkomt. Booleaanse waarden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Waarde geeft aan of de bronpoort overeenkomt. Booleaanse waarden. |
| DestinationSecurityRuleAnalysis | Hetzelfde als de indeling SourceSecurityRuleAnalysis. |
| SourcePortStatus | Bepaalt of de poort bij de bron bereikbaar is of niet. Mogelijke waarden zijn: Onbekend Bereikbaar Instabiel NoConnection Time-out |
| DestinationPortStatus | Bepaalt of de poort op bestemming bereikbaar is of niet. Mogelijke waarden zijn: Onbekend Bereikbaar Instabiel NoConnection Time-out |
In het volgende voorbeeld ziet u een probleem dat is gevonden in een hop.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Fouttypen
Verbindingsproblemen oplossen retourneert fouttypen over de verbinding. De volgende tabel bevat een lijst met de mogelijke geretourneerde fouttypen.
| Type | Description |
|---|---|
| CPU | Hoog CPU-gebruik. |
| Geheugen | Hoog geheugengebruik. |
| GuestFirewall | Verkeer wordt geblokkeerd vanwege een firewallconfiguratie van een virtuele machine. Een TCP-ping is een uniek gebruiksvoorbeeld waarin, als er geen toegestane regel is, de firewall zelf reageert op de TCP-pingaanvraag van de client, ook al bereikt de TCP-ping het doel-IP-adres/de FQDN niet. Deze gebeurtenis wordt niet geregistreerd. Als er een netwerkregel is die toegang toestaat tot het doel-IP-adres/FQDN, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het netwerkregelslogboek. |
| DNSResolution | DNS-omzetting is mislukt voor het doeladres. |
| NetworkSecurityRule | Verkeer wordt geblokkeerd door een netwerkbeveiligingsgroepregel (beveiligingsregel wordt geretourneerd). |
| UserDefinedRoute | Verkeer wordt verbroken vanwege een door de gebruiker gedefinieerde of systeemroute. |
Volgende stap
Als u wilt weten hoe u verbindingsproblemen kunt gebruiken om verbindingen te testen en problemen op te lossen, gaat u verder met: