Поделиться через

Устранение неполадок подключений к конечным точкам в одной виртуальной сети

  • Статья

В этой статье описывается устранение неполадок подключений к конечным точкам в одной виртуальной сети из кластера Microsoft Служба Azure Kubernetes (AKS).

Контрольный список по устранению неполадок

Контрольный список устранения неполадок охватывает подключения к следующим элементам:

  • Виртуальные машины (виртуальные машины) или конечные точки в одной подсети или другой подсети

  • Виртуальные машины или конечные точки в одноранговой виртуальной сети

  • Частные конечные точки

Шаг 1. Выполнение основных действий по устранению неполадок

Убедитесь, что вы можете подключиться к конечным точкам. Инструкции см. в статье "Основные способы устранения неполадок исходящих подключений к кластеру AKS".

Шаг 2. Проверка наличия частных конечных точек

Если подключение проходит через частную конечную точку, следуйте инструкциям в статье "Устранение неполадок с подключением к частной конечной точке Azure".

Шаг 3. Проверка пиринга виртуальной сети

Если подключение использует пиринг между виртуальными сетями, следуйте инструкциям в статье "Устранение проблемы с подключением между двумя одноранговых виртуальных сетей".

Шаг 4. Проверьте, блокирует ли группа безопасности сети AKS трафик в сценарии исходящего трафика

Чтобы использовать AKS для проверки групп безопасности сети (NSG) и связанных с ними правил, выполните следующие действия.

  1. В портал Azure найдите и выберите масштабируемые наборы виртуальных машин.

  2. В списке экземпляров масштабируемого набора выберите экземпляр, который вы используете.

  3. В области меню экземпляра масштабируемого набора выберите "Сеть".

    Откроется страница Сеть для экземпляра масштабируемого набора. На вкладке правил исходящего порта отображаются два набора правил. Эти наборы правил основаны на двух группах безопасности сети, которые действуют в экземпляре масштабируемого набора. В следующей таблице описаны наборы правил.

    Уровень правила NSG Имя правила NSG Подключено к следующему Примечания
    Подсеть <my-aks-nsg> <Подсеть my-aks-subnet> Довольно часто кластер AKS использует пользовательскую виртуальную сеть и пользовательскую подсеть.
    Сетевой адаптер aks-agentpool-agentpool-number-nsg<> Сетевой интерфейс aks-agentpool-vm-scale-set-number-vmss<> Эту группу безопасности сети применяет кластер AKS, а управляет ею служба AKS.

По умолчанию трафик исходящего трафика разрешен в группах безопасности сети. Однако в некоторых сценариях пользовательская группа безопасности сети, связанная с подсетью AKS, может иметь правило запрета , которое имеет более срочный приоритет. Это правило останавливает трафик к некоторым конечным точкам.

AKS не изменяет правила исходящего трафика в группе безопасности сети. Если AKS использует пользовательскую группу безопасности сети, убедитесь, что она разрешает исходящий трафик для конечных точек на правильном порту и протоколе. Чтобы убедиться, что кластер AKS работает должным образом, убедитесь, что исходящий трафик для настраиваемых групп безопасности сети разрешает обязательные правила исходящей сети для кластеров AKS.

Пользовательские группы безопасности сети могут напрямую влиять на исходящий трафик, блокируя правила исходящего трафика. Они также могут влиять на исходящий трафик косвенно. Дополнительные сведения см. в разделе "Пользовательская группа безопасности сети" блокирует трафик.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.