Övning: Felsöka moln- och hybridanslutningar

  • 10 minuter

Viktigt!

Du behöver en egen Azure-prenumeration för att kunna utföra övningarna i den här modulen. Om du inte har en Azure-prenumeration kan du fortfarande visa demonstraitionsvideon längst ned på den här sidan.

Om du inte redan har kört skriptet i enhet 2 gör du det nu så att du kan följa övningen nedan.

Du har konfigurerat nätverket enligt diagrammet nedan. Du vill att VM1 och VM2 ska kommunicera via VnetHub. Användarna klagar på att VM1 inte kan kommunicera med VM2. Du måste undersöka för att diagnostisera problemet och sedan åtgärda det.

Det finns tre virtuella Azure-nätverk (VNet) i en nav- och ekertopologi.

Screenshot of spoke and hub topology.

Diagnos

Verifiera nätverkstopologin

  1. Logga in på Azure Portal med samma konto som du använde för att aktivera sandbox-miljön.

  2. Bekanta dig med nätverkstopologin och kontrollera att den matchar diagrammet ovan.

  3. Kontrollera de privata IP-adresserna för brandväggen (FW1) och virtuella datorer (VM1 och VM2). Dessa allokeras automatiskt. Anteckna rätt IP-adresser om de skiljer sig från diagrammet.

Kontrollera OSI-nivå 3-anslutning

  1. Anslut till varje virtuell dator (VM1 och VM2) med fjärrskrivbord. Windows-autentiseringsuppgifter är:

  2. Användarnamn: AdminXyz

  3. Lösenord: sfr9jttzrjjeoem7hrf#

  4. På VM1 öppnar du ett kommandotolkfönster och pingar den privata IP-adressen för VM2.

  5. Pinga den privata IP-adressen för Azure-brandväggen (FW1).

  6. På VM2 öppnar du ett kommandotolksfönster och pingar den privata IP-adressen för VM1.

  7. Pinga den privata IP-adressen för Azure-brandväggen (FW1).

    Screenshot showing the command prompt with the ping request results.

Felsöka problemet

  1. Prova följande felsökningssteg för att förstå vad som orsakar problemet:

  2. Granska ipconfig /all på både VM1 och VM2.

  3. Granska nätverkssäkerhetsgrupper och routningstabeller.

  4. Granska brandväggen och brandväggsreglerna.

  5. Granska peeringanslutningsegenskaperna.

    Diagrammet visar de effektiva vägarna på VM1-nic.

    Screenshot showing the effective routes.

Åtgärd

När du undersökte peering-anslutningarna skulle du ha upptäckt att peering-inställningarna är olika.

VNet Peeringnamn Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk
VnetHub Hub-Spoke1 Tillåt (standard)
VnetHub Hub-Spoke2 Blockera trafik som kommer från utanför det här virtuella nätverket
VnetSpoke1 Spoke1-Hub Tillåt (standard)
VnetSpoke2 Spoke2-Hub Blockera trafik som kommer från utanför det här virtuella nätverket

Screenshot showing peerings.

Inställningarna på Hub-Spoke2 är felaktiga.

Screenshot showing the incorrect spoke traffic forwarding setting.

För att åtgärda problemet måste du ändra inställningen på båda sidor av peering mellan VnetHub och VnetSpoke2.

  • Hub-Spoke2

  • Spoke2-Hub

Trafiken som vidarebefordras från det fjärranslutna virtuella nätverket måste vara inställd på Tillåt.

Det bör nu vara möjligt på VM1 att pinga VM2.

Screenshot showing the command prompt with the ping request working.

Det blir en kort fördröjning innan de nya inställningarna börjar gälla. Om pingen misslyckas först försöker du igen.

I den här demonstrationen får du se hur du proaktivt felsöker principer för villkorsstyrd åtkomst med hjälp av verktyget Vad händer om i Azure-portalen: