Solucionar problemas de acesso, ingestão e operação do cluster do Azure Data Explorer na rede virtual
Aviso
A injeção de rede virtual será desativada para o Azure Data Explorer até 1º de fevereiro de 2025. Para obter mais informações sobre a substituição, consulte Substituição da injeção de rede virtual do Azure Data Explorer.
Nesta seção, você aprenderá a solucionar problemas de conectividade, operações e criação de um cluster implantado em sua rede virtual.
Problemas de acesso
Se você tiver problemas para acessar o cluster usando o ponto de extremidade público (cluster.region.kusto.windows.net) ou privado (private-cluster.region.kusto.windows.net) e suspeitar que isso tem relação com a configuração da rede virtual, execute as etapas a seguir para solucionar o problema.
Verificar a conectividade TCP
A primeira etapa inclui a verificação da conectividade TCP usando o sistema operacional Windows ou Linux.
Baixe o TCping no computador que está se conectando com o cluster.
Execute ping do computador de origem para o destino usando o seguinte comando:
C:\> tcping -t yourcluster.kusto.windows.net 443 ** Pinging continuously. Press control-c to stop ** Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
Se o teste não for bem-sucedido, prossiga para as etapas a seguir. Se o teste for bem-sucedido, o motivo não será um problema de conectividade TCP. Acesse problemas operacionais para se aprofundar na solução de problemas.
Verificar regras NSG (grupo de segurança de rede)
Verifique se o NSG anexado à sub-rede do cluster tem uma regra de entrada que permite o acesso do IP do computador cliente à porta 443.
Verifique se a tabela de rotas está configurada para evitar problemas de acesso
Se a sub-rede do cluster for configurada para forçar o túnel de todo o tráfego vinculado à Internet de volta para o seu firewall (sub-rede com uma tabela de rotas que contém a rota padrão '0.0.0.0/0'), verifique se o endereço IP do computador tem uma rota com o tipo de próximo salto para VirtualNetwork/Internet. Essa rota é necessária para evitar problemas de rota assimétrica.
Problemas de ingestão
Se você estiver com problemas de ingestão e suspeitar que eles estejam relacionados à configuração da rede virtual, execute as etapas a seguir.
Verificar a integridade da ingestão
Verifique se as métricas de ingestão do cluster indicam um estado íntegro.
Verificar as regras de segurança nos recursos de fonte de dados
Se as métricas indicarem que não foi processado nenhum evento da fonte de dados (métrica de Eventos processados dos Hubs de Evento ou do Hub IoT), verifique se os recursos de fonte de dados (Hubs de Eventos ou armazenamento) permitem o acesso da sub-rede do cluster nas regras de firewall ou nos pontos de extremidade de serviço.
Verificar as regras de segurança configuradas na sub-rede do cluster
Verifique se a sub-rede do cluster tem regras de NSG, UDR e firewall configuradas corretamente. Além disso, teste a conectividade de rede de todos os pontos de extremidade dependentes.
Problemas de criação e de operações de cluster
Se você estiver com problemas de criação ou operação de cluster e suspeitar que eles estejam relacionados à configuração da rede virtual, siga estas etapas para solucionar o problema.
Verificar a configuração dos "servidores DNS"
A configuração do ponto de extremidade privado requer a configuração do DNS, nós damos suporte apenas à configuração da zona de DNS privado do Azure. Não há suporte para a configuração do servidor DNS personalizado. Verifique se os registros que foram criados como parte do ponto de extremidade privado estão registrados na zona DNS privada do Azure.
Diagnosticar a rede virtual com a API REST
O ARMClient é usado para chamar a API REST usando o PowerShell.
Entrar com o ARMClient
armclient login
Invocar operação de diagnóstico
$subscriptionId = '<subscription id>' $clusterName = '<name of cluster>' $resourceGroupName = '<resource group name>' $apiversion = '2019-11-09' armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
Verifique a resposta
HTTP/1.1 202 Accepted ... Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09 ...
Aguardar a conclusão da operação
armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09 { "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}", "name": "{operation-name}", "status": "[Running/Failed/Completed]", "startTime": "{start-time}", "endTime": "{end-time}", "properties": {...} }
Aguarde até que a propriedade status mostre Completed, depois, o campo properties exibirá:
{ "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}", "name": "{operation-name}", "status": "Completed", "startTime": "{start-time}", "endTime": "{end-time}", "properties": { "Findings": [...] } }
Se a propriedade Findings mostrar um resultado vazio, todos os testes de rede terão sido aprovados e nenhuma conexão estará interrompida. Se o seguinte erro for mostrado: A dependência de saída '{dependencyName}:{port}' pode não estar satisfeita (Saída), o cluster não poderá acessar os pontos de extremidade de serviço dependentes. Prossiga com as etapas a seguir.
Verificar regras do NSG
Verifique se o NSG está configurado corretamente de acordo com as instruções em Configurar regras do Grupo de Segurança de Rede.
Verifique se a tabela de rotas está configurada para evitar problemas de ingestão
Se a sub-rede do cluster estiver configurada para forçar por túnel todo o tráfego vinculado à Internet de volta para o seu firewall (sub-rede com uma tabela de rotas que contém a rota padrão ‘0.0.0.0/0’), verifique se os endereços IP de gerenciamento e os endereços IP de monitoramento de integridade têm uma rota com o tipo de próximo salto como Internet e o prefixo de endereço de origem como ‘management-ip/32’ e ‘health-monitoring-ip/32’. Essa rota é necessária para evitar problemas de rota assimétrica.
Verificar regras de firewall
Se você forçar o túnel do tráfego de saída da sub-rede para um firewall, verifique se os FQDNs de todas as dependências (por exemplo, .blob.core.windows.net) são permitidos na configuração do firewall, conforme a descrição em Como proteger o tráfego de saída com o firewall.
Problemas de suspensão do cluster
Se o cluster não for suspenso, confirme se não há bloqueios nos recursos de rede em sua assinatura.