連線 ion 疑難解答概觀

隨著 Azure 中複雜且高效能工作負載的增加,對於執行這些工作負載的複雜網路運作狀態,需要提高可見度和控制能力。 這類複雜網路是使用 Azure 所提供的網路安全組、防火牆、用戶定義路由和資源來實作。 複雜的組態使得對連線問題進行疑難解答具有挑戰性。

Azure 網路監看員 的連線疑難解答功能有助於縮短診斷和疑難解答網路連線問題的時間量。 傳回的結果會針對出現連線問題的根本原因,以及其是由平台還是使用者設定問題所造成,提供深入見解。

連線 ion 疑難解答可藉由提供完整的方法來執行所有連線主要檢查,以偵測網路安全組、使用者定義路由和封鎖的埠相關問題,藉此減少平均解決時間(MTTR)。 它會提供下列結果,並提供可採取動作的深入解析,其中提供逐步指南或對應的檔,以更快解決:

  • 使用不同目的地類型進行 連線 性測試(VM、URI、FQDN 或 IP 位址)
  • 影響可觸達性的設定問題
  • 從來源到目的地的所有可能躍點路徑
  • 依躍點延遲躍點
  • 延遲(來源和目的地之間的最小、最大值和平均值)
  • 從來源到目的地的圖形拓撲檢視
  • 聯機疑難解答檢查期間探查失敗的數目

支援的來源和目的地類型

連線 疑難解答提供從下列任一 Azure 資源檢查 TCP 或 ICMP 連線的功能:

  • 虛擬機器
  • 虛擬機器擴展集
  • Azure Bastion 實例
  • 應用程式閘道(v1 除外)

重要

連線 疑難解答需要您疑難解答的虛擬機已安裝 網路監看員 代理程式 VM 擴充功能。 目的地虛擬機上不需要擴充功能。

連線 疑難解答可以測試這些目的地的連線:

  • 虛擬機器
  • 完整網域名稱 (FQDN)
  • 統一資源識別項 (URI)
  • IP 位址

線上疑難解答偵測到的問題

連線 疑難解答可以偵測下列可能會影響連線的問題類型:

  • 高 VM CPU 使用率
  • 高 VM 記憶體使用率
  • 虛擬機 (來賓) 防火牆規則封鎖流量
  • DNS 解析失敗
  • 設定錯誤或遺失路由
  • 封鎖流量的網路安全組 (NSG) 規則
  • 無法在指定的來源埠開啟套接字
  • 缺少 Azure ExpressRoute 線路的位址解析通訊協議專案
  • 未接聽指定目的地埠的伺服器

回應

下表顯示執行連線疑難解答之後傳回的屬性。

屬性 說明
連線 ionStatus 線上檢查的狀態。 可能的結果是 ReachableUnreachable
AvgLatencyInMs 線上檢查期間的平均延遲,以毫秒為單位。 (只有在可連線到檢查狀態時才會顯示)。
MinLatencyInMs 線上檢查期間的最小延遲,以毫秒為單位。 (只有在可連線到檢查狀態時才會顯示)。
MaxLatencyInMs 線上檢查期間的延遲上限,以毫秒為單位。 (只有在可連線到檢查狀態時才會顯示)。
ProbesSent 檢查期間傳送的探查數目。 最大值為 100。
ProbesFailed 檢查期間失敗的探查數目。 最大值為 100。
啤酒花 依躍點路徑從來源躍點躍點到目的地。
Hops[]。類型 資源類型。 可能的值為:Source、VirtualAppliance、VnetLocalInternet。
Hops[]。Id 躍點的唯一標識碼。
Hops[]。位址 躍點的IP位址。
Hops[]。ResourceId 如果躍點是 Azure 資源,則躍點的資源標識碼。 如果是因特網資源,ResourceID 是 因特網
Hops[]。NextHopIds 所取得下一個躍點的唯一標識符。
Hops[]。問題 檢查躍點期間所遇到的問題集合。 如果沒有問題,此值會是空白的。
Hops[]。Issues[]。起源 在目前躍點,發生問題的位置。 可能的值包括:
輸入 - 問題位於上一個躍點至目前躍點的連結上。
輸出 - 問題位於從目前躍點到下一個躍點的連結上。
本機 - 問題位於目前的躍點上。
Hops[]。Issues[]。嚴重性 偵測到問題的嚴重性。 可能的值為: 錯誤警告
Hops[]。Issues[]。類型 偵測到問題的型別。 可能的值包括:
CPU
記憶體
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hops[]。Issues[]。上下文 偵測到問題的詳細數據。
Hops[]。Issues[]。Context[].key 傳回之索引鍵值組的索引鍵。
Hops[]。Issues[]。Context[].value 傳回之索引鍵值組的值。
NextHopAnalysis.NextHopType 下一個躍點的類型。 可能的值包括:
HyperNetGateway
網際網路
None
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress 下一個躍點的IP位址。
與傳回之路由相關聯的路由表資源標識符。 如果傳回的路由未對應至任何使用者建立的路由,則此欄位會是字串 系統路由
SourceSecurityRuleAnalysis.Results[]。配置 檔 網路組態診斷配置檔。
SourceSecurityRuleAnalysis.Results[]。Profile.Source 流量來源。 可能的值為:*、 IP 位址/CIDR 和服務 標籤
SourceSecurityRuleAnalysis.Results[]。Profile.Destination 流量目的地。 可能的值為:*、 IP 位址/CIDR 和服務 標籤
SourceSecurityRuleAnalysis.Results[]。Profile.DestinationPort 流量目的地埠。 可能的值為:* 和 (0 - 65535) 範圍內的單一埠。
SourceSecurityRuleAnalysis.Results[]。Profile.Protocol 要驗證的通訊協定。 可能的值為:*、 TCPUDP
SourceSecurityRuleAnalysis.Results[]。Profile.Direction 流量的方向。 可能的值為: 輸出輸入
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult 網路安全組結果。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[] 結果網路安全組診斷的清單。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.SecurityRuleAccessResult 允許或拒絕網路流量。 可能的值為: 允許拒絕
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[]。AppliedTo 套用網路安全組之 NIC 或子網的資源識別碼。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[]。MatchedRule 符合的網路安全性規則。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[]。MatchedRule.Action 允許或拒絕網路流量。 可能的值為: 允許拒絕
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[]。MatchedRule.RuleName 相符的網路安全性規則名稱。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.EvaluatedSecurityGroups[]。NetworkSecurityGroupId 網路安全組標識碼。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[] 網路安全性規則評估結果的清單。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。DestinationMatched 值表示目的地是否相符。 布爾值。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。DestinationPortMatched 值表示目的地埠是否相符。 布爾值。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。名字 網路安全性規則的名稱。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。ProtocolMatched 值表示是否比對通訊協定。 布爾值。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。SourceMatched 值表示來源是否相符。 布爾值。
SourceSecurityRuleAnalysis.Results[]。NetworkSecurityGroupResult.RulesEvaluationResult[]。SourcePortMatched 值表示來源埠是否相符。 布爾值。
DestinationSecurityRuleAnalysis 與 SourceSecurityRuleAnalysis 格式相同。
SourcePortStatus 判斷來源端的埠是否可連線。 可能的值為:
Unknown
到達
穩定
否 連線 ion
逾時
DestinationPortStatus 判斷目的地的埠是否可連線。 可能的值為:
Unknown
到達
穩定
否 連線 ion
逾時

下列範例顯示躍點上發現的問題。

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

錯誤類型

連線 ion 疑難解答會傳回有關聯機的錯誤類型。 下表提供可能傳回的錯誤類型清單。

類型 描述
CPU 高 CPU 使用率。
記憶體 高記憶體使用率。
GuestFirewall 流量因為虛擬機防火牆設定而遭到封鎖。

TCP Ping 是唯一的使用案例,如果沒有允許的規則,防火牆本身會回應用戶端的 TCP Ping 要求,即使 TCP Ping 未達到目標 IP 位址/FQDN。 不會記錄此事件。 如果有網路規則允許存取目標IP位址/FQDN,Ping要求會到達目標伺服器,且其回應會轉送回用戶端。 此事件會記錄在網路規則記錄檔中。
DNSResolution 目的地位址的 DNS 解析失敗。
NetworkSecurityRule 網路安全組規則會封鎖流量(傳回安全性規則)。
UserDefinedRoute 流量會因為使用者定義的或系統路由而遭到捨棄。

後續步驟

若要瞭解如何使用聯機疑難解答來測試和疑難解答連線,請繼續: