Устранение проблем с подключением к частной конечной точке Azure
В этой статье приводится пошаговое руководство по проверке и диагностике настройки подключения для частной конечной точки Azure.
Частная конечная точка Azure — это сетевой интерфейс, который обеспечивает защищенное частное подключение к службе с поддержкой приватного канала. Это решение помогает защитить рабочие нагрузки в Azure, обеспечивая частное подключение к ресурсам службы Azure из виртуальной сети. Это решение эффективно переносит эти службы в виртуальную сеть.
Ниже приведены сценарии подключения, доступные через частную конечную точку.
Виртуальная сеть из того же региона
Виртуальные сети с региональным пирингом
Виртуальные сети с глобальным пирингом
Локальные сети клиента, доступные через VPN или каналы Azure ExpressRoute.
Диагностика проблем с подключением
Для устранения проблем с подключением при настройке частной конечной точки выполните указанные ниже шаги, чтобы должным образом задать все стандартные конфигурации.
Просмотрите конфигурацию частной конечной точки, просматривая ресурс.
a. Перейдите в Центр Приватного канала.
b. В области слева выберите Частные конечные точки.
c. Выполните фильтрацию и выберите частную конечную точку, для которой необходимо выполнить диагностику.
d. Проверьте сведения о виртуальной сети и DNS.
Убедитесь, что для подключения задано состояние Утверждено.
Убедитесь, что виртуальная машина подключена к виртуальной сети, в которой размещены частные конечные точки.
Убедитесь, что указаны сведения о полном доменном имени (копия) и частный IP-адрес.
Используйте Azure Monitor, чтобы узнать, передаются ли данные.
a. В ресурсе частной конечной точки выберите Метрики.
Выберите Байты входящего трафика или Байты исходящего трафика.
Проверьте, передаются ли данные при попытке подключения к частной конечной точке. Задержка будет составлять около 10 минут.
Используйте средство устранения неполадок подключения к виртуальной машине из Наблюдателя за сетями Azure.
a. Выберите клиентскую виртуальную машину.
b. Выберите устранение неполадок подключения и перейдите на вкладку Исходящие подключения.
c. Выберите Использовать Наблюдатель за сетями для подробной трассировки подключения.
d. Выберите Test by FQDN (Проверить по полному доменному имени).
Вставьте полное доменное имя из ресурса частной конечной точки.
Укажите порт. Как правило, для службы хранилища Azure и Azure Cosmos DB используется порт 443, а для SQL — 1336.
д) Выберите Тест и проверьте результаты теста.
Для разрешения DNS в результатах теста частной конечной точке должен быть назначен тот же частный IP-адрес.
a. Если параметры DNS неверны, выполните следующие действия.
При использовании частной зоны:
Убедитесь, что виртуальная сеть клиентской виртуальной машины связана с частной зоной.
Проверьте, существует ли запись частной зоны DNS. Если она отсутствует, создайте ее.
При использование пользовательской службы DNS:
- Проверьте параметры пользовательской службы DNS и убедитесь в правильности конфигурации DNS. Инструкции см. в обзоре частных конечных точек, в разделе "Конфигурация DNS".
b. Если подключение завершается сбоем из-за групп безопасности сети или определяемых пользователем маршрутов, сделайте следующее.
Проверьте правила исходящего трафика группы безопасности сети и создайте соответствующие правила для исходящего трафика, чтобы разрешить трафик.
Исходная виртуальная машина должна иметь маршрут к IP-адресу частной конечной точки следующего прыжка в качестве InterfaceEndpoints в эффективных маршрутах сетевого интерфейса.
a. Если вы не можете просмотреть маршрут частной конечной точки на исходной виртуальной машине, проверьте, не удалось ли
Исходная виртуальная машина и частная конечная точка являются частью одной виртуальной сети. Если да, необходимо обратиться в службу поддержки.
Исходная виртуальная машина и частная конечная точка являются частью различных виртуальных сетей, которые напрямую пиринговые между собой. Если да, необходимо обратиться в службу поддержки.
Исходная виртуальная машина и частная конечная точка являются частью разных виртуальных сетей, которые напрямую не пиринговы друг с другом, а затем проверяют ip-подключение между виртуальными сетями.
Если результаты проверки подключения верны, проблема с подключением может быть связана с другими аспектами, например секретами, токенами и пароли на уровне приложения.
- В этом случае проверьте конфигурацию ресурса приватного канала, связанного с частной конечной точкой. Дополнительные сведения см. в руководстве по устранению неполадок Приватного канала Azure.
Прежде чем отправлять запрос в службу поддержки, рекомендуется сузить область поиска ее причины.
a. Если источник находится в локальной среде, подключение к частной конечной точке в Azure с проблемами, выполните следующие действия.
Попробуйте подключиться к другой виртуальной машине из локальной среды. Проверьте, подключен ли IP-адрес к виртуальной сети из локальной среды.
Попробуйте подключиться из виртуальной машины в виртуальной сети к частной конечной точке.
b. Если источником является Azure, а частная конечная точка находится в другой виртуальной сети, то:
Попробуйте подключиться к частной конечной точке из другого источника. Подключився из другого источника, вы можете изолировать любые проблемы, связанные с виртуальной машиной.
Попробуйте подключиться к любой виртуальной машине, которая является частью одной виртуальной сети частной конечной точки.
Если частная конечная точка связана с службой Приватный канал, связанной с подсистемой балансировки нагрузки, проверьте работоспособность внутреннего пула. Исправление работоспособности подсистемы балансировки нагрузки устраняет проблему при подключении к частной конечной точке.
Вы можете просмотреть визуальную схему или представление ресурсов связанных ресурсов, метрик и аналитических сведений, перейдя в следующее:
Azure Monitor
Сети
Частные конечные точки
Представление ресурсов
Если проблема с подключением не устранена, обратитесь в Службу поддержки Azure.