Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Rozwiązywanie problemów z dostępem, pozyskiwaniem i działaniem klastra usługi Azure Data Explorer w sieci wirtualnej

Ostrzeżenie

Wstrzykiwanie sieci wirtualnej zostanie wycofane dla usługi Azure Data Explorer do 1 lutego 2025 r. Aby uzyskać więcej informacji na temat wycofywania, zobacz Wycofywanie iniekcji sieci wirtualnej dla usługi Azure Data Explorer.

W tej sekcji dowiesz się, jak rozwiązywać problemy z łącznością, operacjami i tworzeniem klastra dla klastra wdrożonego w sieci wirtualnej.

Problemy z dostępem

Jeśli masz problem podczas uzyskiwania dostępu do klastra przy użyciu publicznego (cluster.region.kusto.windows.net) lub prywatnego punktu końcowego (private-cluster.region.kusto.windows.net) i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki, aby rozwiązać ten problem.

Sprawdzanie łączności TCP

Pierwszy krok obejmuje sprawdzanie łączności TCP przy użyciu systemu operacyjnego Windows lub Linux.

  1. Instalowanie serwera netcat na maszynie łączącej się z klastrem

    apt-get install netcat
    
  2. Wyślij polecenie ping do miejsca docelowego z maszyny źródłowej przy użyciu następującego polecenia:

    $ netcat -z -v yourcluster.kusto.windows.net 443
    Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
    

Jeśli test nie powiedzie się, wykonaj następujące kroki. Jeśli test zakończy się pomyślnie, problem nie jest spowodowany problemem z łącznością TCP. Przejdź do obszaru Problemy operacyjne, aby rozwiązać dalsze problemy .

Sprawdzanie reguł sieciowej grupy zabezpieczeń

Sprawdź, czy sieciowa grupa zabezpieczeń dołączona do podsieci klastra ma regułę ruchu przychodzącego zezwalającą na dostęp z adresu IP maszyny klienckiej dla portu 443.

Sprawdź, czy tabela tras jest skonfigurowana, aby zapobiec problemom z dostępem

Jeśli podsieć klastra jest skonfigurowana do wymuszania tunelowania całego ruchu powiązanego z Internetem z powrotem do zapory (podsieć z tabelą tras zawierającą trasę domyślną "0.0.0.0/0"), upewnij się, że adres IP maszyny ma trasę z typem następnego przeskoku do sieci Wirtualnej/Internetu. Ta trasa jest wymagana, aby zapobiec problemom z trasą asymetryczną.

Problemy z pozyskiwaniem

Jeśli występują problemy z pozyskiwaniem i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki.

Sprawdzanie kondycji pozyskiwania

Sprawdź, czy metryki pozyskiwania klastra wskazują stan dobrej kondycji.

Sprawdzanie reguł zabezpieczeń dotyczących zasobów źródła danych

Jeśli metryki wskazują, że żadne zdarzenia nie zostały przetworzone ze źródła danych (metryka Zdarzenia przetworzone dla usługi Event/IoT Hubs), upewnij się, że zasoby źródła danych (Event Hubs lub Storage) zezwalają na dostęp z podsieci klastra w regułach zapory lub punktach końcowych usługi.

Sprawdzanie reguł zabezpieczeń skonfigurowanych w podsieci klastra

Upewnij się, że podsieć klastra ma prawidłowo skonfigurowaną sieciową grupę zabezpieczeń, trasę zdefiniowaną przez użytkownika i reguły zapory. Ponadto przetestuj łączność sieciową dla wszystkich zależnych punktów końcowych.

Problemy z tworzeniem klastra i operacjami

Jeśli występują problemy z tworzeniem klastra lub operacją i podejrzewasz, że jest to związane z konfiguracją sieci wirtualnej, wykonaj następujące kroki, aby rozwiązać ten problem.

Sprawdzanie konfiguracji "serwerów DNS"

Konfigurowanie prywatnego punktu końcowego wymaga skonfigurowania systemu DNS. Obsługujemy tylko konfigurację strefy usługi Azure Prywatna strefa DNS. Niestandardowa konfiguracja serwera DNS nie jest obsługa. Sprawdź, czy rekordy utworzone w ramach prywatnego punktu końcowego są zarejestrowane w strefie usługi Azure Prywatna strefa DNS.

Diagnozowanie sieci wirtualnej za pomocą interfejsu API REST

Obiekt ARMClient służy do wywoływania interfejsu API REST przy użyciu programu PowerShell.

  1. Logowanie przy użyciu klienta ARMClient

    armclient login
    
  2. Wywoływanie operacji diagnozowania

    $subscriptionId = '<subscription id>'
    $clusterName = '<name of cluster>'
    $resourceGroupName = '<resource group name>'
    $apiversion = '2019-11-09'
    
    armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
    
  3. Sprawdzanie odpowiedzi

    HTTP/1.1 202 Accepted
    ...
    Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
    ...
    
  4. Oczekiwanie na ukończenie operacji

    armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
    
    {
      "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
      "name": "{operation-name}",
      "status": "[Running/Failed/Completed]",
      "startTime": "{start-time}",
      "endTime": "{end-time}",
      "properties": {...}
    }
    

    Zaczekaj na wyświetlenie właściwości statusu Ukończono, a następnie pole właściwości powinno być wyświetlane:

    {
      "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
      "name": "{operation-name}",
      "status": "Completed",
      "startTime": "{start-time}",
      "endTime": "{end-time}",
      "properties": {
        "Findings": [...]
      }
    }
    

Jeśli właściwość Findings pokazuje pusty wynik, oznacza to, że wszystkie testy sieciowe zostały pomyślnie wykonane i żadne połączenia nie zostaną przerwane. Jeśli zostanie wyświetlony następujący błąd, zależność ruchu wychodzącego "{dependencyName}:{port}" może nie zostać spełniona (ruch wychodzący), klaster nie może uzyskać dostępu do zależnych punktów końcowych usługi. Wykonaj następujące kroki.

Sprawdzanie reguł sieciowej grupy zabezpieczeń

Upewnij się, że sieciowa grupa zabezpieczeń została prawidłowo skonfigurowana zgodnie z instrukcjami w temacie Konfigurowanie reguł sieciowej grupy zabezpieczeń.

Sprawdź, czy tabela tras jest skonfigurowana w celu zapobiegania problemom z pozyskiwaniem

Jeśli podsieć klastra jest skonfigurowana do wymuszania tunelowania całego ruchu powiązanego z Internetem z powrotem do zapory (podsieć z tabelą tras zawierającą domyślną trasę "0.0.0.0/0") upewnij się, że adresy IP zarządzania) i adresy IP monitorowania kondycji mają trasę z internetem typu następnego przeskoku oraz prefiks adresu źródłowego "management-ip/32" i "health-monitoring-ip/32". Ta trasa jest wymagana, aby zapobiec problemom z trasą asymetryczną.

Sprawdzanie reguł zapory

Jeśli wymusisz ruch wychodzący podsieci tunelu do zapory, upewnij się, że wszystkie zależności FQDN (na przykład .blob.core.windows.net) są dozwolone w konfiguracji zapory zgodnie z opisem w zabezpieczaniu ruchu wychodzącego za pomocą zapory.

Problemy z zawieszeniem klastra

Jeśli nie można wstrzymać klastra, upewnij się, że w twojej subskrypcji nie ma żadnych blokad w zasobach sieciowych.