Visão geral do problema de conexão
Com o aumento de cargas de trabalho sofisticadas e de alto desempenho no Azure, há uma necessidade crítica de maior visibilidade e controle sobre o estado operacional de redes complexas que executam essas cargas de trabalho. Essas redes complexas são implementadas usando grupos de segurança de rede, firewalls, rotas definidas pelo usuário e recursos fornecidos pelo Azure. Configurações complexas tornam a solução de problemas de conectividade desafiadora.
O recurso de solução de problemas de conexão do Observador de Rede do Azure ajuda a reduzir o tempo necessário para diagnosticar e solucionar problemas de conectividade de rede. Os resultados devolvidos podem dar-lhe informações sobre a causa raiz do problema de conectividade e se este se deve a um problema na plataforma ou na configuração do utilizador.
A solução de problemas de conexão reduz o MTTR (Mean Time To Resolution), fornecendo um método abrangente de executar todas as principais verificações de conexão para detetar problemas relacionados a grupos de segurança de rede, rotas definidas pelo usuário e portas bloqueadas. Ele fornece os seguintes resultados com insights acionáveis, onde um guia passo a passo ou documentação correspondente é fornecido para uma resolução mais rápida:
- Teste de conectividade com diferentes tipos de destino (VM, URI, FQDN ou Endereço IP)
- Problemas de configuração que afetam a acessibilidade
- Todos os caminhos possíveis hop by hop da origem ao destino
- Latência de lúpulo por salto
- Latência (mínima, máxima e média entre a origem e o destino)
- Visualização da topologia gráfica da origem ao destino
- Número de testes que falharam durante a verificação de solução de problemas de conexão
Tipos de origem e destino suportados
A solução de problemas de conexão fornece a capacidade de verificar conexões TCP ou ICMP de qualquer um destes recursos do Azure:
- Máquinas virtuais
- Conjuntos de dimensionamento de máquinas virtuais
- Instâncias do Azure Bastion
- Gateways de aplicativos (exceto v1)
Importante
A solução de problemas de conexão requer que a máquina virtual da qual você soluciona problemas tenha a extensão VM do agente do Inspetor de Rede instalada. A extensão não é necessária na máquina virtual de destino.
- Para instalar a extensão em uma VM do Windows, consulte Extensão de VM do agente do Inspetor de Rede do Azure para Windows.
- Para instalar a extensão em uma VM Linux, consulte Extensão de VM do agente do Inspetor de Rede do Azure para Linux.
- Para atualizar uma extensão já instalada, consulte Atualizar a extensão VM do agente do Inspetor de Rede para a versão mais recente.
A solução de problemas de conexão pode testar conexões com qualquer um destes destinos:
- Máquinas virtuais
- Nomes de domínio totalmente qualificados (FQDNs)
- Identificadores uniformes de recursos (URIs)
- Endereços IP
Problemas detetados pela solução de problemas de conexão
A solução de problemas de conexão pode detetar os seguintes tipos de problemas que podem afetar a conectividade:
- Alta utilização da CPU da VM
- Alta utilização de memória VM
- Regras de firewall de máquina virtual (convidado) bloqueando o tráfego
- Falhas de resolução de DNS
- Rotas mal configuradas ou ausentes
- Regras de grupo de segurança de rede (NSG) que estão bloqueando o tráfego
- Incapacidade de abrir um soquete na porta de origem especificada
- Entradas de protocolo de resolução de endereço ausentes para circuitos de Rota Expressa do Azure
- Servidores que não escutam nas portas de destino designadas
Response
A tabela a seguir mostra as propriedades retornadas após a execução da solução de problemas de conexão.
| Property | Description |
|---|---|
| Status da conexão | O status da verificação de conectividade. Os resultados possíveis são Alcançável e Inacessível. |
| AvgLatencyInMs | Latência média durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível). |
| MinLatencyInMs | Latência mínima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível). |
| MaxLatencyInMs | Latência máxima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível). |
| SondasEnviadas | Número de sondas enviadas durante a verificação. O valor máximo é 100. |
| SondasFalhou | Número de testes que falharam durante a verificação. O valor máximo é 100. |
| Saltos | Hop by hop path da origem ao destino. |
| Lúpulo[]. Tipo | Tipo de recurso. Os valores possíveis são: Source, VirtualAppliance, VnetLocal e Internet. |
| Lúpulo[]. Id | Identificador exclusivo do salto. |
| Lúpulo[]. Endereço | Endereço IP do salto. |
| Lúpulo[]. ResourceId | ID do recurso do salto se o salto for um recurso do Azure. Se for um recurso da Internet, ResourceID é Internet. |
| Lúpulo[]. PróximoHopIds | O identificador exclusivo do próximo salto realizado. |
| Lúpulo[]. Questões | Uma coleção de problemas encontrados durante a verificação do salto. Se não houve problemas, o valor fica em branco. |
| Lúpulo[]. Questões[]. Origem | No salto atual, onde ocorreu o problema. Os valores possíveis são: Entrada - O problema está no link do salto anterior para o salto atual. Saída - O problema está no link do salto atual para o próximo salto. Local - O problema está no salto atual. |
| Lúpulo[]. Questões[]. Gravidade | A gravidade do problema detetado. Os valores possíveis são: Erro e Aviso. |
| Lúpulo[]. Questões[]. Tipo | O tipo do problema detetado. Os valores possíveis são: Processador Memória GuestFirewall DnsResolução Regra de Segurança de Rede UserDefinedRoute |
| Lúpulo[]. Questões[]. Contexto | Detalhes sobre o problema detetado. |
| Lúpulo[]. Questões[]. Contexto[].key | Chave do par de valores de chave retornada. |
| Lúpulo[]. Questões[]. Contexto[].value | Valor do par de valores de chave retornado. |
| NextHopAnalysis.NextHopType | O tipo de próximo salto. Os valores possíveis são: HyperNetGateway Internet Nenhuma VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Endereço IP do próximo salto. |
| O identificador de recurso da tabela de rotas associada à rota que está sendo retornada. Se a rota retornada não corresponder a nenhuma rota criada pelo usuário, esse campo será a cadeia de caracteres Rota do sistema. | |
| SourceSecurityRuleAnalysis.Results[]. Perfil | Perfil de diagnóstico de configuração de rede. |
| SourceSecurityRuleAnalysis.Results[]. Perfil.Source | Origem do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag. |
| SourceSecurityRuleAnalysis.Results[]. Perfil.Destino | Destino do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Porta de destino do tráfego. Os valores possíveis são: * e uma única porta no intervalo (0 - 65535). |
| SourceSecurityRuleAnalysis.Results[]. Perfil.Protocolo | Protocolo a verificar. Os valores possíveis são: *, TCP e UDP. |
| SourceSecurityRuleAnalysis.Results[]. Perfil.Direção | A direção do tráfego. Os valores possíveis são: Outbound e Inbound. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Resultado do grupo de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[] | Lista de resultados de diagnóstico de grupos de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. AplicadoTo | ID do recurso da NIC ou sub-rede à qual o grupo de segurança de rede é aplicado. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. Regra Correspondida | Regra de segurança de rede correspondente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.Action | O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.RuleName | Nome da regra de segurança de rede correspondente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. NetworkSecurityGroupId | ID do grupo de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Lista dos resultados da avaliação das regras de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinoCorrespondido | O valor indica se o destino é correspondido. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Valor indica se a porta de destino é correspondida. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Designação | Nome da regra de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched | Valor indica se o protocolo é correspondido. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Valor indica se a origem é correspondida. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Valor indica se a porta de origem é correspondida. Valores booleanos. |
| DestinationSecurityRuleAnalysis | O mesmo que o formato SourceSecurityRuleAnalysis. |
| SourcePortStatus | Determina se a porta na origem é acessível ou não. Os valores possíveis são: Desconhecido Acessível Instável NãoLigação Tempo limite |
| DestinationPortStatus | Determina se a porta no destino é acessível ou não. Os valores possíveis são: Desconhecido Acessível Instável NãoLigação Tempo limite |
O exemplo a seguir mostra um problema encontrado em um salto.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Tipos de falhas
A solução de problemas de conexão retorna tipos de falha sobre a conexão. A tabela a seguir fornece uma lista dos possíveis tipos de falha retornados.
| Tipo | Description |
|---|---|
| CPU | Utilização elevada da CPU. |
| Memória | Utilização elevada da memória |
| GuestFirewall | O tráfego é bloqueado devido a uma configuração de firewall de máquina virtual. Um ping TCP é um caso de uso exclusivo no qual, se não houver uma regra permitida, o próprio firewall responde à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP/FQDN de destino. Este evento não é registado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping chegará ao servidor de destino e sua resposta será retransmitida de volta ao cliente. Esse evento é registrado no log de regras de rede. |
| DNSResolution | Falha na resolução de DNS para o endereço de destino. |
| Regra de Segurança de Rede | O tráfego é bloqueado por uma regra de grupo de segurança de rede (a regra de segurança é retornada). |
| UserDefinedRoute | O tráfego é interrompido devido a uma rota definida pelo usuário ou do sistema. |
Próximo passo
Para saber como usar a solução de problemas de conexão para testar e solucionar problemas de conexões, continue para: