Freigeben über


Übersicht über die Verbindungsproblembehandlung

Mit der Zunahme anspruchsvoller und hochleistungsfähiger Workloads in Azure besteht entscheidender Bedarf an mehr Transparenz und Kontrolle über den Betriebszustand komplexer Netzwerke, in denen diese Workloads ausgeführt werden. Solch komplexe Netzwerke werden mithilfe von Netzwerksicherheitsgruppen, Firewalls, benutzerdefinierten Routen und Ressourcen, die von Azure bereitgestellt werden, implementiert. Komplexe Konfigurationen stellen eine große Herausforderung bei der Behandlung von Konnektivitätsproblemen dar.

Die Problembehandlungsfunktion für Verbindungen von Azure Network Watcher hilft dabei, die Zeit für die Diagnose und Behandlung von Problemen mit der Netzwerkkonnektivität zu verkürzen. Die zurückgegebenen Ergebnisse können Erkenntnisse über die Grundursache des Konnektivitätsproblems und darüber, ob es sich um ein Problem mit der Plattform- oder Benutzerkonfiguration handelt, liefern.

Bei der Problembehandlung für Verbindungen wird die Durchschnittszeit bis zur Auflösung (Mean Time To Resolution, MTTR) reduziert, indem eine umfassende Methode zum Durchführen aller Hauptüberprüfungen der Verbindung bereitgestellt wird, um Probleme im Zusammenhang mit Netzwerksicherheitsgruppen, benutzerdefinierten Routen und blockierten Ports zu erkennen. Sie liefert die folgenden Ergebnisse mit verwertbaren Erkenntnissen, wenn eine Schritt-für-Schritt-Anleitung oder entsprechende Dokumentation für eine schnellere Lösung bereitgestellt wird:

  • Konnektivitätstest mit verschiedenen Zieltypen (VM, URI, FQDN oder IP-Adresse)
  • Konfigurationsprobleme, die sich auf die Erreichbarkeit auswirken
  • Alle möglichen Hop-By-Hop-Pfade von der Quelle zum Ziel
  • Hop-by-Hop-Latenz
  • Latenz (Mindest-, maximale und Durchschnittslatenz zwischen Quelle und Ziel)
  • Grafische Topologieansicht von der Quelle zum Ziel
  • Anzahl der Tests, die während der Überprüfung der Verbindungsproblembehandlung abgelegt wurden

Unterstützte Quell- und Zieltypen

Die Problembehandlung für Verbindungen bietet die Möglichkeit, TCP- oder ICMP-Verbindungen von einer der folgenden Azure-Ressourcen zu überprüfen:

  • Virtuelle Computer
  • VM-Skalierungsgruppen
  • Azure Bastion-Instanzen
  • Application Gateway (außer V1)

Wichtig

Für die Problembehandlung für Verbindungen muss auf der VM, auf der Sie die Problembehandlung ausführen, die Network Watcher-Agent-VM-Erweiterung installiert sein. Die Erweiterung ist nicht auf dem virtuellen Zielcomputer erforderlich.

Bei der Problembehandlung für Verbindungen können Verbindungen mit einem der folgenden Ziele getestet werden:

  • Virtuelle Computer
  • Vollqualifizierte Domänennamen (FQDNs)
  • Uniform Resource Identifier (URIs)
  • IP-Adressen

Probleme, die bei der Problembehandlung für Verbindungen erkannt wurden

Die Verbindungsproblembehandlung kann die folgenden Arten von Problemen erkennen, die sich auf die Konnektivität auswirken können:

  • Hohe CPU-Auslastung der VM
  • Hohe Speicherauslastung der VM
  • VM-Firewallregeln (Gast) blockieren Datenverkehr
  • Fehler bei der DNS-Auflösung
  • Falsch konfigurierte oder fehlende Routen
  • Regeln für Netzwerksicherheitsgruppen (NSG), die Datenverkehr blockieren
  • Unfähigkeit, einen Socket am angegebenen Quellport zu öffnen
  • Fehlende Adressauflösungs-Protokolleinträge für Azure Express Route-Verbindungen
  • Server, die nicht an den vorgesehenen Zielports lauschen

Antwort

Die folgende Tabelle zeigt die Eigenschaften, die nach der Ausführung der Problembehandlung für Verbindungen zurückgegeben werden:

Eigenschaft Beschreibung
ConnectionStatus Status der Konnektivitätsprüfung. Mögliche Ergebnisse sind Erreichbar und Nicht erreichbar.
AvgLatencyInMs Durchschnittliche Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet).
MinLatencyInMs Minimale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet).
MaxLatencyInMs Maximale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ lautet).
ProbesSent Anzahl der Tests, die während der Überprüfung gesendet werden. Der Maximalwert ist 100.
ProbesFailed Anzahl der fehlerhaften Tests während der Überprüfung. Der Maximalwert ist 100.
Hops Hop-by-Hop-Pfad von der Quelle zum Ziel.
Hops[].Type Ressourcentyp. Mögliche Werte: Source, VirtualAppliance, VnetLocal und Internet.
Hops[].Id Eindeutiger Bezeichner des Hops.
Hops[].Address IP-Adresse des Hops.
Hops[].ResourceId Ressourcen-ID des Hops, wenn der Hop eine Azure-Ressource ist. Wenn es sich um eine Internetressource handelt, lautet die Ressourcen-ID Internet.
Hops[].NextHopIds Eindeutiger Bezeichner des nächsten Hops.
Hops[].Issues Eine Sammlung der Probleme, die während der Überprüfung des Hops aufgetreten sind. Wert ist leer, wenn keine Probleme aufgetreten sind.
Hops[].Issues[].Origin Auf dem aktuellen Hop, wo das Problem aufgetreten ist. Mögliche Werte sind:
Eingehend: Das Problem liegt in der Verbindung vom vorherigen Hop zum aktuellen Hop.
Ausgehend: Das Problem liegt in der Verbindung vom aktuellen Hop zum nächsten Hop.
Lokal: Problem befindet sich auf dem aktuellen Hop.
Hops[].Issues[].Severity Der Schweregrad des gefundenen Problems. Mögliche Werte: Fehler und Warnung.
Hops[].Issues[].Type Der Typ des gefundenen Problems. Mögliche Werte sind:
CPU
Arbeitsspeicher
GuestFirewall
DnsResolution
NetworkSecurityRule
UserDefinedRoute
Hops[].Issues[].Context Details zum erkannten Problem.
Hops[].Issues[].Context[].key Schlüssel des zurückgegebenen Schlüssel-Wert-Paars.
Hops[].Issues[].Context[].value Wert des zurückgegebenen Schlüssel-Wert-Paars.
NextHopAnalysis.NextHopType Der Typ des nächsten Hops. Mögliche Werte sind:
HyperNetGateway
Internet
None
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Die IP-Adresse des nächsten Hops.
Der Ressourcenbezeichner der Routingtabelle, die der zurückgegebenen Route zugeordnet ist. Wenn die zurückgegebene Route keinen benutzerseitig erstellten Routen entspricht, ist dieses Feld die Zeichenfolge Systemroute.
SourceSecurityRuleAnalysis.Results[].Profile Das Profil der Netzwerkkonfigurationsdiagnose.
SourceSecurityRuleAnalysis.Results[].Profile.Source Die Datenverkehrsquelle. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag.
SourceSecurityRuleAnalysis.Results[].Profile.Destination Das Ziel für den Datenverkehr. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag.
SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort Der Zielport für den Datenverkehr. Mögliche Werte: * und ein einzelner Port im Bereich (0–65535).
SourceSecurityRuleAnalysis.Results[].Profile.Protocol Das zu überprüfende Protokoll. Mögliche Werte: *, TCP und UDP.
SourceSecurityRuleAnalysis.Results[].Profile.Direction Die Richtung des Datenverkehrs. Mögliche Werte: Eingehend und Ausgehend.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult Das Ergebnis für Netzwerksicherheitsgruppen.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Die Liste der Diagnoseergebnisse für Netzwerksicherheitsgruppen.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo Die Ressourcen-ID der Netzwerkkarte oder des Subnetzes, auf die/das die Netzwerksicherheitsgruppe angewendet wird.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule Die entsprechende Netzwerksicherheitsregel.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName Der Name der entsprechenden Netzwerksicherheitsregel.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId Die ID der Netzwerksicherheitsgruppe.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] Die Liste mit den Auswertungsergebnissen für Netzwerksicherheitsregeln.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched Der Wert gibt an, ob das Ziel übereinstimmt. Boolesche Werte.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched Der Wert gibt an, ob der Zielport übereinstimmt. Boolesche Werte.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name Der Name der Netzwerksicherheitsregel.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched Der Wert gibt an, ob das Protokoll übereinstimmt. Boolesche Werte.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched Der Wert gibt an, ob die Quelle übereinstimmt. Boolesche Werte.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched Der Wert gibt an, ob der Quellport übereinstimmt. Boolesche Werte.
DestinationSecurityRuleAnalysis Identisch mit dem SourceSecurityRuleAnalysis-Format.
SourcePortStatus Bestimmt, ob der Port an der Quelle erreichbar ist oder nicht. Mögliche Werte sind:
Unbekannt
Reachable
Unstable
NoConnection
Timeout
DestinationPortStatus Bestimmt, ob der Port am Ziel erreichbar ist oder nicht. Mögliche Werte sind:
Unbekannt
Reachable
Unstable
NoConnection
Timeout

Das folgende Beispiel zeigt ein in einem Hop gefundenes Problem.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Fehlertypen

Die Problembehandlung für Verbindungen gibt Fehlertypen der Verbindung zurück. Die folgende Tabelle listet alle möglichen zurückgegebenen Fehlertypen auf.

Typ Beschreibung
CPU Hohe CPU-Auslastung.
Arbeitsspeicher Hohe Speicherauslastung.
GuestFirewall Datenverkehr wird aufgrund der Firewall-Konfiguration eines virtuellen Computers blockiert.

Ein TCP-Ping ist ein besonderer Anwendungsfall, bei dem die Firewall selbst auf die TCP-Pinganforderung des Clients antwortet, auch wenn der TCP-Ping die Ziel-IP-Adresse bzw. den FQDN nicht erreicht, wenn es keine Zulassungsregel gibt. Dieses Ereignis wird nicht protokolliert. Wenn eine Netzwerkregel vorhanden ist, die den Zugriff auf die IP-Zieladresse bzw. den FQDN zulässt, erreicht die Pinganforderung den Zielserver, und die Antwort wird an den Client zurückgeleitet. Dieses Ereignis wird im Protokoll für Netzwerkregeln protokolliert.
DNSResolution Fehler bei DNS-Auflösung für Zieladresse.
NetworkSecurityRule Der Datenverkehr wird durch eine Netzwerksicherheitsgruppenregel blockiert (Sicherheitsregel wird zurückgegeben).
UserDefinedRoute Datenverkehr wird aufgrund einer benutzerdefinierten oder Systemroute verworfen.

Nächster Schritt

Um zu erfahren, wie Sie das Problembehandlungstool für Verbindungen verwenden, um Verbindungen zu testen und Probleme zu lösen, fahren Sie mit folgendem Artikel fort: