Risolvere i problemi di accesso, inserimento e funzionamento del cluster di Azure Esplora dati nella rete virtuale

Avviso

Rete virtuale injection verrà ritirato per Azure Esplora dati entro il 1° febbraio 2025. Per altre informazioni sulla deprecazione, vedere Deprecazione di Rete virtuale injection per Azure Esplora dati.

In questa sezione viene illustrato come risolvere i problemi di connettività, operativi e di creazione del cluster per un cluster distribuito nel Rete virtuale.

Problemi di accesso

Se si verifica un problema durante l'accesso al cluster usando l'endpoint pubblico (cluster.region.kusto.windows.net) o privato (private-cluster.region.kusto.windows.net) e si sospetta che sia correlato alla configurazione della rete virtuale, seguire questa procedura per risolvere il problema.

Controllare la connettività TCP

Il primo passaggio include il controllo della connettività TCP con il sistema operativo Windows o Linux.

Windows

1. Scaricare TCping nel computer che si connette al cluster.

2. Effettuare il ping della destinazione dal computer di origine usando il comando seguente:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Installare netcat nel computer che si connette al cluster

   apt-get install netcat
   

2. Effettuare il ping della destinazione dal computer di origine usando il comando seguente:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Se il test non riesce, procedere con i passaggi seguenti. Se il test ha esito positivo, il problema non è dovuto a un problema di connettività TCP. Passare a Problemi operativi per risolvere altri problemi.

Controllare le regole del gruppo di sicurezza di rete

Verificare che il gruppo di sicurezza di rete collegato alla subnet del cluster disponga di una regola in ingresso che consenta l'accesso dall'INDIRIZZO IP del computer client per la porta 443.

Controllare che la tabella di route sia configurata per evitare problemi di accesso

Se la subnet del cluster è configurata per forzare il tunneling di tutto il traffico associato a Internet al firewall (subnet con una tabella di route che contiene la route predefinita '0.0.0.0/0'), assicurarsi che l'indirizzo IP del computer abbia una route con tipo di hop successivo a VirtualNetwork/Internet. Questa route è necessaria per evitare problemi di route asimmetriche.

Problemi di inserimento

Se si verificano problemi di inserimento e si sospetta che sia correlato alla configurazione della rete virtuale, seguire questa procedura.

Controllare l'integrità dell'inserimento

Verificare che le metriche di inserimento del cluster indichino uno stato integro.

Controllare le regole di sicurezza per le risorse dell'origine dati

Se le metriche indicano che non sono stati elaborati eventi dall'origine dati (metriche elaborate per eventi/hub IoT), assicurarsi che le risorse dell'origine dati (Hub eventi o archiviazione) consentano l'accesso dalla subnet del cluster nelle regole del firewall o negli endpoint di servizio.

Controllare le regole di sicurezza configurate nella subnet del cluster

Assicurarsi che la subnet del cluster abbia regole del firewall, UDR e gruppo di sicurezza di rete siano configurate correttamente. Inoltre, testare la connettività di rete per tutti gli endpoint dipendenti.

Problemi di creazione e operazioni del cluster

Se si verificano problemi di creazione o operazione del cluster e si sospetta che sia correlato alla configurazione della rete virtuale, seguire questa procedura per risolvere il problema.

Controllare la configurazione dei "server DNS"

Per configurare l'endpoint privato è necessario configurare DNS, è supportato solo l'installazione della zona DNS privato di Azure. La configurazione personalizzata del server DNS non è supportata, verificare che i record creati come parte dell'endpoint privato siano registrati nella zona di DNS privato di Azure.

Diagnosticare la rete virtuale con l'API REST

ARMClient viene usato per chiamare l'API REST usando PowerShell.

1. Accedere con ARMClient

   armclient login
   

2. Richiamare l'operazione di diagnosi

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Controllare la risposta

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Attendere il completamento dell'operazione

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Attendere che la proprietà status mostri Completed, quindi il campo delle proprietà deve essere visualizzato:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Se la proprietà Risultati mostra un risultato vuoto, significa che tutti i test di rete superati e nessuna connessione viene interrotta. Se viene visualizzato l'errore seguente, la dipendenza in uscita '{dependencyName}:{port}' potrebbe non essere soddisfatta (in uscita), il cluster non può raggiungere gli endpoint del servizio dipendenti. Procedere con i passaggi seguenti.

Controllare le regole NSG

Assicurarsi che il gruppo di sicurezza di rete sia configurato correttamente in base alle istruzioni in Configurare le regole del gruppo di sicurezza di rete.

Controllare che la tabella di route sia configurata per evitare problemi di inserimento

Se la subnet del cluster è configurata per forzare il tunneling di tutto il traffico associato a Internet al firewall (subnet con una tabella di route contenente la route predefinita "0.0.0.0/0") assicurarsi che gli indirizzi IP di gestione) e gli indirizzi IP di monitoraggio dell'integrità abbiano una route con tipo hop successivo Internet e il prefisso dell'indirizzo di origine su "management-ip/32" e "health-monitoring-ip/32". Questa route è necessaria per evitare problemi di route asimmetriche.

Controllare le regole del firewall

Se si forza il traffico in uscita della subnet del tunnel verso un firewall, assicurarsi che tutte le dipendenze FQDN (ad esempio, .blob.core.windows.net) siano consentite nella configurazione del firewall, come descritto in Proteggere il traffico in uscita con il firewall.

Problemi di sospensione del cluster

Se il cluster non viene sospeso, verificare che non siano presenti blocchi sulle risorse di rete nella sottoscrizione.