Felsöka anslutning till virtuella nätverk i Microsoft Azure

  • 7 minuter

Avgöra om trafik tillåts mellan peer-datorer

Med peering kan du ansluta två eller flera virtuella nätverk i Azure. Trafiken mellan de virtuella nätverken dirigeras via Microsofts staminfrastruktur, inte via en gateway eller via det offentliga Internet. Det finns två typer av peering i Azure:

  • Peering för virtuella nätverk – ansluta virtuella nätverk inom samma Azure-region.

  • Global peering för virtuella nätverk – ansluta virtuella nätverk i olika Azure-regioner.

Global peering för virtuella nätverk har följande begränsningar:

  • Resurser i ett virtuellt nätverk kan inte kommunicera med klientdelens IP-adress för en grundläggande intern lastbalanserare (ILB) i ett globalt peer-kopplat virtuellt nätverk.

  • Vissa tjänster som använder en grundläggande lastbalanserare fungerar inte över global peering för virtuella nätverk.

  • Du kan inte peer-koppla mellan moln.

  • De virtuella nätverk som du peer-kopplade måste ha icke-överlappande IP-adressutrymmen.

  • När två virtuella nätverk peerkopplas kan du inte lägga till eller ta bort adressintervall från ett virtuellt nätverks adressutrymme. Om du vill lägga till eller ta bort adressintervall tar du bort peering, lägger till eller tar bort adressintervallen och återskapar sedan peeringen.

  • Du kan inte peerkoppla två virtuella nätverk som skapats via den klassiska distributionsmodellen.

  • Den inbyggda namnmatchningen i Azure matchar inte namn i peer-kopplade virtuella nätverk. Om du vill matcha namn i andra virtuella nätverk måste du använda privata Azure-zoner eller en anpassad DNS-server.

  • Ett virtuellt nätverk kan peer-kopplas till ett annat virtuellt nätverk och även anslutas till det med en virtuell Azure-nätverksgateway. När virtuella nätverk är anslutna via både peering och en gateway flödar trafiken mellan de virtuella nätverken via peering-konfigurationen i stället för gatewayen.

  • Punkt-till-plats-VPN-klienter måste laddas ned igen när peering för virtuella nätverk har konfigurerats för att säkerställa att de nya vägarna laddas ned till klienten.

Om du vill felsöka anslutningen mellan peer-datorer gör du följande:

  1. Kontrollera status för peeringanslutningen:

    • Initierad anger att du inte har någon dubbelriktad länk. Till exempel måste två länkar skapas för peer-VNetA till VNetB, en från VNetA till VNetB och en annan från VNetB till VNetA. Om du skapar båda länkarna ändras tillståndet till Anslut ed.

    • Frånkopplad anger att en av länkarna har tagits bort. Om du vill återupprätta en peeringanslutning måste du ta bort och återskapa båda länkarna.

  2. Kontrollera att två virtuella nätverk inte har matchande eller överlappande adressintervall.

Felsöka problem med vpn-gatewayöverföring

Gatewayöverföring är en peering-egenskap som gör att ett virtuellt nätverk kan använda VPN-gatewayen i det peerkopplade virtuella nätverket för VNet-till-VNet-anslutning. I följande diagram kan du se hur gatewayöverföring fungerar med peering för virtuella nätverk:

Diagram of gateway transit with virtual network peering.

Följande begränsningar gäller när virtuella nätverk peerkopplas globalt:

  • Resurser i ett virtuellt nätverk kan inte kommunicera med klientdelens IP-adress för en grundläggande ILB i ett globalt peer-kopplat virtuellt nätverk.

  • Vissa tjänster som använder en grundläggande lastbalanserare fungerar inte över global peering för virtuella nätverk. Mer information finns i Vilka begränsningar gäller global VNet-peering och lastbalanserare?

