Översikt över felsökning av anslutningar
Med ökningen av avancerade och högpresterande arbetsbelastningar i Azure finns det ett kritiskt behov av ökad synlighet och kontroll över drifttillståndet för komplexa nätverk som kör dessa arbetsbelastningar. Sådana komplexa nätverk implementeras med hjälp av nätverkssäkerhetsgrupper, brandväggar, användardefinierade vägar och resurser som tillhandahålls av Azure. Komplexa konfigurationer gör det svårt att felsöka anslutningsproblem.
Funktionen för anslutningsfelsökning i Azure Network Watcher hjälper till att minska tiden för att diagnostisera och felsöka problem med nätverksanslutningar. De resultat som returneras kan ge värdefulla insikter i om ett anslutningsproblem beror på en plattform eller en potentiell användarkonfiguration.
Felsökning av anslutning minskar MTTR (Mean Time To Resolution) genom att tillhandahålla en omfattande metod för att utföra alla större anslutningskontroller för att identifiera problem som rör nätverkssäkerhetsgrupper, användardefinierade vägar och blockerade portar. Det ger följande resultat med användbara insikter där en steg-för-steg-guide eller motsvarande dokumentation tillhandahålls för snabbare lösning:
- Anslutningstest med olika måltyper (VM, URI, FQDN eller IP-adress)
- Konfigurationsproblem som påverkar nåbarheten
- Alla möjliga hopp efter hoppsökvägar från källan till målet
- Hopp efter hoppfördröjning
- Svarstid (minimum, maximum och genomsnitt mellan källa och mål)
- Grafisk topologivy från källa till mål
- Antalet avsökningar misslyckades under felsökningskontrollen av anslutningen
Käll- och måltyper som stöds
Felsökning av anslutning ger möjlighet att kontrollera TCP- eller ICMP-anslutningar från någon av dessa Azure-resurser:
- Virtuella datorer
- Skalningsuppsättningar för virtuella datorer
- Azure Bastion-instanser
- Programgatewayer (utom v1)
Viktigt!
Anslutningsfelsökning kräver att den virtuella dator som du felsöker från har VM-tillägget Network Watcher-agent installerat. Tillägget krävs inte på den virtuella måldatorn.
- Information om hur du installerar tillägget på en virtuell Windows-dator finns i Network Watcher-agentens VM-tillägg för Windows.
- Information om hur du installerar tillägget på en virtuell Linux-dator finns i Vm-tillägget för Network Watcher-agenten för Linux.
- Information om hur du uppdaterar ett redan installerat tillägg finns i Uppdatera VM-tillägget för Network Watcher-agenten till den senaste versionen.
Felsökning av anslutningar kan testa anslutningar till något av följande mål:
- Virtuella datorer
- Fullständigt kvalificerade domännamn (FQDN)
- URI:er (Uniform Resource Identifiers)
- IP-adresser
Problem som identifierats av anslutningsfelsökning
Felsökning av anslutning kan identifiera följande typer av problem som kan påverka anslutningen:
- Hög CPU-användning för virtuella datorer
- Hög minnesanvändning för virtuella datorer
- Brandväggsregler för virtuella datorer (gäst) som blockerar trafik
- DNS-matchningsfel
- Felkonfigurerade eller saknade vägar
- NSG-regler (Network Security Group) som blockerar trafik
- Det går inte att öppna en socket på den angivna källporten
- Protokollposter för adressmatchning saknas för Azure ExpressRoute-kretsar
- Servrar som inte lyssnar på angivna målportar
Response
I följande tabell visas de egenskaper som returneras efter att anslutningsfelsökts.
| Property | beskrivning |
|---|---|
| ConnectionStatus | Status för anslutningskontrollen. Möjliga resultat kan nås och kan inte nås. |
| AvgLatencyInMs | Genomsnittlig svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås). |
| MinLatencyInMs | Minsta svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås). |
| MaxLatencyInMs | Maximal svarstid under anslutningskontrollen, i millisekunder. (Visas endast om kontrollstatusen kan nås). |
| ProbesSent | Antal avsökningar som skickats under kontrollen. Maximalt värde är 100. |
| ProbesFailed | Antal avsökningar som misslyckades under kontrollen. Maximalt värde är 100. |
| Hopp | Hoppa efter hoppsökväg från källa till mål. |
| Hopp[]. Typ | Typ av resurs. Möjliga värden är: Källa, VirtualAppliance, VnetLocal och Internet. |
| Hopp[]. Id | Unikt id för hopp. |
| Hopp[]. Adress | IP-adressen för hoppet. |
| Hopp[]. ResourceId | Resurs-ID för hopp om hoppet är en Azure-resurs. Om det är en Internetresurs är ResourceID Internet. |
| Hopp[]. NextHopIds | Den unika identifieraren för nästa hopp som tas. |
| Hopp[]. Frågor | En samling problem som påträffades under kontrollen av hoppet. Om det inte finns några problem är värdet tomt. |
| Hopp[]. Problem[]. Ursprung | Vid det aktuella hoppet, där problemet uppstod. Möjliga värden är: Inkommande – Problemet finns på länken från föregående hopp till det aktuella hoppet. Utgående – Problemet finns på länken från det aktuella hoppet till nästa hopp. Lokal – Problemet gäller det aktuella hoppet. |
| Hopp[]. Problem[]. Stränghet | Allvarlighetsgraden för det identifierade problemet. Möjliga värden är: Fel och varning. |
| Hopp[]. Problem[]. Typ | Typen av det identifierade problemet. Möjliga värden är: PROCESSOR Minne Gästbrandvägg DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hopp[]. Problem[]. Sammanhang | Information om det identifierade problemet. |
| Hopp[]. Problem[]. Kontext[].key | Nyckel för nyckelvärdeparet som returneras. |
| Hopp[]. Problem[]. Context[].value | Värdet för nyckelvärdeparet som returnerades. |
| NextHopAnalysis.NextHopType | Typ av nästa hopp. Möjliga värden är: HyperNetGateway Internet None VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | IP-adressen för nästa hopp. |
| Resursidentifieraren för routningstabellen som är associerad med den väg som returneras. Om den returnerade vägen inte motsvarar några användarskapade vägar blir det här fältet strängen System Route. | |
| SourceSecurityRuleAnalysis.Results[]. Profil | Diagnostikprofil för nätverkskonfiguration. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Source | Trafikkälla. Möjliga värden är: *, IP-adress/CIDR och tjänsttagg. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Destination | Trafikmål. Möjliga värden är: *, IP-adress/CIDR och tjänsttagg. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Trafikmålport. Möjliga värden är: * och en enda port i intervallet (0–65535). |
| SourceSecurityRuleAnalysis.Results[]. Profile.Protocol | Protokoll som ska verifieras. Möjliga värden är: *, TCP och UDP. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Direction | Trafikens riktning. Möjliga värden är: Utgående och Inkommande. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Resultat av nätverkssäkerhetsgrupp. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Lista över diagnostik för nätverkssäkerhetsgrupper för resultat. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | Nätverkstrafiken tillåts eller nekas. Möjliga värden är: Tillåt och Neka. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo | Resurs-ID för nätverkskortet eller undernätet som nätverkssäkerhetsgruppen tillämpas på. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule | Matchad nätverkssäkerhetsregel. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action | Nätverkstrafiken tillåts eller nekas. Möjliga värden är: Tillåt och Neka. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName | Namnet på den matchade nätverkssäkerhetsregeln. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | Nätverkssäkerhetsgrupp-ID. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Lista över utvärderingsresultat för nätverkssäkerhetsregler. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched | Värdet anger om målet matchas. Booleska värden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Värdet anger om målporten matchas. Booleska värden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Namn | Namnet på nätverkssäkerhetsregeln. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched | Värdet anger om protokollet matchas. Booleska värden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Värdet anger om källan matchas. Booleska värden. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Värdet anger om källporten matchas. Booleska värden. |
| DestinationSecurityRuleAnalysis | Samma som SourceSecurityRuleAnalysis-format. |
| SourcePortStatus | Avgör om porten vid källan kan nås eller inte. Möjliga värden är: Okänd Nåbar Instabil NoConnection Tidsgräns |
| DestinationPortStatus | Avgör om porten på målet kan nås eller inte. Möjliga värden är: Okänd Nåbar Instabil NoConnection Tidsgräns |
I följande exempel visas ett problem som hittas på ett hopp.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Feltyper
Felsöka anslutning returnerar feltyper om anslutningen. Följande tabell innehåller en lista över möjliga returnerade feltyper.
| Typ | Beskrivning |
|---|---|
| Processor | Hög processoranvändning. |
| Minne | Hög minnesanvändning. |
| Gästbrandvägg | Trafiken blockeras på grund av en brandväggskonfiguration för virtuella datorer. En TCP-ping är ett unikt användningsfall där brandväggen, om det inte finns någon tillåten regel, svarar på klientens TCP-pingbegäran trots att TCP-pingen inte når mål-IP-adressen/FQDN. Den här händelsen loggas inte. Om det finns en nätverksregel som tillåter åtkomst till mål-IP-adressen/FQDN når ping-begäran målservern och svaret vidarebefordras tillbaka till klienten. Den här händelsen loggas i nätverksregelloggen. |
| DNSResolution | DNS-matchningen misslyckades för måladressen. |
| NetworkSecurityRule | Trafiken blockeras av en regel för nätverkssäkerhetsgrupp (säkerhetsregel returneras). |
| UserDefinedRoute | Trafiken tas bort på grund av en användardefinierad väg eller en systemväg. |
Gå vidare
Om du vill veta hur du använder felsökning av anslutningar för att testa och felsöka anslutningar fortsätter du till: