教學課程:使用Azure 入口網站診斷虛擬機器網路路由問題

  • 發行項

在本教學課程中,您會使用 Azure 網路監看員 下一個躍點 工具來疑難排解和診斷 VM 路由問題,以防止它與其他資源正確通訊。 下一個 躍點會顯示自訂路由 造成路由問題。

Diagram shows the resources created in the tutorial.

在本教學課程中,您會了解如何:

  • 建立虛擬網路
  • 建立兩部虛擬機器
  • 使用 Azure 網路監看員的下一個躍點功能測試不同 IP 的通訊
  • 檢視有效路由
  • 建立自訂路由
  • 診斷路由傳送問題

如果您想要的話,您可以使用 Azure CLI Azure PowerShell 版本的教學課程來診斷虛擬機器網路路由問題 。

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。

建立虛擬網路

在本節中,您會建立虛擬網路。

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 虛擬網路 。 從搜尋結果中選取 [虛擬網路 ]。

    Screenshot shows searching for virtual networks in the Azure portal.

  3. 選取 + 建立。 在 [建立虛擬網路] 中,在 [基本] 索引 標籤中 輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建]
    在 [名稱] 中 輸入 myResourceGroup
    選取 [ 確定 ]。
    [執行個體詳細資料]
    虛擬網路名稱 輸入 myVNet
    區域 選取 [ 美國 東部]。

  4. 選取 [ IP 位址] 索引標籤,或選取 頁面底部的 [下一步 ] 按鈕兩次。

  5. 在 [IP 位址] 索引 標籤中 輸入下列值:

    設定
    IPv4 位址空間 10.0.0.0/16
    子網路名稱 mySubnet
    子網 IP 位址範圍 10.0.0.0 - 10.0.0.255 (大小: /24

  6. 選取 [ 檢閱 + 建立] 索引標籤,或選取頁面底部的 [ 檢閱 + 建立] 按鈕。

  7. 檢閱設定,然後選取 [ 建立 ]。

建立虛擬機器

在本節中,您會建立兩部虛擬機器: myVM myNVA 。 您可以使用 myVM 虛擬機器來測試通訊的來源。 myNVA 虛擬機器會在案例中當做網路虛擬裝置使用。

建立第一部虛擬機器

  1. 在入口網站頂端的搜尋方塊中,輸入 虛擬機器 。 在搜尋結果中選取 [虛擬機器 ]。

  2. 選取 [+ 建立 ],然後選取 [Azure 虛擬機器 ]。

  3. [建立虛擬機器 ] 中,于 [基本] 索引 標籤中 輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    [執行個體詳細資料]
    虛擬機器名稱 輸入 myVM
    區域 選取 [(美國) 美國東部]
    可用性選項 選取 [不需要基礎結構備援]
    安全性類型 選取 [標準]。
    映像 選取 [Windows Server 2022 Datacenter:Azure Edition - x64 Gen2 ]。
    大小 選擇大小或保留預設設定。
    系統管理員帳戶
    使用者名稱 輸入使用者名稱。
    密碼 輸入密碼。
    確認密碼 重新輸入密碼。

  4. 選取 [ 網路] 索引 標籤,或選取 [下一步:磁片 ],然後 選取 [下一步:網路]。

  5. 在 [網路] 索引標籤中,輸入或選取下列值:

    設定
    網路介面
    虛擬網路 選取 myVNet
    子網路 選取 mySubnet
    公用 IP 選取 [新增] myVM-ip
    NIC 網路安全性群組 選取 [基本]
    公用輸入連接埠 選取 [允許選取的連接埠]
    選取輸入連接埠 選取 [RDP][3389]。

    警告

    建議只對網際網路開啟 RDP 埠進行測試。 針對生產環境,建議將 RDP 埠的存取限制為特定的 IP 位址或 IP 位址範圍。 您也可以封鎖對 RDP 埠的網際網路存取,並使用 Azure Bastion 安全地從Azure 入口網站連線到虛擬機器。

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [ 建立 ]。

  8. 部署完成後,請選取 [移至資源 ] 以移至 myVM [概觀 ] 頁面。

  9. 選取 [連線 ],然後選取 [原生 RDP ] 底下的 [選取 ]。

  10. 選取 [ 下載 RDP 檔案 ],然後開啟下載的檔案。

  11. 選取 [連線 ],然後輸入您在先前步驟中建立的使用者名稱和密碼。 如果出現提示,請接受憑證。

  12. 登入之後,開啟網頁瀏覽器,然後移至 確認 www.bing.com 其可連線。

    Screenshot showing Bing page in a web browser.

建立第二部虛擬機器

請遵循先前的步驟 (1-6),並使用 myNVA 做為虛擬機器名稱來建立第二部虛擬機器。

使用網路監看員下一個躍點測試網路通訊

使用網路監看員的下一個躍點功能來判斷 Azure 使用哪一個路由從 myVM 路由傳送流量 ,其具有一個網路介面與一個 IP 組態

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員 選取 搜尋結果中的網路監看員

  2. 在 [網路診斷工具] 底下 ,選取 [下一個躍點 ]。 輸入或選取下列值:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    虛擬機器 選取 [myVM]
    網路介面 保留預設值。
    來源 IP 位址 如果 VM 不同,請輸入 10.0.0.4 或 VM 的 IP。
    目的地 IP 位址 輸入 13.107.21.200 以測試與 www.bing.com 的通訊。

  3. 選取 [下一個躍點] 按鈕以啟動測試。 測試結果會顯示下一個躍點的相關資訊,例如下一個躍點類型、其 IP 位址,以及用來路由流量的路由表識別碼。 測試 13.107.21.200 的結果顯示下一個躍點類型為網際網路 ,而路由表識別碼為 系統路由 ,這表示目的地 www.bing.com myVM 的流量會使用 Azure 預設系統路由路由傳送至網際網路。

    Screenshot showing how to test communication to www.bing.com using Azure Network Watcher next hop capability.

  4. 目的地 IP 位址 變更為 10.0.0.5 ,這是 myNVA 虛擬機器的 IP 位址,然後選取 [ 下一個躍點] 按鈕。 結果顯示下一個躍點類型為 VirtualNetwork ,而路由表識別碼為 系統路由 ,這表示從 myVM 傳送至 10.0.0.5 的流量會使用 Azure 預設系統路由在 myVNet 虛擬網路內 路由。

    Screenshot showing Network Watcher next hop result when testing with an IP within the same virtual network.

  5. 接下來,將 目的地 IP 位址 變更為 10.1.0.5 ,這是不在 myVNet 虛擬網路位址空間中的 私人 IP 位址,然後選取 [下一步躍點] 按鈕。 結果顯示下一個躍點類型為 None ,這表示從 myVM 卸載目的地為 10.1.0.5 的流量。

    Screenshot showing Network Watcher next hop result when testing with a private IP outside the address space of the virtual network.

檢視路由的詳細資料

若要進一步分析路由,請檢閱 myVM 網路介面的有效路由

  1. 在入口網站頂端的搜尋方塊中,輸入 虛擬機器 。 在搜尋結果中選取 [虛擬機器 ]。

  2. 在 [設定] ,選取 [ 網路] ,然後選取網路介面。

    Screenshot showing how to select the network interface page from the virtual machine settings in the Azure portal.

  3. 在 [說明] 底下 ,選取 [有效路由 ],以查看與 myVM 網路介面 相關聯的所有 路由。

    Screenshot showing Azure default system routes associated with the virtual machine network interface.

    在上一節中,當您使用 13.107.21.200 執行測試時,使用 0.0.0.0.0/0 位址首碼將流量路由傳送至位址,因為沒有其他路由具有位址。 根據預設,未在另一個路由的位址首碼內指定的所有位址都會路由傳送至網際網路。

    當您使用 10.0.0.5 執行測試時,會使用 10.0.0.0/16 位址首碼來路由傳送流量。

    不過,當您使用 10.1.0.5 執行測試時,下一個躍點類型的結果為 None ,因為此 IP 位址位於 10.0.0.0/8 位址空間中。 10.0.0.0/8 位址首碼的 Azure 預設路由,下一個希望類型為 None 。 如果您將包含 10.1.0.5 的位址首碼新增至虛擬網路位址空間,則 10.1.0.5 的下一個躍點類型會從 None 變更為 VirtualNetwork

因自訂路由而測試路由問題

接下來,您會建立靜態自訂路由來覆寫 Azure 預設系統路由,並導致路由問題給 myVM 虛擬機器,以防止它直接與 通訊 www.bing.com 。 然後,您將使用網路監看員下一個躍點來針對問題進行疑難排解和診斷。

建立自訂路由

在本節中,您會在路由表中建立靜態自訂路由(使用者定義路由),以強制虛擬網路外部的所有流量傳送至特定 IP 位址。 強制流量流向虛擬網路設備是常見的案例。

  1. 在入口網站頂端的搜尋方塊中,輸入 路由表 。 在搜尋結果中選取 [路由表 ]。

  2. 選取 [+ 建立 ] 以建立新的路由表。 在 [ 建立路由表 ] 頁面中,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 myResourceGroup
    執行個體詳細資料
    區域 選取 [ 美國 東部]。
    名稱 輸入 myRouteTable
    散佈閘道路由 保留預設值。

  3. 選取 [檢閱 + 建立]。

  4. 檢閱設定,然後選取 [ 建立 ]。

  5. 部署完成後,選取 [移至資源 ] 以移至 myRouteTable [概觀 ] 頁面。

  6. 在 [設定] 底下 ,選取 [路由 ],然後選取 [+ 新增 ] 以新增自訂路由。

  7. 在 [ 新增路由 ] 頁面中,輸入或選取下列值:

    設定
    路由名稱 輸入 myRoute
    位址首碼目的地 選取 [ IP 位址 ]。
    目的地 IP 位址/CIDR 範圍 輸入 0.0.0.0/0
    下一個躍點類型 選取 [虛擬裝置 ]。
    下一個躍點位址 輸入 10.0.0.5

  8. 選取新增

將路由表與子網產生關聯

在本節中,您會將您在上一節中建立的路由表與 mySubnet 子網建立關聯。

  1. 在 [設定] 底 下,選取 [子網 ],然後選取 [+ 關聯 ] 以將 myRouteTable mySubnet 子網產生關聯

  2. 在 [ 關聯子網 ] 頁面中,選取下列值:

    設定
    虛擬網路 選取 myVNet (myResourcegroup)
    子網路 選取 [MySubnet ]。

  3. 選取 [確定]。

請前往 www.bing.com

myVM 中,開啟網頁瀏覽器,然後移至 確認 www.bing.com 它是否仍可連線。 您建立並與 myVM 子網 相關聯的自訂路由會強制流量移至 myNVA 。 流量會卸載,因為 myNVA 未設定為轉送流量,以便在本教學課程中示範路由問題。

Screenshot showing Bing page isn't reachable in a web browser.

使用下一個躍點測試網路通訊

使用 網路監看員使用 13.107.21.200 測試與 通訊 www.bing.com 的下一個躍點 區段 ,重複您在測試網路通訊中使用的 步驟。

Screenshot showing virtual appliance as the next hop after applying a custom route.

檢視有效路由

使用導致連線 www.bing.com 問題之自訂路由之後,重複檢視路由 詳細資料中 用來檢查有效路由的步驟。

前置詞為 0.0.0.0/0 的自訂路由超過 Azure 預設路由,並導致所有目的地在 myVNet 虛擬機器外部 的流量都移至 10.0.0.5。

Screenshot the effective routes after overriding Azure default system routes using a custom route.

注意

在本教學課程中, www.bing.com 因為 myNVA 未設定為轉送流量,因此已捨棄 到 的流量。 若要瞭解如何設定虛擬機器來轉送流量,請參閱 開啟 IP 轉送

清除資源

若不再需要,請刪除 myResourceGroup 資源群組及其包含的所有資源:

  1. 在入口網站頂端的搜尋方塊中,輸入 myResourceGroup 。 從搜尋結果中選取 myResourceGroup

  2. 選取 [刪除資源群組]

  3. 在 [ 刪除資源群組 ] 中,輸入 myResourceGroup ,然後選取 [ 刪除 ]。

  4. 選取 [ 刪除 ] 以確認刪除資源群組及其所有資源。

後續步驟

若要瞭解如何監視兩部虛擬機器之間的通訊,請繼續進行下一個教學課程:

監視虛擬機器之間的網路通訊