Compartilhar via


Visão geral da solução de problemas de conexão

Com o aumento de cargas de trabalho sofisticadas e de alto desempenho no Azure, há uma necessidade primordial de maior visibilidade e controle sobre o estado operacional de redes complexas que executam essas cargas de trabalho. Esses cenários de rede são implementados usando grupos de segurança de rede, firewalls, rotas definidas pelo usuário e recursos fornecidos pelo Azure. Configurações complexas tornam a solução de problemas de conectividade desafiadora.

A funcionalidade de solução de problemas de conexão do Observador de Rede do Azure ajuda a reduzir o tempo necessário para diagnosticar e solucionar problemas de conectividade de rede. Os resultados retornados podem fornecer informações sobre a causa raiz do problema de conectividade e se é devido a um problema de configuração de plataforma ou de usuário.

A solução de problemas de conexão reduz o Tempo Médio de Resolução (MTTR) fornecendo um método abrangente de execução de todas as principais verificações de conexão para detectar problemas relacionados a grupos de segurança de rede, rotas definidas pelo usuário e portas bloqueadas. Também fornece os resultados a seguir com insights acionáveis em que um guia passo a passo ou documentação correspondente é fornecida para uma resolução mais rápida:

  • Teste de conectividade com diferentes tipos de destino (VM, URI, FQDN ou Endereço IP)
  • Problemas de configuração que afetam a acessibilidade
  • Todos os possíveis caminhos de salto a salto da origem para o destino
  • Latência de salto a salto
  • Latência (mínima, máxima e média entre a origem e o destino)
  • Exibição de topologia gráfica de origem para o destino
  • Número de investigações com falha durante a verificação de solução de problemas de conexão

Tipos de origem e destino com suporte

A solução de problemas de conexão fornece a capacidade de verificar conexões TCP ou ICMP de qualquer um desses recursos do Azure:

  • Máquinas virtuais
  • conjuntos de escala de máquina virtual
  • Instâncias do Azure Bastion
  • Gateway de aplicativo (exceto v1)

Importante

A solução de problemas de conexão exige que a máquina virtual da qual você soluciona o problema tenha a extensão de VM do agente Observador de Rede instalada. A extensão não é necessária na máquina virtual de destino.

A solução de problemas de conexão pode testar conexões com qualquer um desses destinos:

  • Máquinas virtuais
  • Nomes de domínio totalmente qualificados (FQDNs)
  • URIs (Uniform Resource Identifiers)
  • Endereços IP

Problemas detectados pela solução de problemas de conexão

A solução de problemas de conexão pode detectar os seguintes tipos de problemas que podem afetar a conectividade:

  • Alta utilização de CPU da VM
  • Alta utilização de memória da VM
  • Regras de firewall de máquina virtual (convidada) bloqueando o tráfego
  • Falhas de resolução DNS
  • Rotas incorretamente configuradas ou ausentes
  • Regras do grupo de segurança de rede (NSG) que estão bloqueando o tráfego
  • Incapacidade de abrir um soquete na porta de origem especificada
  • Entradas de protocolo de resolução de endereço ausentes para circuitos do Azure ExpressRoute
  • Nenhum servidor escutando nas portas de destino designadas

Resposta

A tabela a seguir mostra as propriedades retornadas após a execução da solução de problemas de conexão.

