Rozwiązywanie problemów z dostępem, pozyskiwaniem i działaniem klastra usługi Azure Data Explorer w sieci wirtualnej
Ostrzeżenie
Wstrzykiwanie sieci wirtualnej zostanie wycofane dla usługi Azure Data Explorer do 1 lutego 2025 r. Aby uzyskać więcej informacji na temat wycofywania, zobacz Wycofywanie iniekcji sieci wirtualnej dla usługi Azure Data Explorer.
W tej sekcji dowiesz się, jak rozwiązywać problemy z łącznością, operacjami i tworzeniem klastra dla klastra wdrożonego w sieci wirtualnej.
Jeśli masz problem podczas uzyskiwania dostępu do klastra przy użyciu publicznego (cluster.region.kusto.windows.net) lub prywatnego punktu końcowego (private-cluster.region.kusto.windows.net) i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki, aby rozwiązać ten problem.
Pierwszy krok obejmuje sprawdzanie łączności TCP przy użyciu systemu operacyjnego Windows lub Linux.
Instalowanie serwera netcat na maszynie łączącej się z klastrem
apt-get install netcat
Wyślij polecenie ping do miejsca docelowego z maszyny źródłowej przy użyciu następującego polecenia:
$ netcat -z -v yourcluster.kusto.windows.net 443 Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
Jeśli test nie powiedzie się, wykonaj następujące kroki. Jeśli test zakończy się pomyślnie, problem nie jest spowodowany problemem z łącznością TCP. Przejdź do obszaru Problemy operacyjne, aby rozwiązać dalsze problemy .
Sprawdź, czy sieciowa grupa zabezpieczeń dołączona do podsieci klastra ma regułę ruchu przychodzącego zezwalającą na dostęp z adresu IP maszyny klienckiej dla portu 443.
Jeśli podsieć klastra jest skonfigurowana do wymuszania tunelowania całego ruchu powiązanego z Internetem z powrotem do zapory (podsieć z tabelą tras zawierającą trasę domyślną "0.0.0.0/0"), upewnij się, że adres IP maszyny ma trasę z typem następnego przeskoku do sieci Wirtualnej/Internetu. Ta trasa jest wymagana, aby zapobiec problemom z trasą asymetryczną.
Jeśli występują problemy z pozyskiwaniem i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki.
Sprawdź, czy metryki pozyskiwania klastra wskazują stan dobrej kondycji.
Jeśli metryki wskazują, że żadne zdarzenia nie zostały przetworzone ze źródła danych (metryka Zdarzenia przetworzone dla usługi Event/IoT Hubs), upewnij się, że zasoby źródła danych (Event Hubs lub Storage) zezwalają na dostęp z podsieci klastra w regułach zapory lub punktach końcowych usługi.
Upewnij się, że podsieć klastra ma prawidłowo skonfigurowaną sieciową grupę zabezpieczeń, trasę zdefiniowaną przez użytkownika i reguły zapory. Ponadto przetestuj łączność sieciową dla wszystkich zależnych punktów końcowych.
Jeśli występują problemy z tworzeniem klastra lub operacją i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki, aby rozwiązać ten problem.
Konfigurowanie prywatnego punktu końcowego wymaga skonfigurowania systemu DNS. Obsługujemy tylko konfigurację strefy usługi Azure Prywatna strefa DNS. Niestandardowa konfiguracja serwera DNS nie jest obsługa. Sprawdź, czy rekordy utworzone w ramach prywatnego punktu końcowego są zarejestrowane w strefie usługi Azure Prywatna strefa DNS.
Obiekt ARMClient służy do wywoływania interfejsu API REST przy użyciu programu PowerShell.
Logowanie przy użyciu klienta ARMClient
armclient login
Wywoływanie operacji diagnozowania
$subscriptionId = '<subscription id>' $clusterName = '<name of cluster>' $resourceGroupName = '<resource group name>' $apiversion = '2019-11-09' armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
Sprawdzanie odpowiedzi
HTTP/1.1 202 Accepted ... Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09 ...
Oczekiwanie na ukończenie operacji
armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09 { "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}", "name": "{operation-name}", "status": "[Running/Failed/Completed]", "startTime": "{start-time}", "endTime": "{end-time}", "properties": {...} }
Zaczekaj na wyświetlenie właściwości statusu Ukończono, a następnie pole właściwości powinno być wyświetlane:
{ "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}", "name": "{operation-name}", "status": "Completed", "startTime": "{start-time}", "endTime": "{end-time}", "properties": { "Findings": [...] } }
Jeśli właściwość Findings pokazuje pusty wynik, oznacza to, że wszystkie testy sieciowe zostały pomyślnie wykonane i żadne połączenia nie zostaną przerwane. Jeśli zostanie wyświetlony następujący błąd, zależność ruchu wychodzącego "{dependencyName}:{port}" może nie zostać spełniona (ruch wychodzący), klaster nie może uzyskać dostępu do zależnych punktów końcowych usługi. Wykonaj następujące kroki.
Upewnij się, że sieciowa grupa zabezpieczeń została prawidłowo skonfigurowana zgodnie z instrukcjami w temacie Konfigurowanie reguł sieciowej grupy zabezpieczeń.
Jeśli podsieć klastra jest skonfigurowana do wymuszania tunelowania całego ruchu powiązanego z Internetem z powrotem do zapory (podsieć z tabelą tras zawierającą domyślną trasę "0.0.0.0/0") upewnij się, że adresy IP zarządzania) i adresy IP monitorowania kondycji mają trasę z internetem typu następnego przeskoku oraz prefiks adresu źródłowego "management-ip/32" i "health-monitoring-ip/32". Ta trasa jest wymagana, aby zapobiec problemom z trasą asymetryczną.
Jeśli wymusisz ruch wychodzący podsieci tunelu do zapory, upewnij się, że wszystkie zależności FQDN (na przykład .blob.core.windows.net) są dozwolone w konfiguracji zapory zgodnie z opisem w zabezpieczaniu ruchu wychodzącego za pomocą zapory.
Jeśli nie można wstrzymać klastra, upewnij się, że w twojej subskrypcji nie ma żadnych blokad w zasobach sieciowych.