Partilhar via


Visão geral do problema de conexão

Com o aumento de cargas de trabalho sofisticadas e de alto desempenho no Azure, há uma necessidade crítica de maior visibilidade e controle sobre o estado operacional de redes complexas que executam essas cargas de trabalho. Essas redes complexas são implementadas usando grupos de segurança de rede, firewalls, rotas definidas pelo usuário e recursos fornecidos pelo Azure. Configurações complexas tornam a solução de problemas de conectividade desafiadora.

O recurso de solução de problemas de conexão do Observador de Rede do Azure ajuda a reduzir o tempo necessário para diagnosticar e solucionar problemas de conectividade de rede. Os resultados devolvidos podem dar-lhe informações sobre a causa raiz do problema de conectividade e se este se deve a um problema na plataforma ou na configuração do utilizador.

A solução de problemas de conexão reduz o MTTR (Mean Time To Resolution), fornecendo um método abrangente de executar todas as principais verificações de conexão para detetar problemas relacionados a grupos de segurança de rede, rotas definidas pelo usuário e portas bloqueadas. Ele fornece os seguintes resultados com insights acionáveis, onde um guia passo a passo ou documentação correspondente é fornecido para uma resolução mais rápida:

  • Teste de conectividade com diferentes tipos de destino (VM, URI, FQDN ou Endereço IP)
  • Problemas de configuração que afetam a acessibilidade
  • Todos os caminhos possíveis hop by hop da origem ao destino
  • Latência de lúpulo por salto
  • Latência (mínima, máxima e média entre a origem e o destino)
  • Visualização da topologia gráfica da origem ao destino
  • Número de testes que falharam durante a verificação de solução de problemas de conexão

Tipos de origem e destino suportados

A solução de problemas de conexão fornece a capacidade de verificar conexões TCP ou ICMP de qualquer um destes recursos do Azure:

  • Máquinas virtuais
  • Conjuntos de dimensionamento de máquinas virtuais
  • Instâncias do Azure Bastion
  • Gateways de aplicativos (exceto v1)

Importante

A solução de problemas de conexão requer que a máquina virtual da qual você soluciona problemas tenha a extensão VM do agente do Inspetor de Rede instalada. A extensão não é necessária na máquina virtual de destino.

A solução de problemas de conexão pode testar conexões com qualquer um destes destinos:

  • Máquinas virtuais
  • Nomes de domínio totalmente qualificados (FQDNs)
  • Identificadores uniformes de recursos (URIs)
  • Endereços IP

Problemas detetados pela solução de problemas de conexão

A solução de problemas de conexão pode detetar os seguintes tipos de problemas que podem afetar a conectividade:

  • Alta utilização da CPU da VM
  • Alta utilização de memória VM
  • Regras de firewall de máquina virtual (convidado) bloqueando o tráfego
  • Falhas de resolução de DNS
  • Rotas mal configuradas ou ausentes
  • Regras de grupo de segurança de rede (NSG) que estão bloqueando o tráfego
  • Incapacidade de abrir um soquete na porta de origem especificada
  • Entradas de protocolo de resolução de endereço ausentes para circuitos de Rota Expressa do Azure
  • Servidores que não escutam nas portas de destino designadas

Response

A tabela a seguir mostra as propriedades retornadas após a execução da solução de problemas de conexão.