Propriedade Descrição
ConnectionStatus O status da verificação de conectividade. Os resultados possíveis são Acessível e Inacessível.
AvgLatencyInMs Latência média durante a verificação de conectividade, em milissegundos. (Exibido somente se o status da verificação estiver acessível).
MinLatencyInMs Latência mínima durante a verificação de conectividade, em milissegundos. (Exibido somente se o status da verificação estiver acessível).
MaxLatencyInMs Latência máxima durante a verificação de conectividade, em milissegundos. (Exibido somente se o status da verificação estiver acessível).
ProbesSent Número de investigações enviadas durante a verificação. O valor máximo é 100.
ProbesFailed Número de investigações que falharam durante a verificação. O valor máximo é 100.
Hops Caminho salto a salto da origem ao destino.
Hops[].Type Tipo de recurso. Os valores possíveis são Origem, VirtualAppliance, VnetLocal e Internet.
Hops[].Id Identificador exclusivo do salto.
Hops[].Address Endereço IP do salto.
Hops[].ResourceId A ID do recurso do salto se o salto for um recurso do Azure. Se for um recurso de Internet, o ResourceID será Internet.
Hops[].NextHopIds O identificador exclusivo do próximo salto dado.
Hops[].Issues Uma coleção dos problemas encontrados durante a verificação do salto. Se não houver problemas, o valor ficará em branco.
Hops[].Issues[].Origin No salto atual, o ponto em que o problema ocorreu. Os valores possíveis são:
Entrada – o problema está no link do salto anterior para o salto atual.
Saída – o problema está no link do salto atual para o próximo salto.
Local – problema está no salto atual.
Hops[].Issues[].Severity A gravidade do problema detectado. Os valores possíveis são Erro e Aviso.
Hops[].Issues[].Type O tipo do problema detectado. Os valores possíveis são:
CPU
Memória
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hops[].Issues[].Context Detalhes sobre o problema detectado.
Hops[].Issues[].Context[].key Chave do par chave-valor retornado.
Hops[].Issues[].Context[].value Valor do par chave-valor retornado.
NextHopAnalysis.NextHopType O tipo do próximo salto. Os valores possíveis são:
HyperNetGateway
Internet
Nenhuma
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress O endereço IP do próximo salto.
O identificador de recurso da tabela de rotas associado à rota sendo retornada. Se a rota retornada não corresponder a nenhuma rota criada pelo usuário, esse campo será a cadeia de caracteres Rota do Sistema.
SourceSecurityRuleAnalysis.Results[].Profile O perfil de diagnóstico da configuração de rede.
SourceSecurityRuleAnalysis.Results[].Profile.Source A origem do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Marca de Serviço.
SourceSecurityRuleAnalysis.Results[].Profile.Destination O destino de tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Marca de Serviço.
SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort A porta de destino de tráfego. Os valores possíveis são: * e apenas uma porta no intervalo de 0 a 65535.
SourceSecurityRuleAnalysis.Results[].Profile.Protocol O protocolo a ser verificado. Os valores possíveis são: *, TCP e UDP.
SourceSecurityRuleAnalysis.Results[].Profile.Direction Direção do tráfego. Os valores possíveis são Saída e Entrada.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult O resultado do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] A lista de resultados de diagnóstico de grupos de segurança de rede.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult Se o tráfego de rede é permitido ou negado. Os valores possíveis são Permitir e Negar.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo A ID do recurso da NIC ou sub-rede à qual o grupo de segurança de rede é aplicado.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule Regra de segurança de rede com correspondência.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action Se o tráfego de rede é permitido ou negado. Os valores possíveis são Permitir e Negar.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName O nome da regra de segurança de rede com correspondência.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId A ID do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] A lista de resultados de avaliação de regras de segurança de rede.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched O valor indica se o destino tem correspondência. Valores boolianos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched O valor indica se a porta de destino tem correspondência. Valores boolianos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name O nome da regra de segurança de rede.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched O valor indica se o protocolo tem correspondência. Valores boolianos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched O valor indica se a origem tem correspondência. Valores boolianos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched O valor indica se a porta de origem tem correspondência. Valores boolianos.
DestinationSecurityRuleAnalysis Igual ao formato SourceSecurityRuleAnalysis.
SourcePortStatus Determina se a porta na origem está acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NoConnection
Tempo Limite
DestinationPortStatus Determina se a porta no destino está acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NoConnection
Tempo Limite

O exemplo a seguir mostra um problema encontrado em um salto.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Tipos de Falha

A solução de problemas de conexão retorna tipos de falha sobre a conexão. A tabela a seguir fornece uma lista dos possíveis tipos de falha retornados.

Tipo Descrição
CPU Alta utilização da CPU.
Memória Alta utilização de memória.
GuestFirewall O tráfego é bloqueado devido a uma configuração de firewall da máquina virtual.

Um ping TCP é um caso de uso exclusivo em que, se não houver nenhuma regra permitida, o próprio firewall responderá à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o FQDN/endereço IP de destino. Esse evento não é registrado. Se houver uma regra de rede que permita o acesso ao endereço IP/FQDN de destino, a solicitação ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.
DNSResolution Falha na resolução DNS para o endereço de destino.
NetworkSecurityRule O tráfego é bloqueado por uma regra do grupo de segurança de rede (a regra de segurança é retornada).
UserDefinedRoute O tráfego é descartado devido a uma rota do sistema ou definida pelo usuário.

Próxima etapa

Para saber como usar a solução de problemas de conexão para testar e solucionar problemas de conexões, prossiga para: