Résoudre les problèmes de connexion aux points de terminaison en dehors du réseau virtuel
Cet article explique comment résoudre les problèmes de connexion aux points de terminaison en dehors du réseau virtuel (c’est-à-dire, via l’Internet public) à partir d’un cluster Microsoft Azure Kubernetes Service (AKS).
Conditions préalables
L’outil Kubernetes kubectl , ou un outil similaire pour se connecter au cluster. Pour installer kubectl à l’aide d’Azure CLI, exécutez la commande az aks install-cli .
Liste de pour la résolution des problèmes
Étape 1 : Effectuer une résolution des problèmes de base
Assurez-vous que vous pouvez vous connecter à des points de terminaison publics sur Internet. Pour obtenir des instructions, consultez Résolution des problèmes de base des connexions de cluster AKS sortantes.
Étape 2 : Déterminer le type de trafic sortant pour le cluster AKS
Pour identifier le type sortant du cluster AKS, exécutez la commande az aks show :
az aks show --resource-group <resource_group> --name <cluster_name> --query "networkProfile.outboundType"
Si le type sortant est loadBalancer, assurez-vous que la table de routage associée aux nœuds AKS a l’itinéraire par défaut vers Internet. Les détails sont présentés dans le tableau suivant.
| Source | Préfixes d’adresse | Type de tronçon suivant |
|---|---|---|
| Par défaut | 0.0.0.0/0 | Internet |
Si le type sortant est userDefinedRouting, assurez-vous que les conditions suivantes sont remplies :
L’appareil de sortie (pare-feu ou proxy) est accessible.
L’appareil de sortie autorise le trafic sortant requis à partir du cluster.
Pour obtenir la liste des noms de domaine complets autorisés pour votre cluster AKS, exécutez la commande az aks egress-endpoints list :
az aks egress-endpoints list --resource-group <resource_group> --name <cluster_name>
Si le type sortant est managedNATGateway, case activée si le sous-réseau AKS est associé à la passerelle NAT en exécutant la commande az network nat gateway show :
az network nat gateway show --resource-group <resource_group> --name <nat_gateway_name> --query "subnets[].id"
Pour plus d’informations sur l’utilisation d’une passerelle NAT avec AKS, consultez Passerelle NAT managée.
Étape 3 : Examiner la sortie cURL lorsque vous vous connectez au cluster
Les codes de réponse cURL peuvent vous aider à identifier le type de problème. Une fois le code de réponse disponible, essayez de mieux comprendre le comportement du problème. Pour plus d’informations sur les codes de status HTTP et le comportement sous-jacent du problème, reportez-vous au tableau suivant.
| Source d’informations | Liens |
|---|---|
| Internet Assigned Numbers Authority (IANA) | Http (Hypertext Transfer Protocol) status code registry |
| Mozilla | Codes de status de réponse HTTP |
| Wikipedia | Liste des codes status HTTP |
Les codes de status HTTP suivants peuvent indiquer les problèmes répertoriés.
| Code d’état HTTP | Problème | Exemple |
|---|---|---|
4xx |
|
|
5xx |
Un problème affecte le serveur. | L’application est arrêtée ou une passerelle ne fonctionne pas. |
Étape 4 : Déterminer ce qui se passe si le trafic sortant transite généralement par un Appliance virtuel, mais que vous le contournez à la place
Pour des tests rapides afin de déterminer si l’appareil de sortie (Appliance virtuel) est à l’origine du problème, vous pouvez autoriser temporairement tout le trafic à passer par Internet. Pour configurer cette configuration, vous pouvez modifier l’adresse IP par défaut et l’itinéraire du port via 0.0.0.0/0 le Appliance virtuel pour passer par Internet à la place.
Le problème est-il intermittent ?
Vous pouvez rencontrer des problèmes sortants intermittents pour de nombreuses raisons. Pour résoudre les problèmes de connexion sortante intermittente, essayez les vérifications suivantes :
Le pod ou le nœud est-il épuisé sur les ressources ?
Exécutez le code suivant pour case activée comment les ressources sont utilisées :
kubectl top pods
kubectl top nodes
Le disque du système d’exploitation est-il fortement utilisé ?
Pour case activée si le disque du système d’exploitation est fortement utilisé, procédez comme suit :
Dans le Portail Azure, recherchez et sélectionnez Groupes de machines virtuelles identiques.
Dans la liste des groupes identiques, sélectionnez le groupe identique utilisé pour votre cluster AKS.
Dans le volet de navigation du groupe identique, accédez à la section Surveillance , puis sélectionnez Métriques.
Affichez les métriques de disque pour le groupe identique à partir de la section Métriques en recherchant les champs suivants.
Champ Valeur Portée Nom de VMSS Espace de noms Metrics Hôte de machine virtuelle Mesures Métrique du système d’exploitation et du disque de données
Pour plus d’informations sur les métriques, consultez Métriques disque de système d’exploitation et disque de données.
Pour afficher les recommandations AKS sur l’utilisation du disque, procédez comme suit :
Dans la Portail Azure, recherchez et sélectionnez Services Kubernetes.
Dans la liste des services Kubernetes, sélectionnez le nom de votre cluster AKS.
Dans le volet de navigation du cluster AKS, accédez à la section Surveillance , puis sélectionnez Recommandations Advisor.
Passez en revue les recommandations répertoriées sur l’utilisation du disque.
Si le disque du système d’exploitation est fortement utilisé, envisagez d’utiliser les solutions suivantes :
Augmentez la taille du disque du système d’exploitation.
Basculez vers des disques de système d’exploitation éphémères.
Si ces solutions ne résolvent pas le problème, analysez le processus qui effectue des opérations de lecture/écriture intensives sur le disque. Ensuite, case activée si vous pouvez déplacer les actions vers un disque de données au lieu du disque du système d’exploitation.
Le port de traduction d’adresse réseau source est-il épuisé ?
Si les applications effectuent de nombreuses connexions sortantes, elles peuvent épuiser le nombre de ports disponibles sur l’adresse IP de l’appareil sortant. Suivez les diagnostics standard de l’équilibreur de charge avec les métriques, les alertes et l’intégrité des ressources pour surveiller l’utilisation et l’allocation du port de traduction d’adresses réseau source (SNAT) de votre équilibreur de charge existant. Surveillez pour vérifier ou déterminer le risque d’épuisement des ports SNAT.
Atteignez-vous ou dépassez-vous le nombre maximal de ports SNAT alloués ? Dans ce cas, vous pouvez case activée votre application pour déterminer si elle réutilisation des connexions existantes. Pour plus d’informations, consultez Concevoir vos applications pour utiliser efficacement les connexions.
Si vous pensez que l’application est correctement configurée et que vous avez besoin de plus de ports SNAT que le nombre par défaut de ports alloués, procédez comme suit :
Augmentez le nombre d’adresses IP publiques sur l’appareil de sortie. Si l’appareil de sortie est l’équilibreur de charge, vous pouvez augmenter le nombre d’adresses IP publiques sur l’équilibreur de charge.
Exclusion de responsabilité sur les coordonnées externes
Microsoft fournit des informations de contacts externes afin de vous aider à obtenir un support technique sur ce sujet. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés externes.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.