Поделиться через


Общие сведения об устранении неполадок подключения

При увеличении сложных и высокопроизводительных рабочих нагрузок в Azure крайне важно повысить видимость и контроль над состоянием работы сложных сетей, работающих с этими рабочими нагрузками. Такие сложные сети реализуются с помощью групп безопасности сети, брандмауэров, определяемых пользователем маршрутов и ресурсов, предоставляемых Azure. Сложные конфигурации делают устранение неполадок, связанных с подключением, непростой задачей.

Функция устранения неполадок подключения в Azure Наблюдатель за сетями помогает сократить время для диагностики и устранения неполадок с сетевым подключением. Полученные результаты могут дать представление о первопричине проблемы с подключением: ошибка на платформе или в конфигурации пользователя.

Устранение неполадок с подключением сокращает среднее время разрешения (MTTR), предоставляя комплексный метод выполнения всех основных проверок подключения для обнаружения проблем, связанных с группами безопасности сети, определяемыми пользователем маршрутами и заблокированными портами. Он предоставляет следующие результаты с практическими аналитическими сведениями, в которых пошаговые инструкции или соответствующая документация предоставляется для ускорения разрешения:

  • Проверка подключения с различными типами назначения (URI, URI, полное доменное имя или IP-адрес)
  • Проблемы с конфигурацией, влияющие на доступность
  • Все возможные прыжки путем прыжка пути от источника к месту назначения
  • Прыжки по задержке прыжка
  • Задержка (минимальная, максимальная и средняя между источником и назначением)
  • Графическое представление топологии из источника в место назначения
  • Количество проб, завершилось ошибкой во время проверки неполадок подключения

Поддерживаемые типы источников и назначения

Устранение неполадок подключения обеспечивает возможность проверки подключений TCP или ICMP из любого из следующих ресурсов Azure:

  • Виртуальные машины
  • Масштабируемые наборы виртуальных машин
  • Экземпляры Бастиона Azure
  • Шлюзы приложений версии 2, за исключением шлюзов, зарегистрированных в развертывании частных Шлюз приложений

Внимание

Для проверки подключения для устранения неполадок подключения требуется, чтобы виртуальная машина, на которую выполняется тест, была установлена Наблюдатель за сетями расширение виртуальной машины агента. Это расширение не требуется для выполнения других тестов устранения неполадок подключения или на целевой виртуальной машине.

Устранение неполадок подключения может проверить подключения к любому из этих назначений:

  • Виртуальные машины
  • Полные доменные имена (полные доменные имена)
  • URI (uniform resource identifiers — универсальные коды ресурса)
  • IP-адреса

Проблемы, обнаруженные при устранении неполадок при подключении

Устранение неполадок подключения может обнаружить следующие типы проблем, которые могут повлиять на подключение:

  • Высокая загрузка ЦП виртуальной машины
  • Высокая загрузка памяти виртуальной машины
  • Правила брандмауэра виртуальной машины (гостевой) блокируют трафик
  • Сбои разрешения DNS
  • Неправильно настроенные или отсутствующие маршруты
  • Правила группы безопасности сети (NSG), блокирующие трафик
  • Неспособность открыть сокет на указанном исходном порту
  • Отсутствующие записи протокола разрешения адресов для каналов Azure ExpressRoute
  • Серверы, не прослушивающие назначенные порты назначения

Ответ

В следующей таблице показаны свойства, возвращенные после устранения неполадок подключения.

Свойство Описание
Статус соединения Состояние проверки подключения. Возможные результаты: Reachable и Unreachable.
Средняя задержка в мс Средняя задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если состояние проверки доступно).
Минимальная задержка в мс Минимальная задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если состояние проверки доступно).
MaxLatencyInMs Максимальная задержка во время проверки подключения в миллисекундах. (Отображается только в том случае, если состояние проверки доступно).
Отправка зондов Число проб, отправленных во время проверки. Максимальное значение равно 100.
ДатчикиСбой Число проб, которые завершились сбоем во время проверки. Максимальное значение равно 100.
Прыжки Путь по прыжкам от источника к назначению.
Хмель[]. Тип Тип ресурса. Возможные значения: Source, VirtualAppliance, VnetLocal и Internet.
Хмель[].Идентификатор Уникальный идентификатор прыжка.
Hops[]. Адрес IP-адрес прыжка.
Хмель[]. ResourceId (Идентификатор ресурса) Идентификатор ресурса прыжка, если прыжк является ресурсом Azure. Если это интернет-ресурс, ResourceID — Интернет.
Хмель[]. NextHopIds Уникальный идентификатор следующего выполненного прыжка.
Хмель[]. Вопросы Коллекция проблем, которые были обнаружены во время проверки прыжка. Если проблем не обнаружено, значение будет пустым.
Хмель[]. Проблемы[]. Происхождение Текущий прыжок, где возникла проблем. Возможные значения:
Входящий трафик — проблема связана со ссылкой из предыдущего прыжка к текущему прыжку.
Исходящий трафик — проблема связана со ссылкой из текущего прыжка к следующему прыжку.
Local. Проблема возникла на текущем прыжке.
Хмель[]. Проблемы[]. Суровость Серьезность обнаруженной проблемы. Возможные значения: ошибка и предупреждение.
Хмель[].Проблемы[].Тип Тип обнаруженной проблемы. Возможные значения:
ЦП
Память
Гостевой брандмауэр
Разрешение DNS
Правило сетевой безопасности
Пользовательский Маршрут
Хмель[]. Проблемы[]. Контекст Сведения об обнаруженной проблеме.
Хмель[]. Проблемы[]. Контекст[].key Возвращенный ключ из пары "ключ — значение".
Хмель[].Проблемы[].Контекст[].value Возвращенное значение из пары "ключ — значение".
NextHopAnalysis.NextHopType (СледующийHopType) Тип следующего прыжка. Возможные значения:
ГипернетШлюз
Интернет
Не допускается
Виртуальное устройство
Виртуальный сетевой шлюз
VnetLocal
NextHopAnalysis.NextHopIpAddress IP-адрес следующего прыжка.
Идентификатор ресурса таблицы маршрутов, связанной с возвращаемым маршрутом. Если возвращаемый маршрут не соответствует каким-либо созданным пользователем маршрутам, это поле будет строковым системным маршрутом.
SourceSecurityRuleAnalysis.Results[]. Профиль Профиль диагностики конфигурации сети.
SourceSecurityRuleAnalysis.Results[]. Profile.Source Источник трафика. Возможные значения: *, IP-адрес/CIDR и тег службы.
SourceSecurityRuleAnalysis.Results[]. Profile.Destination Назначение трафика. Возможные значения: *, IP-адрес/CIDR и тег службы.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Порт назначения трафика. Возможные значения: * и один порт в диапазоне (0 – 65535).
SourceSecurityRuleAnalysis.Results[]. Profile.Protocol Проверяемый протокол. Возможные значения: *, TCP и UDP.
SourceSecurityRuleAnalysis.Results[]. Profile.Direction Направление трафика. Возможные значения: исходящий и входящий трафик.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Результат группы безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Список результатов диагностики групп безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult Сетевой трафик разрешен или запрещен. Возможные значения: Allow и Deny.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo Идентификатор ресурса сетевой карты или подсети, к которой применяется группа безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule Соответствующее правило безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action Сетевой трафик разрешен или запрещен. Возможные значения: Allow и Deny.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName Имя соответствующего правила безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId Идентификатор группы безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Список результатов оценки правил безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched Значение указывает, соответствует ли назначение. Логические значения.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Значение указывает, соответствует ли целевой порт. Логические значения.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Имя Имя правила безопасности сети.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched Значение указывает, соответствует ли протокол. Логические значения.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Значение указывает, соответствует ли источник. Логические значения.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Значение указывает, соответствует ли исходный порт. Логические значения.
Анализ правил безопасности для назначения Совпадает с форматом SourceSecurityRuleAnalysis.
Исходный портСтатус Определяет, доступен ли порт в источнике. Возможные значения:
Неизвестный
Достижимый
Нестабильный
NoConnection
Время ожидания
DestinationPortStatus (Статус порта) Определяет, доступен ли порт в назначении. Возможные значения:
Неизвестный
Достижимый
Нестабильный
NoConnection
Время ожидания

В следующем примере показана проблема, обнаруженная на прыжке.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Типы ошибок

Устранение неполадок подключения возвращает типы ошибок подключения. В следующей таблице приведен список возможных возвращаемых типов сбоев.

Тип Описание
ЦП Высокая загрузка ЦП.
Память Высокий уровень использования памяти.
Гостевой брандмауэр Трафик блокируется из-за конфигурации брандмауэра виртуальной машины.

Tcp-связь — это уникальный вариант использования, в котором, если не разрешено правило, брандмауэр сам реагирует на запрос TCP-подключения клиента, даже если TCP-связь не достигает целевого IP-адреса или полного доменного имени. Это событие не регистрируется. Если есть сетевое правило, позволяющее получить доступ к целевому IP-адресу/полному домену, запрос связи достигает целевого сервера, а его ответ передается клиенту обратно. Это событие регистрируется в журнале правил сети.
DnsResolution Сбой разрешения DNS для адреса назначения.
Правило сетевой безопасности Трафик блокируется правилом группы безопасности сети (возвращается правило безопасности).
Пользовательский маршрут Трафик сбрасывается из-за определенного пользователем или системой маршрута.

Следующий шаг

Чтобы узнать, как использовать устранение неполадок подключения для тестирования и устранения неполадок подключений, перейдите к следующим сведениям: