Udostępnij za pośrednictwem


Omówienie rozwiązywania problemów z połączeniem

Wraz ze wzrostem zaawansowanych i wysokowydajnych obciążeń na platformie Azure istnieje krytyczna potrzeba zwiększenia widoczności i kontroli nad stanem operacyjnym złożonych sieci, na których działają te obciążenia. Takie złożone sieci są implementowane przy użyciu sieciowych grup zabezpieczeń, zapór, tras zdefiniowanych przez użytkownika i zasobów udostępnianych przez platformę Azure. Złożone konfiguracje sprawiają, że rozwiązywanie problemów z łącznością jest trudne.

Funkcja rozwiązywania problemów z połączeniem usługi Azure Network Watcher pomaga skrócić czas diagnozowania i rozwiązywania problemów z łącznością sieciową. Zwrócone wyniki mogą zapewnić wyniki analizy głównej przyczyny problemu z łącznością oraz tego, czy jest on spowodowany problemem z platformą lub konfiguracją użytkownika.

Rozwiązywanie problemów z połączeniem skraca czas do rozwiązania (MTTR), zapewniając kompleksową metodę przeprowadzania wszystkich głównych kontroli połączeń w celu wykrywania problemów dotyczących sieciowych grup zabezpieczeń, tras zdefiniowanych przez użytkownika i zablokowanych portów. Udostępnia on następujące wyniki z praktycznymi szczegółowymi informacjami, w których można uzyskać szczegółowy przewodnik lub odpowiednią dokumentację w celu szybszego rozwiązania:

  • Test łączności z różnymi typami docelowymi (VM, URI, FQDN lub IP Address)
  • Problemy z konfiguracją wpływające na osiągalność
  • Wszystkie możliwe przeskoki według ścieżek przeskoku ze źródła do miejsca docelowego
  • Przeskok według opóźnienia przeskoku
  • Opóźnienie (minimalna, maksymalna i średnia między źródłem a miejscem docelowym)
  • Graficzny widok topologii ze źródła do miejsca docelowego
  • Liczba sond zakończonych niepowodzeniem podczas sprawdzania rozwiązywania problemów z połączeniem

Obsługiwane typy źródłowe i docelowe

Rozwiązywanie problemów z połączeniem zapewnia możliwość sprawdzania połączeń TCP lub ICMP z dowolnego z tych zasobów platformy Azure:

  • Maszyny wirtualne
  • Zestawy skalowania maszyn wirtualnych
  • Wystąpienia usługi Azure Bastion
  • Bramy aplikacji (z wyjątkiem wersji 1)

Ważne

Rozwiązywanie problemów z połączeniem wymaga zainstalowania rozszerzenia maszyny wirtualnej agenta usługi Network Watcher. Rozszerzenie nie jest wymagane na docelowej maszynie wirtualnej.

Rozwiązywanie problemów z połączeniem może przetestować połączenia z dowolnym z tych miejsc docelowych:

  • Maszyny wirtualne
  • W pełni kwalifikowane nazwy domen (FQDN)
  • Identyfikatory URI
  • Adresy IP

Rozwiązywanie problemów wykrytych przez połączenie

Rozwiązywanie problemów z połączeniem może wykryć następujące typy problemów, które mogą mieć wpływ na łączność:

  • Wysokie wykorzystanie procesora CPU maszyny wirtualnej
  • Wysokie wykorzystanie pamięci maszyny wirtualnej
  • Reguły zapory maszyny wirtualnej (gościa) blokujące ruch
  • Błędy rozpoznawania nazw DNS
  • Błędnie skonfigurowane lub brakujące trasy
  • Reguły sieciowej grupy zabezpieczeń blokujące ruch
  • Brak możliwości otwarcia gniazda na określonym porcie źródłowym
  • Brak wpisów protokołu rozpoznawania adresów dla obwodów usługi Azure ExpressRoute
  • Serwery nie nasłuchują na wyznaczonych portach docelowych

Response

W poniższej tabeli przedstawiono właściwości zwrócone po uruchomieniu rozwiązywania problemów z połączeniem.

