Övning: Felsöka moln- och hybridanslutningar
Viktigt!
Du behöver en egen Azure-prenumeration för att kunna utföra övningarna i den här modulen. Om du inte har en Azure-prenumeration kan du fortfarande visa demonstraitionsvideon längst ned på den här sidan.
Om du inte redan har kört skriptet i enhet 2 gör du det nu så att du kan följa övningen nedan.
Du har konfigurerat nätverket enligt diagrammet nedan. Du vill att VM1 och VM2 ska kommunicera via VnetHub. Användarna klagar på att VM1 inte kan kommunicera med VM2. Du måste undersöka för att diagnostisera problemet och sedan åtgärda det.
Det finns tre virtuella Azure-nätverk (VNet) i en nav- och ekertopologi.
Diagnos
Verifiera nätverkstopologin
Logga in på Azure Portal med samma konto som du använde för att aktivera sandbox-miljön.
Bekanta dig med nätverkstopologin och kontrollera att den matchar diagrammet ovan.
Kontrollera de privata IP-adresserna för brandväggen (FW1) och virtuella datorer (VM1 och VM2). Dessa allokeras automatiskt. Anteckna rätt IP-adresser om de skiljer sig från diagrammet.
Kontrollera OSI-nivå 3-anslutning
Anslut till varje virtuell dator (VM1 och VM2) med fjärrskrivbord. Windows-autentiseringsuppgifter är:
Användarnamn: AdminXyz
Lösenord: sfr9jttzrjjeoem7hrf#
På VM1 öppnar du ett kommandotolkfönster och pingar den privata IP-adressen för VM2.
Pinga den privata IP-adressen för Azure-brandväggen (FW1).
På VM2 öppnar du ett kommandotolksfönster och pingar den privata IP-adressen för VM1.
Pinga den privata IP-adressen för Azure-brandväggen (FW1).
Felsöka problemet
Prova följande felsökningssteg för att förstå vad som orsakar problemet:
Granska ipconfig /all på både VM1 och VM2.
Granska nätverkssäkerhetsgrupper och routningstabeller.
Granska brandväggen och brandväggsreglerna.
Granska peeringanslutningsegenskaperna.
Diagrammet visar de effektiva vägarna på VM1-nic.
Åtgärd
När du undersökte peering-anslutningarna skulle du ha upptäckt att peering-inställningarna är olika.
VNet | Peeringnamn | Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk |
---|---|---|
VnetHub | Hub-Spoke1 | Tillåt (standard) |
VnetHub | Hub-Spoke2 | Blockera trafik som kommer från utanför det här virtuella nätverket |
VnetSpoke1 | Spoke1-Hub | Tillåt (standard) |
VnetSpoke2 | Spoke2-Hub | Blockera trafik som kommer från utanför det här virtuella nätverket |
Inställningarna på Hub-Spoke2 är felaktiga.
För att åtgärda problemet måste du ändra inställningen på båda sidor av peering mellan VnetHub och VnetSpoke2.
Hub-Spoke2
Spoke2-Hub
Trafiken som vidarebefordras från det fjärranslutna virtuella nätverket måste vara inställd på Tillåt.
Det bör nu vara möjligt på VM1 att pinga VM2.
Det blir en kort fördröjning innan de nya inställningarna börjar gälla. Om pingen misslyckas först försöker du igen.
I den här demonstrationen får du se hur du proaktivt felsöker principer för villkorsstyrd åtkomst med hjälp av verktyget Vad händer om i Azure-portalen: