Přehled řešení potíží s připojením
S nárůstem sofistikovaných a vysoce výkonných úloh v Azure je zásadní potřeba zvýšit viditelnost a kontrolu nad provozním stavem složitých sítí, které tyto úlohy provozují. Tyto složité sítě se implementují pomocí skupin zabezpečení sítě, bran firewall, tras definovaných uživatelem a prostředků poskytovaných Azure. Složité konfigurace usnadňují řešení potíží s připojením.
Funkce řešení potíží s připojením služby Azure Network Watcher pomáhá zkrátit dobu diagnostiky a řešení potíží s připojením k síti. Získané výsledky mohou poskytnout informace o hlavní příčině problému s připojením a o tom, zda je příčinou problém s platformou nebo konfigurací uživatele.
Řešení potíží s připojením zkracuje střední dobu řešení (MTTR) tím, že poskytuje komplexní metodu provádění všech kontrol významných připojení k detekci problémů souvisejících se skupinami zabezpečení sítě, trasami definovanými uživatelem a blokovanými porty. Poskytuje následující výsledky s použitelnými přehledy, kde je k dispozici podrobný průvodce nebo odpovídající dokumentace pro rychlejší řešení:
- Test připojení s různými cílovými typy (virtuální počítač, identifikátor URI, plně kvalifikovaný název domény nebo IP adresa)
- Problémy s konfigurací, které mají vliv na dostupnost
- Všechny možné směrování podle cest směrování ze zdroje do cíle
- Latence směrování podle segmentu směrování
- Latence (minimum, maximum a průměr mezi zdrojem a cílem)
- Grafické zobrazení topologie ze zdroje do cíle
- Počet testů selhal během kontroly řešení potíží s připojením
Podporované typy zdroje a cíle
Řešení potíží s připojením poskytuje možnost zkontrolovat připojení TCP nebo ICMP z některého z těchto prostředků Azure:
- Virtuální počítače
- Škálovací sady virtuálních počítačů
- Instance služby Azure Bastion
- Aplikační brány (s výjimkou v1)
Důležité
Řešení potíží s připojením vyžaduje, aby byl na virtuálním počítači, ze kterého řešíte potíže, nainstalované rozšíření virtuálního počítače agenta Network Watcher. Rozšíření není na cílovém virtuálním počítači povinné.
- Pokud chcete rozšíření nainstalovat na virtuální počítač s Windows, přečtěte si téma Rozšíření virtuálního počítače agenta Network Watcher pro Windows.
- Pokud chcete rozšíření nainstalovat na virtuální počítač s Linuxem, přečtěte si téma Rozšíření virtuálního počítače agenta Network Watcher pro Linux.
- Pokud chcete aktualizovat už nainstalované rozšíření, přečtěte si téma Aktualizace rozšíření virtuálního počítače agenta Network Watcher na nejnovější verzi.
Řešení potíží s připojením může testovat připojení k některému z těchto cílů:
- Virtuální počítače
- Plně kvalifikované názvy domén (FQDN)
- Identifikátory URI (Uniform Resource Identifier)
- Adresy IP
Problémy zjištěné připojením
Řešení potíží s připojením může zjistit následující typy problémů, které můžou mít vliv na připojení:
- Vysoké využití procesoru virtuálního počítače
- Vysoké využití paměti virtuálního počítače
- Pravidla brány firewall virtuálního počítače (hosta) blokující provoz
- Selhání překladu DNS
- Chybně nakonfigurované nebo chybějící trasy
- Pravidla skupiny zabezpečení sítě (NSG), která blokují provoz
- Nemožnost otevřít soket na zadaném zdrojovém portu
- Chybějící položky protokolu překladu adres pro okruhy Azure ExpressRoute
- Servery nenaslouchají na určených cílových portech
Response
Následující tabulka uvádí vlastnosti vrácené po spuštění řešení potíží s připojením.
| Vlastnost | Popis |
|---|---|
| ConnectionStatus | Stav kontroly připojení Možné výsledky jsou dostupné a nedostupné. |
| AvgLatencyInMs | Průměrná latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný). |
| MinLatencyInMs | Minimální latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný). |
| MaxLatencyInMs | Maximální latence během kontroly připojení v milisekundách (Zobrazí se pouze v případě, že je stav kontroly dostupný). |
| SondySent | Počet sond odeslaných během kontroly Maximální hodnota je 100. |
| Testy se nezdařily. | Počet testů, které selhaly během kontroly Maximální hodnota je 100. |
| Směrování | Směrování podle cesty směrování ze zdroje do cíle |
| Hops[]. Typ | Typ prostředku Možné hodnoty jsou: Source, VirtualAppliance, VnetLocal a Internet. |
| Hops[]. Id | Jedinečný identifikátor segmentu směrování. |
| Hops[]. Adresa | IP adresa segmentu směrování. |
| Hops[]. ResourceId | ID prostředku segmentu směrování, pokud je segment směrování prostředkem Azure. Pokud se jedná o internetový prostředek, resourceID je Internet. |
| Hops[]. NextHopIds | Jedinečný identifikátor dalšího segmentu směrování. |
| Hops[]. Vydává | Kolekce problémů, ke kterým došlo při kontrole segmentu směrování. Pokud nedošlo k žádným problémům, hodnota je prázdná. |
| Hops[]. Problémy[]. Původ | V aktuálním segmentu směrování, kde došlo k problému. Možné hodnoty: Příchozí – Problém je na odkazu z předchozího segmentu směrování na aktuální segment směrování. Odchozí – Problém je na odkazu z aktuálního segmentu směrování na další segment směrování. Místní – Problém se týká aktuálního segmentu směrování. |
| Hops[]. Problémy[]. Závažnost | Závažnost zjištěného problému. Možné hodnoty jsou: Chyba a Upozornění. |
| Hops[]. Problémy[]. Typ | Typ zjištěného problému. Možné hodnoty: PROCESOR Paměť GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[]. Problémy[]. Kontext | Podrobnosti týkající se zjištěného problému |
| Hops[]. Problémy[]. Kontext[].key | Klíč páru klíč-hodnota vrácený. |
| Hops[]. Problémy[]. Kontext[].value | Vrácená hodnota páru klíč-hodnota |
| NextHopAnalysis.NextHopType | Typ dalšího segmentu směrování. Možné hodnoty: HyperNetGateway Internet Nic VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | IP adresa dalšího segmentu směrování. |
| Identifikátor prostředku směrovací tabulky přidružené k vrácené trase. Pokud vrácená trasa neodpovídá žádným uživatelům vytvořeným trasám, bude toto pole řetězcová systémová trasa. | |
| SourceSecurityRuleAnalysis.Results[]. Profil | Diagnostický profil konfigurace sítě |
| SourceSecurityRuleAnalysis.Results[]. Profile.Source | Zdroj provozu. Možné hodnoty jsou: *, IP adresa/CIDR a značka služby. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Destination | Cíl provozu. Možné hodnoty jsou: *, IP adresa/CIDR a značka služby. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Cílový port provozu. Možné hodnoty jsou: * a jeden port v rozsahu (0 – 65535). |
| SourceSecurityRuleAnalysis.Results[]. Profile.Protocol | Protokol, který se má ověřit. Možné hodnoty jsou: *, TCP a UDP. |
| SourceSecurityRuleAnalysis.Results[]. Profile.Direction | Směr provozu. Možné hodnoty jsou: Odchozí a Příchozí. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult | Výsledek skupiny zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Seznam výsledků diagnostiky skupin zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult | Síťový provoz je povolený nebo zakázaný. Možné hodnoty jsou: Povolit a Odepřít. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. AppliedTo | ID prostředku síťové karty nebo podsítě, na kterou se používá skupina zabezpečení sítě. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule | Odpovídající pravidlo zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action | Síťový provoz je povolený nebo zakázaný. Možné hodnoty jsou: Povolit a Odepřít. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.RuleName | Název odpovídajícího pravidla zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | ID skupiny zabezpečení sítě. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Seznam výsledků vyhodnocení pravidel zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched | Hodnota označuje, jestli se cíl shoduje. Logické hodnoty. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Hodnota označuje, jestli se cílový port shoduje. Logické hodnoty. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Jméno | Název pravidla zabezpečení sítě |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched | Hodnota označuje, jestli se protokol shoduje. Logické hodnoty. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Hodnota označuje, jestli se zdroj shoduje. Logické hodnoty. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched | Hodnota označuje, jestli se zdrojový port shoduje. Logické hodnoty. |
| DestinationSecurityRuleAnalysis | Stejné jako formát SourceSecurityRuleAnalysis. |
| SourcePortStatus | Určuje, zda je port ve zdroji dostupný nebo ne. Možné hodnoty: Neznámý Dosažitelný Nestabilní NoConnection Časový limit |
| DestinationPortStatus | Určuje, zda je port v cíli dostupný nebo ne. Možné hodnoty: Neznámý Dosažitelný Nestabilní NoConnection Časový limit |
Následující příklad ukazuje problém nalezený v segmentu směrování.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Typy chyb
Řešení potíží s připojením vrací typy chyb o připojení. Následující tabulka obsahuje seznam možných vrácených typů chyb.
| Typ | Popis |
|---|---|
| Procesor | Vysoké využití procesoru |
| Memory (Paměť) | Vysoké využití paměti. |
| GuestFirewall | Provoz je zablokovaný kvůli konfiguraci brány firewall virtuálního počítače. Příkaz ping tcp je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama odpoví na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. Tato událost není protokolována. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě. |
| DNSResolution | Překlad DNS pro cílovou adresu se nezdařil. |
| NetworkSecurityRule | Provoz je blokovaný pravidlem skupiny zabezpečení sítě (vrátí se pravidlo zabezpečení). |
| UserDefinedRoute | Provoz se zahodí kvůli definovanému uživateli nebo systémové trase. |
Další krok
Pokud chcete zjistit, jak pomocí řešení potíží s připojením testovat a řešit potíže s připojeními, pokračujte takto: