Felsöka utgående anslutningar med hjälp av Azure CLI
I den här artikeln får du lära dig hur du använder funktionen för anslutningsfelsökning i Azure Network Watcher för att diagnostisera och felsöka anslutningsproblem. Mer information om felsökning av anslutningar finns i Översikt över felsökning av anslutningar.
Förutsättningar
Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
Network Watcher aktiverat i regionen för den virtuella dator (VM) som du vill felsöka. Som standard aktiverar Azure Network Watcher i en region när du skapar ett virtuellt nätverk i den. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.
En virtuell dator med Network Watcher-agentens VM-tillägg installerat på den och har följande utgående TCP-anslutning:
- till 169.254.169.254 över port 80
- till 168.63.129.16 över port 8037
En andra virtuell dator med inkommande TCP-anslutning från 168.63.129.16 via porten som testas (för diagnostiskt test för portgenomsökning).
Azure Cloud Shell eller Azure CLI.
Stegen i den här artikeln kör Azure CLI-kommandona interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell från Azure-portalen.
Du kan också installera Azure CLI lokalt för att köra kommandona. Om du kör Azure CLI lokalt loggar du in på Azure med kommandot az login .
Kommentar
- Information om hur du installerar tillägget på en virtuell Windows-dator finns i Network Watcher-agentens VM-tillägg för Windows.
- Information om hur du installerar tillägget på en virtuell Linux-dator finns i Vm-tillägget för Network Watcher-agenten för Linux.
- Information om hur du uppdaterar ett redan installerat tillägg finns i Uppdatera VM-tillägget för Network Watcher-agenten till den senaste versionen.
Testa anslutningen till en virtuell dator
I det här avsnittet testar du RDP-anslutningen (Remote Desktop Port) från en virtuell dator till en annan virtuell dator i samma virtuella nätverk.
Använd az network watcher test-connectivity för att köra diagnostiktester för anslutning för att testa anslutningen till en virtuell dator via port 3389:
# Test connectivity between two virtual machines that are in the same resource group over port 3389.
az network watcher test-connectivity --resource-group 'myResourceGroup' --source-resource 'VM1' --dest-resource 'VM2' --protocol 'TCP' --dest-port '3389'
Om de virtuella datorerna inte finns i samma resursgrupp använder du deras resurs-ID:n i stället för deras namn:
# Test connectivity between two virtual machines that are in two different resource groups over port 3389.
az network watcher test-connectivity --source-resource '/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup1/providers/Microsoft.Compute/virtualMachines/VM1' --dest-resource '/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup2/providers/Microsoft.Compute/virtualMachines/VM2' --protocol 'TCP' --dest-port '3389'
Om de två virtuella datorerna kommunicerar utan problem visas följande resultat:
{ "avgLatencyInMs": 2, "connectionStatus": "Reachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "", "roundTripTimeAvg": 2, "roundTripTimeMax": 2, "roundTripTimeMin": 2 } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.0.0.5", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM2", "type": "VirtualMachine" } ], "maxLatencyInMs": 8, "minLatencyInMs": 1, "probesFailed": 0, "probesSent": 66 }
- Anslutningsstatus är Nåbar (den virtuella måldatorn kan nås via port 3389).
- 66 avsökningar skickades till den virtuella måldatorn.
- Det finns två hopp i sökvägen mellan de två virtuella datorerna (inga enheter eller andra resurser i sökvägen mellan de två virtuella datorerna).
Om den virtuella måldatorn har en nätverkssäkerhetsgrupp som nekar inkommande RDP-anslutningar visas följande resultat:
{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.0.0.5", "id": "11111111-1111-1111-1111-111111111111", "issues": [ { "context": [ { "key": "RuleName", "value": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/VM2-nsg/SecurityRules/Deny3389Inbound" } ], "origin": "Inbound", "severity": "Error", "type": "NetworkSecurityRule" }, { "context": [], "origin": "Local", "severity": "Error", "type": "NoListenerOnDestination" } ], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM2", "type": "VirtualMachine" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (den virtuella måldatorn kan inte nås via port 3389).
- 30 avsökningar skickades och kunde inte nå den virtuella måldatorn.
- Det finns två hopp i sökvägen mellan de två virtuella datorerna (inga enheter eller andra resurser i sökvägen mellan de två virtuella datorerna).
- Inkommande anslutning till den virtuella måldatorn nekas av säkerhetsregeln
Deny3389Inbound
i nätverkssäkerhetsgruppenVM2-nsg
.
Lösning: Uppdatera nätverkssäkerhetsgruppen på den virtuella måldatorn så att inkommande RDP-trafik tillåts.
Om den virtuella källdatorn har en nätverkssäkerhetsgrupp som nekar RDP-anslutningar till målet visas följande resultat:
{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [ { "context": [ { "key": "RuleName", "value": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/VM1-nsg/SecurityRules/Deny3389Outbound" } ], "origin": "Outbound", "severity": "Error", "type": "NetworkSecurityRule" } ], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.0.0.5", "id": "11111111-1111-1111-1111-111111111111", "issues": [ { "context": [], "origin": "Local", "severity": "Error", "type": "NoListenerOnDestination" } ], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM2", "type": "VirtualMachine" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (den virtuella måldatorn kan inte nås via port 3389).
- 30 avsökningar skickades och kunde inte nå den virtuella måldatorn.
- Det finns två hopp i sökvägen mellan de två virtuella datorerna (inga enheter eller andra resurser i sökvägen mellan de två virtuella datorerna).
- Utgående anslutning från den virtuella källdatorn nekas av säkerhetsregeln
Deny3389Outbound
i nätverkssäkerhetsgruppenVM1-nsg
.
Lösning: Uppdatera nätverkssäkerhetsgruppen på den virtuella källdatorn så att utgående RDP-trafik tillåts.
Om operativsystemet på den virtuella måldatorn inte accepterar inkommande anslutningar på port 3389 visas följande resultat:
{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.0.0.5", "id": "11111111-1111-1111-1111-111111111111", "issues": [ { "context": [], "origin": "Local", "severity": "Error", "type": "NoListenerOnDestination" }, { "context": [], "origin": "Local", "severity": "Error", "type": "GuestFirewall" } ], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM2", "type": "VirtualMachine" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (den virtuella måldatorn kan inte nås via port 3389).
- 30 avsökningar skickades och kunde inte nå den virtuella måldatorn.
- Det finns två hopp i sökvägen mellan de två virtuella datorerna (inga enheter eller andra resurser i sökvägen mellan de två virtuella datorerna).
- Port 3389 kan inte nås på den virtuella måldatorn (utdata har
NoListenerOnDestination
ochGuestFirewall
fel på den virtuella måldatorn).
Lösning: Konfigurera operativsystemet på den virtuella måldatorn för att acceptera inkommande RDP-trafik.
Testa anslutningen till en webbplats
I det här avsnittet testar du anslutningen mellan en virtuell dator och en webbplats.
Använd az network watcher test-connectivity för att köra anslutningsfelsök för att testa anslutningen till www.bing.com
:
# Test connectivity from a virtual machine to www.bing.com.
az network watcher test-connectivity --resource-group 'myResourceGroup' --source-resource 'VM1' --dest-address 'www.bing.com' --protocol 'TCP' --dest-port '443'
Om
www.bing.com
kan nås från den virtuella källdatorn visas följande resultat:{ "avgLatencyInMs": 9, "connectionStatus": "Reachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "Internet", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "", "roundTripTimeAvg": 9, "roundTripTimeMax": 9, "roundTripTimeMin": 9 } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "104.117.244.81", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "Internet", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "type": "Internet" } ], "maxLatencyInMs": 13, "minLatencyInMs": 7, "probesFailed": 0, "probesSent": 66 }
- Anslutningsstatus är Nåbar (
www.bing.com
kan nås från VM1). - 66 avsökningar skickades till
www.bing.com
med en genomsnittlig svarstid på 9 ms. - Nästa hopptyp är
Internet
.
- Anslutningsstatus är Nåbar (
Om
www.bing.com
det inte går att nå från den virtuella källdatorn på grund av en säkerhetsregel visas följande resultat:{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [ { "context": [ { "key": "RuleName", "value": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/VM1-nsg/SecurityRules/DenyInternetOutbound" } ], "origin": "Outbound", "severity": "Error", "type": "NetworkSecurityRule" } ], "links": [ { "context": {}, "issues": [], "linkType": "Internet", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "23.198.7.184", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "Internet", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "type": "Internet" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (
www.bing.com
kan inte nås från VM1). - 30 avsökningar skickades och kunde inte nå
www.bing.com
. - Utgående anslutning från den virtuella källdatorn nekas av säkerhetsregeln
DenyInternetOutbound
i nätverkssäkerhetsgruppenVM1-nsg
. - Nästa hopptyp är
Internet
.
Lösning: Uppdatera nätverkssäkerhetsgruppen på den virtuella källdatorn för att tillåta utgående trafik till
www.bing.com
.- Anslutningsstatusen kan inte nås (
Testa anslutningen till en IP-adress
I det här avsnittet testar du anslutningen mellan en virtuell dator och en IP-adress för en annan virtuell dator.
Använd az network watcher test-connectivity för att köra felsöka anslutningen för att testa RDP-anslutningen till 10.10.10.10
:
# Test connectivity from a virtual machine to 10.10.10.10 over port 3389.
az network watcher test-connectivity --resource-group 'myResourceGroup' --source-resource 'VM1' --dest-address '10.10.10.10' --protocol 'TCP' --dest-port 3389
Om IP-adressen kan nås visas följande resultat:
{ "avgLatencyInMs": 2, "connectionStatus": "Reachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "", "roundTripTimeAvg": 2, "roundTripTimeMax": 2, "roundTripTimeMin": 2 } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.10.10.10", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/vm2375/ipConfigurations/ipconfig1", "type": "VirtualNetwork" } ], "maxLatencyInMs": 7, "minLatencyInMs": 1, "probesFailed": 0, "probesSent": 66 }
- Anslutningsstatus är Nåbar (
10.10.10.10
kan nås via port 3389). - 66 avsökningar skickades till
10.10.10.10
med en genomsnittlig svarstid på 2 ms. - Det finns två hopp i sökvägen mellan de två virtuella datorerna (inga enheter eller andra resurser i sökvägen mellan de två virtuella datorerna).
- Anslutningsstatus är Nåbar (
Om IP-adressen inte kan nås eftersom den virtuella måldatorn inte körs visas följande resultat:
{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.10.10.10", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/vm2375/ipConfigurations/ipconfig1", "type": "VirtualNetwork" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (
10.10.10.10
kan inte nås via port 3389). - 30 avsökningar skickades och kunde inte nå
10.10.10.10
. - Inga problem på den virtuella källdatorn.
- Inga problem med
10.10.10.10
.
Lösning: Starta den virtuella måldatorn.
- Anslutningsstatusen kan inte nås (
Om det inte finns någon väg till IP-adressen i routningstabellen för den virtuella källdatorn (till exempel att IP-adressen inte finns i adressutrymmet för den virtuella datorns virtuella nätverk eller dess peer-kopplade virtuella nätverk) ser du följande resultat:
{ "connectionStatus": "Unreachable", "hops": [ { "address": "10.0.0.4", "id": "00000000-0000-0000-0000-000000000000", "issues": [ { "context": [], "origin": "Local", "severity": "Error", "type": "RouteMissing" }, { "context": [ { "key": "ErrorMessage", "value": "NextHop Type None, NextHop IP " } ], "origin": "Outbound", "severity": "Error", "type": "UserDefinedRoute" }, { "context": [ { "key": "RuleName", "value": "DefaultRule_DenyAllOutBound" } ], "origin": "Outbound", "severity": "Error", "type": "NetworkSecurityRule" } ], "links": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "11111111-1111-1111-1111-111111111111", "resourceId": "" } ], "nextHopIds": [ "11111111-1111-1111-1111-111111111111" ], "previousHopIds": [], "previousLinks": [], "resourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/VM1", "type": "Source" }, { "address": "10.10.10.10", "id": "11111111-1111-1111-1111-111111111111", "issues": [], "links": [], "nextHopIds": [], "previousHopIds": [ "00000000-0000-0000-0000-000000000000" ], "previousLinks": [ { "context": {}, "issues": [], "linkType": "VirtualNetwork", "nextHopId": "00000000-0000-0000-0000-000000000000", "resourceId": "" } ], "type": "Destination" } ], "probesFailed": 30, "probesSent": 30 }
- Anslutningsstatusen kan inte nås (
10.10.10.10
kan inte nås via port 3389). - 30 avsökningar skickades och kunde inte nå
10.10.10.10
. - Ingen väg i routningstabellen för den virtuella källdatorn till
10.10.10.10
(utdata harRouteMissing
fel på den virtuella källdatorn). - Nästa hopptyp är Ingen eftersom det inte finns någon väg till
10.10.10.10
. - Utgående anslutning från den virtuella källdatorn nekas av säkerhetsregeln
DefaultRule_DenyAllOutBound
i nätverkssäkerhetsgruppenVM1-nsg
.
Lösning: Associera en routningstabell med en korrekt väg till undernätet för den virtuella källdatorn.
- Anslutningsstatusen kan inte nås (