Dela via

Problem med virtuella nätverksinstallationer i Azure

  • Artikel

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Du kan uppleva problem med vm- eller VPN-anslutning och -fel när du använder en virtuell nätverksinstallation (NVA) från tredje part i Microsoft Azure. Den här artikeln innehåller grundläggande steg som hjälper dig att verifiera grundläggande Azure Platform-krav för NVA-konfigurationer.

Teknisk support för tredjeparts-NVA:er och deras integrering med Azure-plattformen tillhandahålls av NVA-leverantören.

Kommentar

Om du har ett anslutningsproblem eller routningsproblem som involverar en NVA bör du kontakta leverantören av NVA direkt.

Om ditt Azure-problem inte åtgärdas i den här artikeln går du till Azure-forumen på Microsoft Q &A och Stack Overflow. Du kan publicera ditt problem i dessa forum eller publicera till @AzureSupport på Twitter. Du kan också skicka en Azure-supportbegäran. Om du vill skicka en supportbegäran går du till azure-supportsidan och väljer Hämta support.

Checklista för felsökning med NVA-leverantör

  • Programuppdateringar för NVA VM-programvara
  • Konfiguration och funktioner för tjänstkonto
  • Användardefinierade vägar (UDR) i virtuella nätverksundernät som dirigerar trafik till NVA
  • UDR på virtuella nätverksundernät som dirigerar trafik från NVA
  • Routningstabeller och regler inom NVA (till exempel från NIC1 till NIC2)
  • Spårning på NVA-nätverkskort för att verifiera mottagande och sändning av nätverkstrafik
  • När du använder en standard-SKU och offentliga IP-adresser måste en NSG skapas och en explicit regel för att trafiken ska kunna dirigeras till NVA.

Grundläggande felsökningssteg

  • Kontrollera den grundläggande konfigurationen
  • Kontrollera NVA-prestanda
  • Avancerad nätverksfelsökning

Kontrollera minimikraven för konfiguration av NVA-enheter på Azure

Varje NVA har grundläggande konfigurationskrav för att fungera korrekt i Azure. Följande avsnitt innehåller stegen för att verifiera dessa grundläggande konfigurationer. Kontakta NVA-leverantören för mer information.

Kontrollera om IP-vidarebefordring är aktiverat på NVA

Använda Azure-portalen

  1. Leta upp NVA-resursen i Azure-portalen, välj Nätverk och välj sedan nätverksgränssnittet.
  2. På sidan Nätverksgränssnitt väljer du IP-konfiguration.
  3. Kontrollera att IP-vidarebefordran är aktiverat.

Använda PowerShell

  1. Öppna PowerShell och logga sedan in på ditt Azure-konto.

  2. Kör följande kommando (ersätt de hakparentesvärdena med din information):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>

  3. Markera egenskapen EnableIPForwarding .

  4. Om IP-vidarebefordran inte är aktiverat kör du följande kommandon för att aktivera det:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Sök efter NSG när du använder offentlig IP-adress för Standard SKU När du använder en standard-SKU och offentliga IP-adresser måste en NSG skapas och en explicit regel för att tillåta trafik till NVA.

Kontrollera om trafiken kan dirigeras till NVA

  1. Azure-portalen öppnar du Network Watcher väljer Nästa hopp.
  2. Ange en virtuell dator som är konfigurerad för att omdirigera trafiken till NVA och en mål-IP-adress som nästa hopp ska visas på.
  3. Om NVA inte visas som nästa hopp kontrollerar du och uppdaterar Azure-routningstabellerna.

Kontrollera om trafiken kan nå NVA

  1. I Azure-portalen öppnar du Network Watcher och väljer sedan Verifiera IP-flöde.
  2. Ange den virtuella datorn och IP-adressen för NVA och kontrollera sedan om trafiken blockeras av nätverkssäkerhetsgrupper (NSG).
  3. Om det finns en NSG-regel som blockerar trafiken letar du upp NSG:n i gällande säkerhetsregleroch uppdaterar den sedan så att trafiken kan passera. Kör sedan Verifiera IP-flöde och använd Felsökning av anslutning för att testa TCP-kommunikation från den virtuella datorn till din interna eller externa IP-adress.

Kontrollera om NVA och virtuella datorer lyssnar efter förväntad trafik

  1. Anslut till NVA med hjälp av RDP eller SSH och kör sedan följande kommando:

    För Windows:

    netstat -an

    För Linux:

    netstat -an | grep -i listen

  2. Om du inte ser den TCP-port som används av NVA-programvaran som anges i resultatet måste du konfigurera programmet på NVA och den virtuella datorn för att lyssna och svara på trafik som når dessa portar. Kontakta NVA-leverantören om du behöver hjälp.

Kontrollera NVA-prestanda

Verifiera VM-PROCESSOR

Om CPU-användningen blir nära 100 procent kan det uppstå problem som påverkar att nätverkspaketet sjunker. Den virtuella datorn rapporterar genomsnittlig CPU under ett visst tidsintervall i Azure-portalen. Under en CPU-topp undersöker du vilken process på den virtuella gästdatorn som orsakar den höga processorn och minimerar den om möjligt. Du kan också behöva ändra storlek på den virtuella datorn till en större SKU-storlek eller, för vm-skalningsuppsättning, öka antalet instanser eller ställa in på automatisk skalning av CPU-användning. Om du behöver hjälp med något av dessa problem kontaktar du NVA-leverantören.

Verifiera vm-nätverksstatistik

Om det virtuella datornätverket använder toppar eller visar perioder med hög användning kan du också behöva öka SKU-storleken på den virtuella datorn för att få funktioner för högre dataflöde. Du kan också distribuera om den virtuella datorn genom att aktivera accelererat nätverk. Om du vill kontrollera om NVA stöder funktionen Accelererat nätverk kontaktar du NVA-leverantören om du behöver hjälp.

Avancerad felsökning för nätverksadministratörer

Hämta nätverksspårning

Samla in en samtidig nätverksspårning på den virtuella källdatorn, NVA och den virtuella måldatorn medan du kör PsPing eller Nmap och stoppa sedan spårningen.

  1. Kör följande kommando för att samla in en samtidig nätverksspårning:

    För Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    För Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Använd PsPing eller Nmap från den virtuella källdatorn till den virtuella måldatorn (till exempel: PsPing 10.0.0.4:80 eller Nmap -p 80 10.0.0.4).

  3. Öppna nätverksspårningen från den virtuella måldatorn med hjälp av Nätverksövervakaren eller tcpdump. Använd ett visningsfilter för IP-adressen för den virtuella källdatorn som du körde PsPing eller Nmap från, till exempel IPv4.address==10.0.0.4 (Windows netmon) eller tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

Analysera spårningar

Om du inte ser paketen som inkommandes till spårningen av den virtuella serverdelsdatorn är det troligt att en NSG eller UDR stör eller att NVA-routningstabellerna är felaktiga.

Om du ser att paket, men inget svar, kommer in kan du behöva åtgärda problem med ett program på den virtuella datorn eller med brandväggen. För något av dessa problem kontaktar du NVA-leverantören för hjälp efter behov.