Om du vill felsöka problem med VPN Gateway-överföring kan du prova följande:

  • Om det virtuella ekernätverket redan har en VPN-gateway stöds inte alternativet Använd fjärrgateway i det virtuella ekernätverket på grund av en peering-begränsning.

  • För ett nätverksanslutningsproblem med hub-spoke mellan virtuella ekernätverk i samma region måste hubbnätverket innehålla en NVA. Konfigurera UDR i ekrar som har en NVA inställd som nästa hopp och aktivera Tillåt vidarebefordrad trafik i det virtuella hubbnätverket.

Felsöka transitivitet mellan peer-datorer

Transitiv peering är när du:

  • Peer-VNetA till VNetB.

  • Peer-VNetB till VNetC.

  • Som standard peerkopplas inte VNetA med VNetC.

För att uppnå peering mellan VNetA och VNetC måste du peer-koppla ihop dem. Du kan också använda en hub-and-spoke-konfiguration och gå igenom en NVA i hubben.

Screenshot showing all v nets peered to each other.

Felsöka VNet-konfigurationer för hubb och eker

Med en hub-and-spoke-konfiguration fungerar det virtuella hubbnätverket som en central anslutningspunkt till många virtuella ekernätverk. Hubben kan också användas som anslutningspunkt till dina lokala nätverk. Peer för virtuella ekernätverk med hubben och kan användas för att isolera arbetsbelastningar.

Screenshot showing Hub-and-spoke configuration.

Så här felsöker du anslutningen mellan ett virtuellt nav-ekernätverk och en lokal resurs.

Om nätverket använder en nva från tredje part kontrollerar du följande:

  • Programuppdateringar.

  • Konfiguration och funktioner för tjänstkonto.

  • Användardefinierade vägar (UDR) på virtuella nätverksundernät som dirigerar trafik till NVA.

  • UDR:er på virtuella nätverksundernät som dirigerar trafik från NVA.

  • Routningstabeller och regler i NVA (till exempel från NIC1 till NIC2).

  • Spårning på NVA-nätverkskort för att verifiera mottagande och sändning av nätverkstrafik.

  • När du använder en standard-SKU och offentliga IP-adresser måste en NSG skapas och en explicit regel för att trafiken ska kunna dirigeras till NVA.

  • Minsta konfiguration för NVA:er i Azure.

Om nätverket använder en VPN-gateway kontrollerar du följande:

  • Gatewayen måste finnas i det virtuella nätverket i Resource Manager-modellen.

Om nätverket inte använder en NVA eller VPN-gateway från tredje part, har det virtuella hubbnätverket och det virtuella ekernätverket en VPN-gateway? Om det virtuella ekernätverket redan har en VPN-gateway stöds inte alternativet Använd fjärrgateway i det virtuella ekernätverket. Detta beror på en begränsning av peering för virtuella nätverk.

För plats-till-plats- eller Azure ExpressRoute-anslutningar kontrollerar du följande orsaker till anslutningsproblem till det fjärranslutna virtuella nätverket lokalt:

  • Om det virtuella nätverket har en gateway kontrollerar du att kryssrutan Tillåt vidarebefordrad trafik är markerad.

  • Om det virtuella nätverket inte har någon gateway kontrollerar du att kryssrutan Använd fjärrgateway är markerad.

  • Be nätverksadministratören att kontrollera dina lokala enheter för att kontrollera att alla har det fjärranslutna virtuella nätverkets adressutrymme tillagt.

För punkt-till-plats-anslutningar:

  • I det virtuella nätverk som har en gateway kontrollerar du att kryssrutan Tillåt vidarebefordrad trafik är markerad.

  • I det virtuella nätverk som inte har någon gateway kontrollerar du att kryssrutan Använd fjärrgateway är markerad.

  • Ladda ned och installera om punkt-till-plats-klientpaketet. Virtuella nätverksvägar som är nyligen peerkopplade lägger inte automatiskt till vägar till punkt-till-plats-klienter.

Felsöka global peering-anslutning

Så här felsöker du ett anslutningsproblem mellan peerkopplade virtuella nätverk:

  1. Logga in på Azure-portalen med ett konto som har nödvändiga roller och behörigheter.

  2. Välj det virtuella nätverket, välj Peering och välj sedan fältet Status .

  3. Om statusen är Frånkopplad tar du bort peering från båda de virtuella nätverken och återskapar dem.

  4. Om statusen är Anslut kontrollerar du nätverkstrafikflödena.

Använd Anslut ionsfelsök och verifiera IP-flödet från den virtuella källdatorn till den virtuella måldatorn för att avgöra om det finns en NSG eller UDR som orsakar störningar i trafikflöden.

Om du använder en brandvägg eller NVA:

  1. Dokumentera UDR-parametrarna så att du kan återställa dem när det här steget har slutförts.

  2. Ta bort UDR från den virtuella källdatorns undernät eller nätverkskort som pekar på NVA som nästa hopp. Kontrollera anslutningen från den virtuella källdatorn direkt till målet som kringgår NVA.

  3. Ta en nätverksspårning:

  • Starta en nätverksspårning på den virtuella måldatorn. För Windows kan du använda Netsh. För Linux använder du TCPDump. – Kör TcpPing eller PsPing från källan till mål-IP-adressen. Det här är ett exempel på ett TcpPing-kommando :
tcping64.exe -t <destination VM address> 3389

När TcpPing har slutförts stoppar du nätverksspårningen på målet. Om paket anländer från källan finns det inget nätverksproblem. Granska både den virtuella datorns brandvägg och programmet som lyssnar på den porten för att hitta konfigurationsproblemet.

Kommentar

Du kan inte ansluta till följande resurstyper via global peering för virtuella nätverk (virtuella nätverk i olika regioner):

  • Virtuella datorer bakom Basic ILB SKU

  • Redis-cache (använder Basic ILB SKU)

  • Application Gateway (använder Basic ILB SKU)

  • Skalningsuppsättningar (använder Basic ILB SKU)

  • Service Fabric-kluster (använder Basic ILB SKU)

  • SQL Server AlwaysOn (använder Basic ILB SKU)

  • App Service-miljön (använder Basic ILB SKU)

  • API Management (använder Basic ILB SKU)

  • Microsoft Entra Domain Services (använder Basic ILB SKU)

Mer information finns i kraven och begränsningarna för global peering.

Felsöka VNet-till-VNet-anslutningar

Gör följande:

  • Kontrollera att gatewayerna har konfigurerats med dynamisk routning och inte statisk routning. Statisk routning stöds inte.

  • Kontrollera antalet VPN-anslutningar. För grundläggande och standardmässiga dynamiska routningsgatewayer är det maximala antalet VPN-anslutningar och virtuella nätverk som ett visst VNet kan ansluta till för närvarande 10. Det är 30 för gatewayer med höga prestanda.

  • Kontrollera adressprefixen på båda de virtuella nätverken för att säkerställa att det inte finns någon överlappning av adressutrymmen mellan de två virtuella nätverken.

Felsöka tjänstlänkning

Tjänstlänkning är möjligheten att skicka trafik från ett virtuellt nätverk till en NVA i ett peer-kopplat nätverk via användardefinierade vägar. I peerkopplade virtuella nätverk konfigurerar du användardefinierade vägar som pekar på virtuella datorer som nästa hopp-IP-adress. Du måste konfigurera en routningstabell och associera den med ett undernät. Stegvisa instruktioner för att dirigera nätverkstrafik finns i Självstudie: Dirigera nätverkstrafik med en routningstabell med hjälp av Azure-portalen.

Med PowerShell kan du testa routningen av nätverkstrafik med hjälp av tracert:

tracert myvmprivate

Detta visar spårningsvägen och du ser om trafiken tar den väg du förväntade dig. Tracert har ett svar som liknar:

Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4] over a maximum of 30 hops:

1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]

2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]

Trace complete.