分享方式:


教學課程:使用 Azure 入口網站診斷虛擬機器網路路由問題

在本教學課程中,您會使用 Azure 網路監看員下一個躍點工具來疑難排解和診斷導致 VM 無法與其他資源正確通訊的 VM 路由問題。 下一個躍點會顯示自訂路由導致路由問題。

圖表顯示教學課程中建立的資源。

在本教學課程中,您會了解如何:

  • 建立虛擬網路
  • 建立兩部虛擬機器
  • 使用 Azure 網路監看員的下一個躍點功能測試不同 IP 的通訊
  • 檢視有效路由
  • 建立自訂路由
  • 診斷路由傳送問題

如果您想要的話,可以使用 Azure CLIAzure PowerShell 版本的教學課程來診斷虛擬機器網路路由問題。

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。

建立虛擬網路

在本節中,您會建立虛擬網路。

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入「虛擬網路」。 從搜尋結果中選取 [虛擬網路]

    在 Azure 入口網站中搜尋虛擬網路的螢幕擷取畫面。

  3. 選取 + 建立

  4. 在 [建立虛擬網络] 的 [基本] 索引標籤上輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建]
    在 [名稱] 中輸入 myResourceGroup
    選取 [確定]。
    [執行個體詳細資料]
    虛擬網路名稱 輸入 [myVNet]
    區域 選取 [(美國) 美國東部]
  5. 選取 [IP 位址] 索引標籤,或選取頁面底部的 [下一步] 按鈕兩次。

  6. 在 [IP 位址] 索引標籤輸入下列值:

    設定
    IPv4 位址空間 10.0.0.0/16
    子網路名稱 mySubnet
    子網路 IP 位址範圍 10.0.0.0 - 10.0.0.255 (大小:/24)
  7. 選取 [檢閱 + 建立] 索引標籤,或是選取頁面底部的 [檢閱 + 建立] 按鈕。

  8. 檢閱設定,然後選取 [建立]

建立虛擬機器

在本節中,您會建立兩部虛擬機:

  • myVM:測試通訊的來源。
  • myNVA:用來作為網路虛擬設備。

建立第一部虛擬機器

  1. 在入口網站頂端的搜尋方塊中,輸入「虛擬機器」。 在搜尋結果中,選取 [虛擬機器]

  2. 選取 [+建立],然後選取 [Azure 虛擬機器]

  3. 在 [建立虛擬機] 的 [基本] 索引標籤上輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    [執行個體詳細資料]
    虛擬機器名稱 輸入 myVM
    區域 選取 [(美國) 美國東部]
    可用性選項 選取 [不需要基礎結構備援]
    安全性類型 選取 [標準]。
    映像 選取 [Windows Server 2022 Datacenter:Azure Edition - x64 Gen2]
    大小 選擇大小或保留預設設定。
    系統管理員帳戶
    使用者名稱 輸入使用者名稱。
    密碼 輸入密碼。
    確認密碼 重新輸入密碼。
  4. 選取 [網路] 索引標籤,或選取 [下一步: 磁碟],然後選取 [下一步: 網路]

  5. 在 [網络] 索引標籤上,輸入或選取下列值:

    設定
    網路介面
    虛擬網路 選取 [myVNet]
    子網路 選取 [mySubnet]
    公用 IP 選取 [(新) myVM-ip]
    NIC 網路安全性群組 選取 [基本]
    公用輸入連接埠 選取 [允許選取的連接埠]
    選取輸入連接埠 選取 [RDP (3389)]

    警告

    建議只在測試時將 RDP 連接埠設為向網際網路開放。 針對實際執行環境,建議將 RDP 連接埠的存取限制為特定的 IP 位址或 IP 位址範圍。 您也可以封鎖對 RDP 連接埠的網際網路存取,並使用 Azure Bastion 從 Azure 入口網站安全連線至虛擬機器。

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [建立]

  8. 部署完成後,請選取 [移至資源] 以移至 myVM 的 [概觀] 頁面。

  9. 選取 [Connect],然後選取在 [原生 RDP] 底下的 [select]

  10. 選取 [下載 RDP 檔案],然後開啟下載的檔案。

  11. 選取 [連線],然後輸入您在先前步驟中建立的使用者名稱和密碼。 如果出現提示,請接受憑證。

  12. 登入之後,請開啟網頁瀏覽器,並移至 www.bing.com 以確認其可觸達。

    顯示網頁瀏覽器中 Bing 頁面的螢幕快照。

建立第二部虛擬機器

請遵循先前的步驟 (1-6),並使用 myNVA 作為虛擬機器名稱來建立第二部虛擬機器。

使用網路監看員下一個躍點測試網路通訊

使用網路監看員的下一個躍點功能,判斷 Azure 使用哪一個路由,從 myVM 路由傳送流量,其具有一個網路介面與一個 IP 設定

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [網路診斷工具] 底下,選取 [下一個躍點]。 輸入或選取下列值:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    虛擬機器 選取 [myVM]
    網路介面 保留預設值。
    來源 IP 位址 輸入 10.0.0.4 或 VM 的 IP,如果不同的話。
    目的地 IP 位址 輸入 13.107.21.200 以測試與 www.bing.com 的通訊。
  3. 選取 [下一個躍點] 按鈕開始測試。 測試結果會顯示下一個躍點的相關資訊,例如下一個躍點類型、其 IP 位址,以及用來路由流量的路由表識別碼。 測試 13.107.21.200 的結果顯示下一個躍點類型是網際網路,路由表識別碼是系統路由,這表示從 myVM 傳送至 www.bing.com 的流量將使用 Azure 預設系統路由路由到網際網路。

    顯示如何使用 Azure 網路監看員 下一個躍點功能測試與 www.bing.com 通訊的螢幕快照。

  4. 目的地 IP 位址變更為 10.0.0.5,這是 myNVA 虛擬機器 IP 位址,然後選取 [下一個躍點] 按鈕。 結果顯示下一躍點類型為 VirtualNetwork,路由表識別碼為系統路由,這表示從 myVM 發送至 10.0.0.5 的流量將使用 Azure 預設系統路由在 myVNet 虛擬網路內進行路由。

    顯示 網路監看員 相同虛擬網路內IP測試時 網路監看員 下一個躍點結果的螢幕快照。

  5. 接下來,將目的地 IP 位址變更為 10.1.0.5,這是不在 myVNet 虛擬網路位址空間中的私人 IP 位址,然後選取 [下一個躍點] 按鈕。 結果顯示下一個躍點類型是 None,這表示從 myVM 卸除 10.1.0.5 的流量。

    此螢幕快照顯示 網路監看員 虛擬網路位址空間外的私人IP進行測試時,下一個躍點結果。

檢視路由的詳細資料

若要進一步分析路由,請檢閱 myVM 網路介面的有效路由。

  1. 在入口網站頂端的搜尋方塊中,輸入「虛擬機器」。 在搜尋結果中,選取 [虛擬機器]

  2. 在 [設定] 下,選取 [網路],然後選取網络介面。

    顯示如何從 Azure 入口網站 虛擬機設定中選取網路介面頁面的螢幕快照。

  3. 在 [說明] 下,選取 [有效路由],以查看與 myVM 網路介面相關聯的所有路由。

    此螢幕快照顯示與虛擬機網路介面相關聯的 Azure 預設系統路由。

    在上一節中,當您使用 13.107.21.200 執行測試時,會使用具有 0.0.0.0.0/0 位址前置詞的路由將流量路由傳送至位址,因為沒有其他路由具有位址。 根據預設,如果位址並未指定在另一個路由的位址前置詞中,則會路由至網際網路。

    當您使用 10.0.0.5 執行測試時,會使用 10.0.0.0/16 位址前置詞來路由傳送流量。

    不過,當您使用 10.1.0.5 執行測試時,下一個躍點類型的結果是 None,因為此 IP 位址位於 10.0.0.0/8 位址空間中。 10.0.0.0/8 位址前置詞的 Azure 預設路由,下一個希望類型為 None。 如果您將包含 10.1.0.5 的位址前置詞新增至虛擬網路位址空間,則 10.1.0.5 的下一個躍點類型會從 None 變更為 VirtualNetwork

因自訂路由而測試路由問題

接下來,建立靜態自訂路由來覆寫 Azure 預設系統路由,並導致 myVM 虛擬機器出現路由問題,從而阻止其直接與 www.bing.com 通訊。 然後,您將使用網路監看員下一個躍點來疑難排解並診斷問題。

建立自訂路由

在本節中,您會在路由表中建立靜態自訂路由 (使用者定義路由),以強制虛擬網路外部的所有流量傳送至特定 IP 位址。 強制流量流向虛擬網路設備是常見的案例。

  1. 在入口網站頂端的搜尋方塊中,輸入路由表。 從搜尋結果中選取 [路由表 ]。

  2. 選取 [+ 建立] 以建立新的路由表。 在 [ 建立路由表 ] 頁面上,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    執行個體詳細資料
    區域 選取 [美國東部]
    名稱 輸入 myRouteTable
    散佈閘道路由 保留預設值。
  3. 選取 [檢閱 + 建立]。

  4. 檢閱設定,然後選取 [建立]

  5. 部署完成後,請選取 [移至資源] 以移至 myRouteTable 的 [概觀] 頁面。

  6. 在 [設定] 底下,選取 [路由],然後選取 [+ 新增],以新增自訂路由。

  7. 在 [新增路由] 頁面上,輸入或選取下列值。

    設定
    路由名稱 輸入 MyRoute
    位址首碼目的地 選取 [IP 位址]
    目的地 IP 位址/CIDR 範圍 輸入 0.0.0.0/0
    下一個躍點類型 選取 [虛擬設備]
    下一個躍點位址 輸入 10.0.0.5
  8. 選取 [新增]。

將路由表與子網路產生關聯

在本節中,您會將您在上一節中建立的路由表與 mySubnet 子網路建立關聯。

  1. 在 [設定] 下,選取 [子網路],然後選取 [+ 關聯],將 myRouteTablemySubnet 子網路產生關聯。

  2. 在 [關聯子網路] 頁面中,選取下列值:

    設定
    虛擬網路 選取 myVNet (myResourcegroup)
    子網路 選取 [mySubnet]
  3. 選取 [確定]。

請前往 www.bing.com

myVM 中,開啟網頁瀏覽器並移至 www.bing.com,確認它是否仍可觸達。 您建立並與 myVM 子網路相關聯的自訂路由會強制流量移至 myNVA。 由於未將 myNVA 設定為轉送流量 (出於本教學課程示範路由問題的目的),因此流量被丟棄。

顯示網頁瀏覽器中無法連線到 Bing 頁面的螢幕快照。

使用下一個躍點測試網路通訊

使用 13.107.21.200 重複使用網路監看員測試網路通訊下一個躍點部分所使用的步驟,以測試與 www.bing.com 的通訊。

顯示虛擬設備作為套用自定義路由之後下一個躍點的螢幕快照。

檢視有效的路由

使用導致觸達 www.bing.com 時出現問題的自訂路由後,重複您在查看路由詳細資訊中使用的步驟來檢查有效路由。

前置詞為 0.0.0.0/0 的自訂路由已覆寫 Azure 預設路由,並導致所有目的地在 myVNet 外部的流量虛擬機器移至 10.0.0.5。

使用自定義路由覆寫 Azure 預設系統路由之後的有效路由螢幕快照。

注意

在本教學課程中,因為未設定 myNVA 來轉送流量,因此已卸除 www.bing.com 的流量。 若要瞭解如何設定虛擬機器來轉送流量,請參閱開啟 IP 轉送

清除資源

不再需要資源群組時,請刪除 myResourceGroup 及其包含的所有資源:

  1. 在入口網站頂端的搜尋方塊中,輸入 myResourceGroup。 從搜尋結果中選取 [myResourceGroup]

  2. 選取 [刪除資源群組]

  3. 在 [刪除資源群組] 中,輸入 myResourceGroup,然後選取 [刪除]

  4. 選取 [刪除] 以確認刪除資源群組及其所有資源。

後續步驟

若要瞭解如何監視兩部虛擬機器之間的通訊,請繼續進行下一個教學課程: