Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При увеличении сложных и высокопроизводительных рабочих нагрузок в Azure крайне важно повысить видимость и контроль над состоянием работы сложных сетей, работающих с этими рабочими нагрузками. Такие сложные сети реализуются с помощью групп безопасности сети, брандмауэров, определяемых пользователем маршрутов и ресурсов, предоставляемых Azure. Сложные конфигурации делают устранение неполадок, связанных с подключением, непростой задачей.
Функция устранения неполадок подключения Azure Network Watcher помогает сократить время для диагностики и устранения проблем с сетевым подключением. Полученные результаты могут дать представление о первопричине проблемы с подключением: ошибка на платформе или в конфигурации пользователя.
Устранение неполадок с подключением сокращает среднее время разрешения (MTTR), предоставляя комплексный метод выполнения всех основных проверок подключения для обнаружения проблем, связанных с группами безопасности сети, определяемыми пользователем маршрутами и заблокированными портами. Он предоставляет следующие результаты с практическими аналитическими сведениями, в которых пошаговые инструкции или соответствующая документация предоставляется для ускорения разрешения:
- Проверка подключения с различными типами назначения (ВМ, URI, FQDN или IP-адрес)
- Проблемы с конфигурацией, влияющие на доступность
- Задержка (минимальная, максимальная и средняя между источником и назначением)
- Графическое представление топологии из источника в место назначения
- Количество проверок завершились с ошибкой при проверке подключения на наличие неполадок.
Интерфейс без агента (предварительная версия)
Теперь устранение неполадок подключения поддерживает безагентную работу (в настоящее время в предварительной версии). Вам больше не нужно устанавливать расширение виртуальной машины агента Network Watcher на виртуальных машинах для выполнения тестов подключения. Функции и функциональность могут изменяться до общей доступности.
Ранее тесты подключения с устранением неполадок подключения требовали, чтобы исходная виртуальная машина установила расширение виртуальной машины агента Network Watcher. Это расширение необходимо для выполнения тестов из виртуальной машины.
Что нового
Благодаря интерфейсу без агента теперь можно выполнять тесты подключения между ресурсами Azure без установки какого-либо агента диагностики или расширения виртуальной машины. Это упрощает настройку, уменьшает операционные издержки и позволяет быстрее устранять неполадки непосредственно с портала Azure.
- Не требуется установка агента. Тесты подключения можно инициировать без развертывания или обновления расширения виртуальной машины агента Network Watcher на виртуальных машинах Windows или Linux.
- Оптимизированный опыт: диагностика выполняется с помощью Azure API платформы, что делает процесс удобным и эффективным.
Поддерживаемые типы источников и назначения
Устранение неполадок подключения обеспечивает возможность проверки подключений TCP или ICMP из любого из этих Azure ресурсов:
- Виртуальные машины
- Масштабируемые наборы виртуальных машин
- экземпляры Azure Bastion
- Шлюзы приложений версии 2, за исключением шлюзов, зарегистрированных в развертывании частного шлюза приложений
Устранение неполадок подключения может протестировать подключения к любому из этих пунктов назначения.
- Виртуальные машины
- Полные доменные имена (FQDN)
- URI (uniform resource identifiers — универсальные коды ресурса)
- IP-адреса
Проблемы, обнаруженные при устранении неполадок при подключении
Устранение неполадок подключения может обнаружить следующие типы проблем, которые могут повлиять на подключение:
- Высокая загрузка ЦП виртуальной машины
- Высокая загрузка памяти виртуальной машины
- Правила брандмауэра виртуальной машины (гостевой) блокируют трафик
- Сбои разрешения DNS
- Неправильно настроенные или отсутствующие маршруты
- Правила группы безопасности сети (NSG), блокирующие трафик
- Неспособность открыть сокет на указанном исходном порту
- Отсутствующие записи протокола разрешения адресов ARP для каналов Azure ExpressRoute
- Серверы, не прослушивающие назначенные порты
Ответ
В следующей таблице показаны свойства, возвращенные после устранения неполадок подключения.
| Свойство | Описание |
|---|---|
| Статус соединения | Состояние проверки подключения. Возможные результаты: Reachable и Unreachable. |
| Средняя задержка в мс | Средняя задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если статус проверки доступен). |
| Минимальная задержка в мс | Минимальная задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если статус проверки доступен). |
| MaxLatencyInMs | Максимальная задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если статус проверки доступен). |
| Отправка зондов | Число проб, отправленных во время проверки. Максимальное значение равно 100. |
| ДатчикиСбой | Число проб, которые завершились сбоем во время проверки. Максимальное значение равно 100. |
| Хопы | Последовательный путь от источника к пункту назначения. |
| Хмель[]. Тип | Тип ресурса. Возможные значения: Source, VirtualAppliance, VnetLocal и Internet. |
| Хмель[].Идентификатор | Уникальный идентификатор прыжка. |
| Hops[]. Адрес | IP-адрес прыжка. |
| Хмель[]. ResourceId (Идентификатор ресурса) | Идентификатор ресурса прыжка, если прыжок является ресурсом Azure. Если это интернет-ресурс, ResourceID — Интернет. |
| Хмель[]. NextHopIds | Уникальный идентификатор следующего выполненного прыжка. |
| Хмель[]. Вопросы | Коллекция проблем, которые были обнаружены во время проверки прыжка. Если проблем не обнаружено, значение будет пустым. |
| Хмель[]. Проблемы[]. Происхождение | На текущем узле, где возникла проблема. Возможные значения: Входящее: Проблема связана со ссылкой от предыдущего узла к текущему узлу. Исходящий: Проблема на участке между текущим узлом и следующим узлом. Локальный: Проблема на текущем узле. |
| Хмель[]. Проблемы[]. Суровость | Серьезность обнаруженной проблемы. Возможные значения: ошибка и предупреждение. |
| Хмель[].Проблемы[].Тип | Тип обнаруженной проблемы. Возможные значения: ЦПУ Память Гостевой брандмауэр Разрешение DNS Правило сетевой безопасности Пользовательский Маршрут |
| Хмель[]. Проблемы[]. Контекст | Сведения об обнаруженной проблеме. |
| Хмель[]. Проблемы[]. Контекст[].key | Возвращенный ключ из пары «ключ-значение». |
| Хмель[].Проблемы[].Контекст[].value | Возвращенное значение пары "ключ — значение". |
| NextHopAnalysis.NextHopType (СледующийHopType) | Тип следующего прыжка. Возможные значения: ГипернетШлюз Интернет Не допускается Виртуальное устройство Виртуальный сетевой шлюз VnetLocal |
| NextHopAnalysis.NextHopIpAddress | IP-адрес следующего прыжка. |
| Идентификатор ресурса таблицы маршрутов, связанной с возвращаемым маршрутом. Если возвращаемый маршрут не соответствует каким-либо созданным пользователем маршрутам, это поле будет строковым системным маршрутом. | |
| SourceSecurityRuleAnalysis.Results[].Профиль | Профиль диагностики конфигурации сети. |
| SourceSecurityRuleAnalysis.Results[].Профиль.Источник | Источник трафика. Возможные значения: *****, IP-адрес/CIDR и тег службы. |
| SourceSecurityRuleAnalysis.Results[].Профиль.Назначение | Направление трафика. Возможные значения: *****, IP-адрес/CIDR и тег службы. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Порт назначения трафика. Возможные значения: * и один порт в диапазоне (0 – 65535). |
| АнализПравилБезопасностиИсточника.Результаты[].Профиль.Протокол | Проверяемый протокол. Возможные значения: *****, TCP и UDP. |
| SourceSecurityRuleAnalysis.Results[].Профиль.Направление | Направление трафика. Возможные значения: Outbound и Inbound. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Результат работы группы безопасности сети. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Список результатов диагностики групп безопасности сети. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | Сетевой трафик разрешен или запрещен. Возможные значения: Allow и Deny. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo | Идентификатор ресурса сетевой карты или подсети, к которой применяется группа безопасности сети. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule | Соответствующее правило безопасности сети. |
| АнализПравилаБезопасностиИсточник.Результаты[].РезультатГруппыБезопасностиСети.ОцененныеГруппыБезопасности[].СоответствующееПравило.Действие | Сетевой трафик разрешен или запрещен. Возможные значения: Allow и Deny. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName | Имя соответствующего правила безопасности сети. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | Идентификатор группы безопасности сети. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Список результатов оценки правил безопасности сети. |
| SourceSecurityRuleAnalysis.Результаты[].РезультатГруппыСетевойБезопасности.ОценкаПравил[].СоответствиеНазначению | Значение указывает, соответствует ли адрес назначения. Логические значения. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ПортНазначенияСовпадает | Значение указывает, соответствует ли целевой порт. Логические значения. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Имя | Имя правила безопасности сети. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ПротоколСовпадает | Значение указывает, соответствует ли протокол. Логические значения. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Значение указывает, соответствует ли источник. Логические значения. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Значение указывает, соответствует ли исходный порт. Логические значения. |
| Анализ правил безопасности для назначения | Совпадает с форматом SourceSecurityRuleAnalysis. |
| Исходный портСтатус | Определяет, достижим ли порт в точке исхода. Возможные значения: Неизвестный Достижимый Нестабильный NoConnection Время ожидания |
| DestinationPortStatus (Статус порта) | Определяет, достижим ли порт по назначению. Возможные значения: Неизвестный Достижимый Нестабильный NoConnection Время ожидания |
В следующем примере показана проблема, обнаруженная на прыжке.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Ошибки
Устранение неполадок подключения возвращает следующие сообщения об ошибках.
| Тип проблемы | Описание |
|---|---|
| АгентОстановлен | Агент Network Watcher на исходной виртуальной машине остановлен или не отвечает. |
| Гостевой брандмауэр | Трафик блокируется брандмауэром гостевой ОС на исходной или целевой виртуальной машине. |
| DNSResolution | Сбой поиска DNS для имени узла назначения в исходном агенте. |
| SocketError | Исходному агенту не удалось выполнить привязку или прослушивание на требуемый локальный сокет (например, SocketBindFailed или ListenFailed). |
| Правило сетевой безопасности | Правило NSG запрещает входящий или исходящий трафик между источником и назначением. |
| Пользовательский Маршрут | Пользовательский маршрут был найден, который направляет трафик к следующему узлу None, создавая маршрутизацию типа "черная дыра". |
| Platform | Проблема уровня платформы Azure влияет на подключение. |
| NetworkError | Произошел универсальный сбой сети (например, время ожидания подключения, сбой подключения, отсутствие ответа или сбой отправки и получения). |
| ЦПУ | Загрузка ЦП на исходной или целевой виртуальной машине превысила пороговое значение. |
| Память | Использование памяти на исходной или целевой виртуальной машине превысило пороговое значение. |
| ARPMissing | Таблица ARP на узле Microsoft Edge (ExpressRoute) отсутствует или имеет неполную запись для IP-адреса клиента либо Microsoft Edge. |
| МаршрутОтсутствует | Вызывается, если на этапе маршрутизации не найден допустимый маршрут к пункту назначения. |
| Перезагрузка виртуальной машины | Исходная или целевая виртуальная машина в настоящее время находится в состоянии перезагрузки. |
| VMNotAllocated | Виртуальная машина не выделена (освобождена или остановлена). |
| NoListenerOnDestination | Проверка подключения к назначению подтвердила, что процесс не прослушивается на указанном порту. |
| DIPProbeDown | Проверка работоспособности SLB сообщает, что сервер с DIP (IP-адрес назначения) недоступен. |
| МаршрутНеНайден | SLB или Виртуальный концентратор не нашли эффективного маршрута к месту назначения. |
| PeeringInfoNotFound | Не удалось получить сведения о пиринге между двумя виртуальными сетями. |
| VmStarting | Целевая виртуальная машина находится в начальном состоянии и еще не готова принять трафик. |
| VmStopped | Целевая виртуальная машина остановлена (но по-прежнему выделена), поэтому она не может принимать сетевой трафик. |
| VmStopping | Целевая виртуальная машина находится в процессе остановки и не надежно принимает трафик. |
| VmDeallocating | Целевая виртуальная машина освобождена и находится в процессе освобождения своих ресурсов, что делает ее временно недоступной. |
| VmDeallocated | Целевая виртуальная машина полностью освобождена. |
| SystemError | Произошла ошибка внутренней системы или инфраструктуры. |
| UDRLoop | Определяемый пользователем маршрут найден. Это приводит к циклу маршрутизации, так как IP-адрес следующего узла соответствует IP-адресу текущего узла. |
| IPForwardingNotEnabled | Виртуальная машина NVA (виртуальное устройство), через которую маршрутизируется трафик, не имеет включенной IP-пересылки на своем сетевом интерфейсе (NIC). |
| VnetAccessNotAllowed | Ссылка пиринга виртуальной сети имеет значение AllowVNetAccessс значением false, блокируя трафик от пересечения границы пиринга. |
| AllowGatewayTransitNotEnabled | Пиринг на стороне концентратора/шлюза не имеет включенной функции AllowGatewayTransit. |
| MultiNICsInSameSubnet | Несколько сетевых адаптеров на виртуальной машине находятся в одной подсети, что может привести к асимметричной маршрутизации и непредсказуемому поведению трафика. |
| StandardILBOutboundInternetNotAllowed | Возникает, когда виртуальная машина в серверном пуле внутреннего балансировщика нагрузки уровня "Стандартный" пытается получить доступ к Интернету — виртуальные машины ILB уровня "Стандартный" не имеют исходящего доступа к Интернету по умолчанию, в отличие от ILB уровня "Базовый", который имеет такой доступ. |
| MultiNICsInSameSubnetWithWeakHostSendEnabled | В одной подсети находятся несколько сетевых адаптеров, и включён режим слабого узла, что может привести к передаче трафика через неожиданный сетевой интерфейс. |
| MultiNICsInSameSubnetWithWeakHostEnabled | На виртуальной машине включена функция слабого узла (передача/прием), и несколько сетевых адаптеров находятся в одной подсети, что может привести к маршрутизации пакетов через непредусмотренные интерфейсы. |
| SourcePortInUse | Исходный порт, выбранный агентом, уже находится в состоянии TIME_WAIT (затяжной сокет TCP), предотвращая установку нового подключения из этого порта. |
| InvalidResponseFromServer | Проба DNS запрашивала сервер, но не получала соответствующие записи. |
| DNSResponseValidationFailed | Ответ проверки DNS не удалось из-за нарушения настроенного правила проверки (например, неправильное количество записей, неправильная поддержка рекурсии, неверный RCode или неверный флаг авторитета). |
| Неподдерживаемая система | Агент выполняется в операционной системе или системной конфигурации, которая не поддерживает запрошенный тип пробы. |
| Неполная топология | Службе не удалось построить полный маршрут через узлы к месту назначения. |
| DestinationUnreachable | Агент на исходном компьютере не смог добраться до места назначения. |
| ТрассировкаНедоступна | Агент не вернул результат трассировки (без путей), поэтому не может определить состояние подключения между источником и назначением. |
| Частично достижимый пункт назначения | Некоторые, но не все пути маршрутизации от агента успешно достигли назначения. |
| GatewayNotProvisioned | Шлюз VPN/ExpressRoute вернул ошибку GatewayNotProvisioned . |
| ResourceHealthUnavailable | Azure Resource Health указывает узел (виртуальная машина, шлюз, брандмауэр и т. д.) как Unavailable. |
| ResourceHealthDegraded | Azure Resource Health сообщает, что состояние ресурса hop Degraded. |
| VirtualHubNotProvisioned | Центр, связанный с Virtual WAN, не находится в состоянии выполнения Успешно. |
| StatusCodeValidationFailed | Проба HTTP получила ответ, но возвращенный код состояния HTTP не соответствовал ожидаемому значению. |
| HeaderValidationFailed | Проба HTTP получила ответ, но один или несколько ожидаемых заголовков ОТВЕТА HTTP отсутствуют или не совпадают. |
| ОшибкаПроверкиКонтента | Проверка HTTP получила ответ, но содержимое текста ответа не соответствовало ожидаемому значению. |
| СоединениеНеНастроено | Подключение между исходными и конечными точками в параметрах монитора подключения не настроено. |
| ConnectionStateDisconnected | Отслеживаемое подключение находится в отключенном состоянии, указывая разрыв в пути логического подключения. |
| Не поддерживается BasicILB при глобальном пиринге | Базовый внутренний балансировщик нагрузки не поддерживает соединение глобальной виртуальной сети. |
| BGPRoutePropogationDisabled | Распространение маршрутов BGP отключено в таблице маршрутов, связанной с исходной подсетью. |
| ИспользованиеУдалённыхШлюзовНеВключено | Пиринг на периферийной стороне не имеет активированную функцию UseRemoteGateways. |
| UnexpectedVirtualNetworkGatewayConnection | Подключение шлюза виртуальной сети было найдено по пути, который не ожидался. |
Типы ошибок
Диагностика подключения возвращает типы ошибок, связанных с подключением. В следующей таблице приведен список возможных возвращаемых типов сбоев.
| Тип | Описание |
|---|---|
| ЦП | Высокая загрузка ЦП. |
| Память | Высокий уровень использования памяти. |
| Гостевой брандмауэр | Трафик блокируется из-за конфигурации брандмауэра виртуальной машины. Для TCP ping предусмотрен уникальный вариант использования: если правило не разрешено, сам брандмауэр отвечает на запрос TCP ping клиента, даже если TCP ping не достигает целевого IP-адреса/полного доменного имени. Это событие не регистрируется. Если есть сетевое правило, позволяющее получить доступ к целевому IP-адресу/полном доменному имени, ping-запрос достигает целевого сервера, а его ответ возвращается обратно клиенту. Это событие регистрируется в журнале правил сети. |
| DnsResolution | Сбой разрешения DNS для адреса назначения. |
| Правило сетевой безопасности | Трафик блокируется правилом группы безопасности сети (возвращается правило безопасности). |
| Пользовательский маршрут | Трафик сбрасывается из-за определенного пользователем или системой маршрута. |
Следующий шаг
Чтобы узнать, как использовать инструмент диагностики подключения для тестирования и устранения неполадок соединений, продолжайте к следующему:
Устранение неполадок подключения в портале Azure