Property Description
Status da conexão O status da verificação de conectividade. Os resultados possíveis são Alcançável e Inacessível.
AvgLatencyInMs Latência média durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
MinLatencyInMs Latência mínima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
MaxLatencyInMs Latência máxima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
SondasEnviadas Número de sondas enviadas durante a verificação. O valor máximo é 100.
SondasFalhou Número de testes que falharam durante a verificação. O valor máximo é 100.
Saltos Hop by hop path da origem ao destino.
Lúpulo[]. Tipo Tipo de recurso. Os valores possíveis são: Source, VirtualAppliance, VnetLocal e Internet.
Lúpulo[]. Id Identificador exclusivo do salto.
Lúpulo[]. Endereço Endereço IP do salto.
Lúpulo[]. ResourceId ID do recurso do salto se o salto for um recurso do Azure. Se for um recurso da Internet, ResourceID é Internet.
Lúpulo[]. PróximoHopIds O identificador exclusivo do próximo salto realizado.
Lúpulo[]. Questões Uma coleção de problemas encontrados durante a verificação do salto. Se não houve problemas, o valor fica em branco.
Lúpulo[]. Questões[]. Origem No salto atual, onde ocorreu o problema. Os valores possíveis são:
Entrada - O problema está no link do salto anterior para o salto atual.
Saída - O problema está no link do salto atual para o próximo salto.
Local - O problema está no salto atual.
Lúpulo[]. Questões[]. Gravidade A gravidade do problema detetado. Os valores possíveis são: Erro e Aviso.
Lúpulo[]. Questões[]. Tipo O tipo do problema detetado. Os valores possíveis são:
Processador
Memória
GuestFirewall
DnsResolução
Regra de Segurança de Rede
UserDefinedRoute
Lúpulo[]. Questões[]. Contexto Detalhes sobre o problema detetado.
Lúpulo[]. Questões[]. Contexto[].key Chave do par de valores de chave retornada.
Lúpulo[]. Questões[]. Contexto[].value Valor do par de valores de chave retornado.
NextHopAnalysis.NextHopType O tipo de próximo salto. Os valores possíveis são:
HyperNetGateway
Internet
Nenhuma
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Endereço IP do próximo salto.
O identificador de recurso da tabela de rotas associada à rota que está sendo retornada. Se a rota retornada não corresponder a nenhuma rota criada pelo usuário, esse campo será a cadeia de caracteres Rota do sistema.
SourceSecurityRuleAnalysis.Results[]. Perfil Perfil de diagnóstico de configuração de rede.
SourceSecurityRuleAnalysis.Results[]. Perfil.Source Origem do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag.
SourceSecurityRuleAnalysis.Results[]. Perfil.Destino Destino do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Porta de destino do tráfego. Os valores possíveis são: * e uma única porta no intervalo (0 - 65535).
SourceSecurityRuleAnalysis.Results[]. Perfil.Protocolo Protocolo a verificar. Os valores possíveis são: *, TCP e UDP.
SourceSecurityRuleAnalysis.Results[]. Perfil.Direção A direção do tráfego. Os valores possíveis são: Outbound e Inbound.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Resultado do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[] Lista de resultados de diagnóstico de grupos de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. AplicadoTo ID do recurso da NIC ou sub-rede à qual o grupo de segurança de rede é aplicado.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. Regra Correspondida Regra de segurança de rede correspondente.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.Action O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.RuleName Nome da regra de segurança de rede correspondente.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. NetworkSecurityGroupId ID do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Lista dos resultados da avaliação das regras de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinoCorrespondido O valor indica se o destino é correspondido. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Valor indica se a porta de destino é correspondida. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Designação Nome da regra de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched Valor indica se o protocolo é correspondido. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Valor indica se a origem é correspondida. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Valor indica se a porta de origem é correspondida. Valores booleanos.
DestinationSecurityRuleAnalysis O mesmo que o formato SourceSecurityRuleAnalysis.
SourcePortStatus Determina se a porta na origem é acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NãoLigação
Tempo limite
DestinationPortStatus Determina se a porta no destino é acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NãoLigação
Tempo limite

O exemplo a seguir mostra um problema encontrado em um salto.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Tipos de falhas

A solução de problemas de conexão retorna tipos de falha sobre a conexão. A tabela a seguir fornece uma lista dos possíveis tipos de falha retornados.

Tipo Description
CPU Utilização elevada da CPU.
Memória Utilização elevada da memória
GuestFirewall O tráfego é bloqueado devido a uma configuração de firewall de máquina virtual.

Um ping TCP é um caso de uso exclusivo no qual, se não houver uma regra permitida, o próprio firewall responde à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP/FQDN de destino. Este evento não é registado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping chegará ao servidor de destino e sua resposta será retransmitida de volta ao cliente. Esse evento é registrado no log de regras de rede.
DNSResolution Falha na resolução de DNS para o endereço de destino.
Regra de Segurança de Rede O tráfego é bloqueado por uma regra de grupo de segurança de rede (a regra de segurança é retornada).
UserDefinedRoute O tráfego é interrompido devido a uma rota definida pelo usuário ou do sistema.

Próximo passo

Para saber como usar a solução de problemas de conexão para testar e solucionar problemas de conexões, continue para: