Resolver problemas de acesso, ingestão e funcionamento do cluster do Azure Data Explorer na rede virtual

Importante

Considere mudar para uma solução baseada em Ponto Final Privado do Azure para implementar a segurança de rede com o Azure Data Explorer. É menos propenso a erros e fornece paridade de funcionalidades.

Nesta secção, vai aprender a resolver problemas de conectividade, operacional e criação de clusters para um cluster implementado no seu Rede Virtual.

Questões de acesso

Se tiver um problema ao aceder ao cluster com o ponto final público (cluster.region.kusto.windows.net) ou privado (private-cluster.region.kusto.windows.net) e suspeitar que está relacionado com a configuração da rede virtual, execute os seguintes passos para resolver o problema.

Verificar a conectividade TCP

O primeiro passo inclui verificar a conectividade TCP com o SO Windows ou Linux.

Windows

1. Transfira o TCping para o computador que está a ligar ao cluster.

2. Envie um ping para o destino a partir do computador de origem com o seguinte comando:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Instalar o netcat no computador que está a ligar ao cluster

   apt-get install netcat
   

2. Envie um ping para o destino a partir do computador de origem com o seguinte comando:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Se o teste não for bem-sucedido, prossiga com os seguintes passos. Se o teste for bem-sucedido, o problema não se deve a um problema de conectividade TCP. Aceda a problemas operacionais para resolver mais problemas.

Verificar as regras do Grupo de Segurança de Rede (NSG)

Verifique se o NSG anexado à sub-rede do cluster tem uma regra de entrada que permite o acesso a partir do IP do computador cliente para a porta 443.

Verifique se a tabela de rotas está configurada para evitar problemas de acesso

Se a sub-rede do cluster estiver configurada para forçar o túnel de todo o tráfego vinculado à Internet de volta à firewall (sub-rede com uma tabela de rotas que contém a rota predefinida '0.0.0.0/0'), certifique-se de que o endereço IP do computador tem uma rota com o tipo de salto seguinte para VirtualNetwork/Internet. Esta rota é necessária para evitar problemas de rotas assimétricas.

Problemas de ingestão

Se estiver a ter problemas de ingestão e suspeitar que está relacionado com a configuração da rede virtual, execute os seguintes passos.

Verificar o estado de funcionamento da ingestão

Verifique se as métricas de ingestão de cluster indicam um bom estado de funcionamento.

Verificar as regras de segurança nos recursos de origem de dados

Se as métricas indicarem que não foram processados eventos a partir da origem de dados (Métrica processada de eventos para Hubs de Eventos/IoT), confirme que os recursos de origem de dados (Hubs de Eventos ou Armazenamento) permitem o acesso a partir da sub-rede do cluster nas regras de firewall ou nos pontos finais de serviço.

Verificar as regras de segurança configuradas na sub-rede do cluster

Confirme que a sub-rede do cluster tem regras de NSG, UDR e firewall corretamente configuradas. Além disso, teste a conectividade de rede para todos os pontos finais dependentes.

Problemas de criação e operações do cluster

Se estiver a ter problemas de criação ou operação do cluster e suspeitar que está relacionado com a configuração da rede virtual, siga estes passos para resolver o problema.

Verificar a configuração dos "servidores DNS"

A configuração do Ponto Final Privado requer a configuração do DNS. Suportamos apenas a configuração da zona de DNS Privado do Azure. A configuração personalizada do servidor DNS não é suportada, verifique se os registos que foram criados como parte do ponto final privado estão registados na zona de DNS Privado do Azure.

Diagnosticar a rede virtual com a API REST

O ARMClient é utilizado para chamar a API REST com o PowerShell.

1. Iniciar sessão com o ARMClient

   armclient login
   

2. Invocar operação de diagnóstico

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Verificar a resposta

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Aguardar a conclusão da operação

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Aguarde até que a propriedade estado mostre Concluído e, em seguida, o campo de propriedades deve mostrar:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Se a propriedade Resultados mostrar um resultado vazio, significa que todos os testes de rede foram aprovados e que não existem ligações quebradas. Se for apresentado o seguinte erro, a dependência de saída "{dependencyName}:{port}" poderá não estar satisfeita (Saída), o cluster não consegue aceder aos pontos finais de serviço dependentes. Continue com os seguintes passos.

Verificar regras de NSG

Confirme que o NSG está configurado corretamente de acordo com as instruções em Configurar regras do Grupo de Segurança de Rede.

Verifique se a tabela de rotas está configurada para evitar problemas de ingestão

Se a sub-rede do cluster estiver configurada para forçar o túnel de todo o tráfego vinculado à Internet de volta à firewall (sub-rede com uma tabela de rotas que contém a rota predefinida "0.0.0.0/0") certifique-se de que os endereços IP de gestão) e os endereços IP de monitorização do estado de funcionamento têm uma rota com o tipo de salto seguinteInternet e o prefixo de endereço de origem para "management-ip/32" e "health-monitoring-ip/32". Esta rota é necessária para evitar problemas de rotas assimétricas.

Verificar as regras de firewall

Se forçar o tráfego de saída da sub-rede de túnel para uma firewall, certifique-se de que todas as dependências FQDN (por exemplo, .blob.core.windows.net) são permitidas na configuração da firewall, conforme descrito em proteger o tráfego de saída com a firewall.

Problemas de suspensão do cluster

Se o cluster não conseguir suspender, confirme que não existem bloqueios nos recursos de rede na sua subscrição.