Solución de problemas de acceso, ingesta y funcionamiento del clúster de Azure Data Explorer en la red virtual

Advertencia

La inserción de red virtual se retirará de Azure Data Explorer el 1 de febrero de 2025. Para más información sobre el desuso, vea Desuso de la inserción de red virtual para Azure Data Explorer.

En esta sección aprenderá a solucionar problemas de conectividad, de operación y de creación de clústeres para un clúster que se implementa en la red virtual.

Problemas de acceso

Si tiene un problema al acceder al clúster mediante el punto de conexión público (cluster.region.kusto.windows.net) o privado (private-cluster.region.kusto.windows.net) y sospecha que está relacionado con la configuración de la red virtual, lleve a cabo los pasos siguientes para solucionar el problema.

Comprobación de la conectividad TCP

El primer paso incluye la comprobación de la conectividad TCP mediante el sistema operativo Windows o Linux.

Windows

1. Descargue TCping en la máquina que se conecta al clúster.

2. Haga ping al destino desde la máquina de origen con el siguiente comando:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Instale netcat en la máquina que se conecta al clúster.

   apt-get install netcat
   

2. Haga ping al destino desde la máquina de origen con el siguiente comando:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Si la prueba no finaliza correctamente, continúe con los pasos siguientes. Si la prueba es correcta, el problema no se debe a la conectividad de TCP. Vaya a Problemas operativos para continuar con la solución del problema.

Comprobación de las reglas del grupo de seguridad de red (NSG)

Compruebe que el grupo de seguridad de red conectado a la subred del clúster tiene una regla de entrada que permite el acceso desde la dirección IP del equipo cliente al puerto 443.

Comprobación de que la tabla de rutas está configurada para evitar problemas de acceso

Si la subred del clúster está configurada para efectuar una tunelización forzada de todo el tráfico de salida de Internet que entra de nuevo en el firewall (subred con una tabla de rutas que contiene la ruta predeterminada "0.0.0.0/0"), asegúrese de que la dirección IP de la máquina tenga una ruta con el tipo de próximo salto establecido en VirtualNetwork/Internet. Esta ruta se necesita para evitar problemas de rutas asimétricas.

Problemas de ingesta

Si está experimentando problemas de ingesta y sospecha que están relacionados con la configuración de la red virtual, lleve a cabo los pasos siguientes.

Comprobación del estado de la ingesta

Comprueba que las métricas de ingesta de clúster indiquen un estado correcto.

Comprobación de las reglas de seguridad en los recursos de origen de datos

Si las métricas indican que no se procesó ningún evento desde el origen de datos (Eventos procesados métrica para instancias de Event Hubs o IoT Hub), asegúrese de que los recursos del origen de datos (Event Hubs o Storage) permiten el acceso desde la subred del clúster en las reglas de firewall o los puntos de conexión de servicio.

Comprobación de las reglas de seguridad configuradas en la subred del clúster

Asegúrese de que la subred del clúster tiene las reglas de NSG, UDR y firewall configuradas correctamente. Además, pruebe la conectividad de red para todos los puntos de conexión dependientes.

Problemas de creación y operación de clústeres

Si experimenta problemas con la creación o la operación de un clúster y sospecha que está relacionado con la configuración de la red virtual, siga estos pasos para solucionar el problema.

Comprobación de la configuración de los servidores DNS

La configuración de un punto de conexión privado requiere la configuración de DNS. Solo se da soporte técnico a la configuración de la zona de DNS privado de Azure. No se admite la instalación personalizada del servidor DNS. Compruebe que los registros que se crearon como parte del punto de conexión privado están registrados en la zona DNS privada de Azure.

Diagnóstico de la red virtual con la API REST

Se usa ARMClient para llamar a la API REST con PowerShell.

1. Inicio de sesión con ARMClient

   armclient login
   

2. Invoque la operación de diagnóstico.

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Compruebe la respuesta.

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Espere a que finalice la operación.

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Espere hasta que la propiedad status muestre Completed; después, el campo properties debe mostrar:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Si la propiedad Findings muestra un resultado vacío, significa que se han superado todas las pruebas de red y no se ha interrumpido la conexión. Si se muestra el siguiente error, Outbound dependency '{dependencyName}:{port}' might be not satisfied (Outbound) (Puede que no se haya satisfecho la dependencia de salida '{nombreDeDependencia}:{puerto}' [salida]), el clúster no puede acceder a los puntos de conexión de servicio dependientes. Siga los pasos que se indican a continuación.

Comprobación de las reglas de grupo de seguridad de red

Asegúrese de que el grupo de seguridad de red está configurado correctamente según las instrucciones de Configuración de reglas del grupo de seguridad de red.

Comprobación de que la tabla de rutas está configurada para evitar problemas de ingesta

Si la subred del clúster está configurada para efectuar una tunelización forzada de todo el tráfico de salida de Internet que entra de nuevo en el firewall (subred con una tabla de rutas que contiene la ruta predeterminada "0.0.0.0/0"), asegúrese de que las direcciones IP de administración) y las direcciones IP de supervisión de estado tienen una ruta con el tipo de próximo salto establecido en Internet y un prefijo de dirección de origen en "management-ip/32" y "health-monitoring-ip/32". Esta ruta es necesaria para evitar problemas de rutas asimétricas.

Comprobación de las reglas de firewall

Si fuerza la tunelización del tráfico de salida de la subred a un firewall, asegúrese de que en la configuración del firewall se permiten todas las dependencias FQDN (por ejemplo, .blob.core.windows.net), tal como se describe en Protección del tráfico de salida con el firewall.

Problemas de suspensión del clúster

Si el clúster no se puede suspender, confirme que no hay ningún bloqueo en los recursos de red de la suscripción.