你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对 Azure 负载均衡器进行故障排除
本文提供了关于 Azure 负载均衡器(基本层和标准层)常见问题的故障排除信息。 有关标准负载均衡器的详细信息,请参阅标准负载均衡器概述。
当负载均衡器的连接不可用时,最常见的现象是:
- 负载均衡器后面的虚拟机 (VM) 不响应运行状况探测。
- 负载均衡器后面的 VM 不响应已配置端口上的流量。
当后端 VM 的外部客户端通过负载均衡器时,会使用客户端的 IP 地址进行通信。 确保客户端的 IP 地址已添加到网络安全组 (NSG) 允许列表。
问题:没有来自标准内部负载均衡器的出站连接
验证及解决方法
标准内部负载均衡器 (ILB) 具有默认安全功能。 基本 ILB 允许通过名为默认出站访问 IP 的隐藏公共 IP 地址连接到 Internet。 对于生产工作负载,建议不要通过默认出站访问 IP 进行连接,因为该 IP 地址不是静态的,也未通过你拥有的网络安全组进行锁定。
如果你最近从基本 ILB 移动到标准 ILB,并且需要从 VM 向 Internet 的出站连接,则可在子网上配置 Azure NAT 网关。 对于生产场景中的所有出站访问,建议使用 NAT 网关。
问题:没有向标准外部负载均衡器的入站连接
原因
标准负载均衡器和标准公共 IP 地址不接受入站连接,除非由网络安全组打开。 使用 NSG 显式批准允许的流量。 必须配置 NSG 以显式批准允许的流量。 如果 VM 资源的子网或网络适配卡 (NIC) 上没有 NSG,则流量将无法到达该资源。
解决方法
若要允许入口流量,请将网络安全组添加到虚拟资源的子网或接口。
问题:无法更改已在后端池中部署了虚拟机规模集的负载均衡器的现有负载均衡规则的后端端口
原因
在负载均衡器配置有虚拟机规模集时,如果负载均衡规则的后端端口与运行状况探测相关联,则不能修改该端口。
解决方法
若要更改该端口,可删除运行状况探测。 更新该虚拟机规模集,更新该端口,然后再次配置运行状况探测。
问题:从后端池中删除 VM 后,仍有少量流量通过负载均衡器
原因
从负载均衡器的后端池中删除的 VM 不应再接收流量。 少量的网络流量可能与 Azure 中的存储、域名系统 (DNS) 和其他功能有关。
解决方法
若要进行验证,可以执行网络跟踪。 每个存储帐户的属性列出了 Blob 存储帐户的完全限定的域名 (FQDN)。 在 Azure 订阅中的虚拟机上,可以执行 nslookup 以确定分配给该存储帐户的 Azure IP。
问题:处于失败状态的负载均衡器
解决方法
- 转到 Azure 资源浏览器并确认处于失败状态的资源。
- 将右上角的切换更新为“读/写”。
- 对处于失败状态的资源选择“编辑”。
- 选择“PUT”,然后选择“GET”,以确保预配状态已更新为“成功”。
可继续执行其他操作,因为该资源不再处于失败状态。
支持票证的网络捕获
如果前述解决方法无法解决问题,请开具支持票证。
如果决定开具支持票证,请收集网络捕获以更快地解决问题。 选择单个后端 VM 执行下列测试:
- 使用来自虚拟网络中一个后端 VM 的
ps ping来测试探测端口响应(例如ps ping 10.0.0.4:3389)并记录结果。 - 如果在 ping 测试中未收到响应,请在运行 PsPing 时,在后端 VM 和虚拟网络测试 VM 上同时运行 Netsh 跟踪。 然后,停止 Netsh 跟踪。