Właściwości opis
ConnectionStatus Stan sprawdzania łączności. Możliwe wyniki są osiągalne i nieosiągalne.
AvgLatencyInMs Średnie opóźnienie podczas sprawdzania łączności w milisekundach. (Wyświetlane tylko wtedy, gdy stan sprawdzania jest osiągalny).
MinLatencyInMs Minimalne opóźnienie podczas sprawdzania łączności w milisekundach. (Wyświetlane tylko wtedy, gdy stan sprawdzania jest osiągalny).
MaxLatencyInMs Maksymalne opóźnienie podczas sprawdzania łączności w milisekundach. (Wyświetlane tylko wtedy, gdy stan sprawdzania jest osiągalny).
Sondy Liczba sond wysłanych podczas sprawdzania. Wartość maksymalna to 100.
SondyFailed Liczba sond zakończonych niepowodzeniem podczas sprawdzania. Wartość maksymalna to 100.
Przeskoki Przeskocz według ścieżki przeskoku ze źródła do miejsca docelowego.
Przeskoki[]. Typ Typ zasobu. Możliwe wartości to: Source, VirtualAppliance, VnetLocal i Internet.
Przeskoki[]. Id Unikatowy identyfikator przeskoku.
Przeskoki[]. Adres Adres IP przeskoku.
Przeskoki[]. Identyfikator zasobu Identyfikator zasobu przeskoku, jeśli przeskok jest zasobem platformy Azure. Jeśli jest to zasób internetowy, resourceID to Internet.
Przeskoki[]. NextHopIds Unikatowy identyfikator następnego przeskoku.
Przeskoki[]. Problemy Kolekcja problemów, które wystąpiły podczas sprawdzania przeskoku. Jeśli nie wystąpiły żadne problemy, wartość jest pusta.
Przeskoki[]. Problemy[]. Pochodzenie Na bieżącym przeskoku, gdzie wystąpił problem. Możliwe wartości to:
Przychodzące — problem znajduje się na linku z poprzedniego przeskoku do bieżącego przeskoku.
Wychodzący — problem znajduje się na linku z bieżącego przeskoku do następnego przeskoku.
Local — problem występuje na bieżącym przeskoku.
Przeskoki[]. Problemy[]. Dotkliwość Ważność wykrytego problemu. Możliwe wartości to: Błąd i Ostrzeżenie.
Przeskoki[]. Problemy[]. Typ Typ wykrytego problemu. Możliwe wartości to:
CPU
Pamięć
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Przeskoki[]. Problemy[]. Kontekst Szczegóły dotyczące wykrytego problemu.
Przeskoki[]. Problemy[]. Kontekst[].key Klucz zwróconej pary wartości klucza.
Przeskoki[]. Problemy[]. Context[].value Wartość zwróconej pary wartości klucza.
NextHopAnalysis.NextHopType Typ następnego przeskoku. Możliwe wartości to:
HyperNetGateway
Internet
Brak
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Adres IP następnego przeskoku.
Identyfikator zasobu tabeli tras skojarzony z zwracaną trasą. Jeśli zwrócona trasa nie odpowiada żadnym trasom utworzonym przez użytkownika, to to pole będzie ciągiem Trasa systemowa.
SourceSecurityRuleAnalysis.Results[]. Profil Profil diagnostyczny konfiguracji sieci.
SourceSecurityRuleAnalysis.Results[]. Profile.Source Źródło ruchu. Możliwe wartości: *, adres IP/CIDR i tag usługi.
SourceSecurityRuleAnalysis.Results[]. Profile.Destination Miejsce docelowe ruchu. Możliwe wartości: *, adres IP/CIDR i tag usługi.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Port docelowy ruchu. Możliwe wartości to* i pojedynczy port w zakresie (0–65535).
SourceSecurityRuleAnalysis.Results[]. Profile.Protocol Protokół do zweryfikowania. Możliwe wartości: *, TCP i UDP.
SourceSecurityRuleAnalysis.Results[]. Profile.Direction Kierunek ruchu. Możliwe wartości to: wychodzące i przychodzące.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Wynik sieciowej grupy zabezpieczeń.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Lista wyników diagnostyki sieciowych grup zabezpieczeń.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult Ruch sieciowy jest dozwolony lub blokowany. Możliwe wartości to: Zezwalaj i Odmów.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo Identyfikator zasobu karty sieciowej lub podsieci, do której jest stosowana sieciowa grupa zabezpieczeń.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. Dopasowaneru Dopasowana reguła zabezpieczeń sieci.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action Ruch sieciowy jest dozwolony lub blokowany. Możliwe wartości to: Zezwalaj i Odmów.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName Nazwa dopasowanej reguły zabezpieczeń sieci.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId Identyfikator sieciowej grupy zabezpieczeń.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Lista wyników oceny reguł zabezpieczeń sieci.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DocelowaMatched Wartość wskazuje, czy miejsce docelowe jest zgodne. Wartości logiczne.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Wartość wskazuje, czy port docelowy jest zgodny. Wartości logiczne.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Nazwa Nazwa reguły zabezpieczeń sieci.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtokółMatched Wartość wskazuje, czy protokół jest zgodny. Wartości logiczne.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Wartość wskazuje, czy źródło jest zgodne. Wartości logiczne.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Wartość wskazuje, czy port źródłowy jest zgodny. Wartości logiczne.
DestinationSecurityRuleAnalysis Tak samo jak format SourceSecurityRuleAnalysis.
SourcePortStatus Określa, czy port w źródle jest osiągalny, czy nie. Możliwe wartości to:
Nieznane
Osiągalny
Niestabilny
Brak połączenia
Przekroczenie limitu czasu
DestinationPortStatus Określa, czy port w miejscu docelowym jest osiągalny, czy nie. Możliwe wartości to:
Nieznane
Osiągalny
Niestabilny
Brak połączenia
Przekroczenie limitu czasu

W poniższym przykładzie pokazano problem znaleziony na przeskoku.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Typy błędów

Rozwiązywanie problemów z połączeniem zwraca typy błędów dotyczące połączenia. Poniższa tabela zawiera listę możliwych zwracanych typów błędów.

Type Opis
Procesor CPU Wysokie użycie procesora.
Pamięć Wysokie wykorzystanie pamięci.
GuestFirewall Ruch jest blokowany z powodu konfiguracji zapory maszyny wirtualnej.

Polecenie ping TCP jest unikatowym przypadkiem użycia, w którym, jeśli nie ma dozwolonej reguły, zapora odpowiada na żądanie ping TCP klienta, mimo że polecenie ping TCP nie osiąga docelowego adresu IP/nazwy FQDN. To zdarzenie nie jest rejestrowane. Jeśli istnieje reguła sieci, która zezwala na dostęp do docelowego adresu IP/nazwy FQDN, żądanie ping dociera do serwera docelowego i jego odpowiedź jest przekazywana z powrotem do klienta. To zdarzenie jest rejestrowane w dzienniku reguł sieciowych.
DnsResolution Rozpoznawanie nazw DNS nie powiodło się dla adresu docelowego.
NetworkSecurityRule Ruch jest blokowany przez regułę sieciowej grupy zabezpieczeń (zwracana jest reguła zabezpieczeń).
UserDefinedRoute Ruch jest porzucony z powodu trasy zdefiniowanej przez użytkownika lub trasy systemowej.

Następny krok

Aby dowiedzieć się, jak używać rozwiązywania problemów z połączeniem do testowania połączeń i rozwiązywania problemów z nimi, przejdź do: