Problémy se síťovým virtuálním zařízením v AzureNetwork virtual appliance issues in Azure

Poznámka

Tento článek byl aktualizován, aby používal nový Azure PowerShell AZ Module.This article has been updated to use the new Azure PowerShell Az module. Stále můžete používat modul AzureRM, který bude dál přijímat opravy chyb, dokud nebude aspoň 2020. prosince.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o novém rozhraní AZ Module a AzureRM Compatibility najdete v tématu představení nového Azure PowerShell AZ Module.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci přidaných modulů najdete v tématu Install Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Může docházet virtuálního počítače nebo problémy s připojením VPN a chyb při použití třetí strany síťové virtuální zařízení (NVA) ve službě Microsoft Azure.You may experience VM or VPN connectivity issues and errors when using a third party Network Virtual Appliance (NVA) in Microsoft Azure. Tento článek popisuje základní kroky pro ověření základní požadavky na platformu Azure pro konfigurace síťového virtuálního zařízení.This article provides basic steps to help you validate basic Azure Platform requirements for NVA configurations.

Technická podpora pro dodavatelů síťových virtuálních zařízení a jejich integrace s platformou Azure je poskytován dodavatelem síťového virtuálního zařízení.Technical support for third-party NVAs and their integration with the Azure platform is provided by the NVA vendor.

Poznámka

Pokud máte připojení nebo směrováním, která zahrnuje síťové virtuální zařízení, měli byste obraťte se na dodavatele síťové virtuální zařízení přímo.If you have a connectivity or routing problem that involves an NVA, you should contact the vendor of the NVA directly.

Pokud váš problém s Azure není v tomto článku řešen, navštivte fóra Azure na webu MSDN a Stack Overflow.If your Azure issue is not addressed in this article, visit the Azure forums on MSDN and Stack Overflow. Svůj problém můžete vystavit na těchto fórech nebo odeslat @AzureSupport na Twitter.You can post your issue in these forums, or post to @AzureSupport on Twitter. Můžete také odeslat žádost o podporu Azure.You also can submit an Azure support request. Pokud chcete odeslat žádost o podporu, vyberte na stránce podpory Azure možnost získat podporu.To submit a support request, on the Azure support page, select Get support.

Kontrolní seznam pro řešení potíží s dodavatelem síťového virtuálního zařízeníChecklist for troubleshooting with NVA vendor

  • Aktualizace softwaru pro virtuální počítač s NVA softwaruSoftware updates for NVA VM software
  • Nastavení účtu služby a funkceService Account setup and functionality
  • Trasy definované uživatelem (udr) v podsítích virtuální sítě, které směrovat provoz do síťových virtuálních zařízeníUser-defined routes (UDRs) on virtual network subnets that direct traffic to NVA
  • Trasy definované uživatelem v podsítích virtuální sítě, které směrování provozu od síťového virtuálního zařízeníUDRs on virtual network subnets that direct traffic from NVA
  • Směrovací tabulky a pravidel v rámci síťové virtuální zařízení (např. z NIC1 k NIC2)Routing tables and rules within the NVA (for example, from NIC1 to NIC2)
  • Trasování na síťových adaptérů síťové virtuální zařízení chcete ověřit přijímání a odesílání síťového provozuTracing on NVA NICs to verify receiving and sending network traffic
  • Při použití standardní SKU a veřejné IP adresy, musí existovat skupina zabezpečení sítě vytvořené a explicitní pravidla provoz směrovat do síťového virtuálního zařízení.When using a Standard SKU and Public IPs, there must be an NSG created and an explicit rule to allow the traffic to be routed to the NVA.

Základní postup řešení potížíBasic troubleshooting steps

  • Zkontrolovat základní konfiguraceCheck the basic configuration
  • Kontrola výkonu síťového virtuálního zařízeníCheck NVA performance
  • Řešení potíží s rozšířeného sítěAdvanced network troubleshooting

Zkontrolujte požadavky na minimální konfiguraci pro síťová virtuální zařízení v AzureCheck the minimum configuration requirements for NVAs on Azure

Každé síťové virtuální zařízení má požadavky na konfiguraci základní správné fungování v Azure.Each NVA has basic configuration requirements to function correctly on Azure. Následující část obsahuje kroky k ověření tyto základní konfigurace.The following section provides the steps to verify these basic configurations. Další informace najdete obraťte se na dodavatele síťové virtuální zařízení.For more information, contact the vendor of the NVA.

Zkontrolujte, jestli je povolené předávání IP na síťové virtuální zařízeníCheck whether IP forwarding is enabled on NVA

Použití webu Azure PortalUse Azure portal

  1. Vyhledejte prostředek síťového virtuálního zařízení v webu Azure portal, vyberte sítě a pak vyberte síťové rozhraní.Locate the NVA resource in the Azure portal, select Networking, and then select the Network interface.
  2. Na stránce rozhraní sítě vyberte konfigurace IP adresy.On the Network interface page, select IP configuration.
  3. Ujistěte se, že je povolené předávání IP.Make sure that IP forwarding is enabled.

Použití prostředí PowerShellUse PowerShell

  1. Otevřete PowerShell a pak se přihlaste ke svému účtu Azure.Open PowerShell and then sign in to your Azure account.

  2. Spuštěním následujícího příkazu (s informacemi o nahraďte hodnoty v závorkách):Run the following command (replace the bracketed values with your information):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
    
  3. Zkontrolujte, EnableIPForwarding vlastnost.Check the EnableIPForwarding property.

  4. Pokud není povolené předávání IP, spusťte následující příkazy, aby je:If IP forwarding is not enabled, run the following commands to enable it:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
    $nic2.EnableIPForwarding = 1
    Set-AzNetworkInterface -NetworkInterface $nic2
    Execute: $nic2 #and check for an expected output:
    EnableIPForwarding   : True
    NetworkSecurityGroup : null
    

Zkontrolujte skupiny zabezpečení sítě při použití standardní SKU Pubilc IP při použití standardní SKU a veřejné IP adresy, musí existovat skupina zabezpečení sítě vytvořené a explicitní pravidla umožňují provoz na síťové virtuální zařízení.Check for NSG when using Standard SKU Pubilc IP When using a Standard SKU and Public IPs, there must be an NSG created and an explicit rule to allow the traffic to the NVA.

Zkontrolujte, zda je možné směrovat provoz do síťového virtuálního zařízeníCheck whether the traffic can be routed to the NVA

  1. Na webu Azure portal, otevřete Network Watchervyberte dalšího segmentu směrování.On Azure portal, open Network Watcher, select Next Hop.
  2. Zadejte virtuální počítač, který je nakonfigurovaný přesměrovat provoz na síťové virtuální zařízení a cílová IP adresa, na který chcete zobrazit další segment směrování.Specify a VM that is configured to redirect the traffic to the NVA, and a destination IP address at which to view the next hop.
  3. Pokud síťové virtuální zařízení není nastavena dalšího segmentu směrování, zkontrolujte a aktualizujte směrovací tabulky Azure.If the NVA is not listed as the next hop, check and update the Azure route tables.

Zkontrolujte, jestli provoz se může spojit síťové virtuální zařízeníCheck whether the traffic can reach the NVA

  1. V webu Azure portal, otevřete Network Watchera pak vyberte IP tok ověřit.In Azure portal, open Network Watcher, and then select IP Flow Verify.
  2. Zadejte virtuální počítač a IP adresu síťové virtuální zařízení a potom zkontrolujte, jestli provoz blokuje všechny skupiny zabezpečení sítě (NSG).Specify the VM and the IP address of the NVA, and then check whether the traffic is blocked by any Network security groups (NSG).
  3. Pokud je pravidlo NSG, které blokuje provoz, vyhledejte NSG v efektivní zabezpečení pravidla a pak aktualizujte ji, aby povolit průchod přenosů.If there is an NSG rule that blocks the traffic, locate the NSG in effective security rules and then update it to allow traffic to pass. Potom spusťte IP tok ověřit znovu a použijte řešení potíží s připojením otestovat komunikaci TCP z virtuálního počítače na interní nebo externí IP adresu.Then run IP Flow Verify again and use Connection troubleshoot to test TCP communications from VM to your internal or external IP address.

Zkontrolujte, zda síťové virtuální zařízení a virtuální počítače naslouchají očekávaném provozuCheck whether NVA and VMs are listening for expected traffic

  1. Připojit k síťové virtuální zařízení pomocí protokolu RDP nebo SSH a pak spusťte následující příkaz:Connect to the NVA by using RDP or SSH, and then run following command:

    Ve Windows:For Windows:

     netstat -an
    

    Pro Linux:For Linux:

     netstat -an | grep -i listen
    
  2. Pokud nevidíte v portu TCP, který je používán síťové virtuální zařízení software, který je uvedený ve výsledcích musíte nakonfigurovat aplikaci na síťové virtuální zařízení a virtuální počítač přijímat a reagovat na provoz, kterou půjde používat tyto porty.If you don't see the TCP port that's used by the NVA software that's listed in the results you must configure the application on the NVA and VM to listen and respond to traffic that reaches those ports. Požádejte o pomoc dodavatele síťové virtuální zařízení podle potřeby.Contact the NVA vendor for assistance as needed.

Kontrola výkonu síťového virtuálního zařízeníCheck NVA Performance

Ověření procesoru virtuálního počítačeValidate VM CPU

Pokud využití procesoru blíží 100 % jeho obsahu, může docházet k problémům, které ovlivňují drops síťových paketů.If CPU usage gets close to 100 percent, you may experience issues that affect network packet drops. Sestavy virtuálního počítače průměrné využití procesoru pro konkrétní časové období na webu Azure Portal.Your VM reports average CPU for a specific time span in the Azure portal. Během špička využití procesoru prozkoumejte proces, který na hostovaný virtuální počítač je příčinou vysoké využití procesoru a zmírnit, pokud je to možné.During a CPU spike, investigate which process on the guest VM is causing the high CPU, and mitigate it, if possible. Budete také muset změnit velikost virtuálního počítače na větší velikost SKU nebo pro škálovací sadu virtuálních počítačů, zvýšení počtu instancí nebo nastavení automatického škálování na využití procesoru.You may also have to resize the VM to a larger SKU size or, for virtual machine scale set, increase the instance count or set to auto-scale on CPU usage. Pro žádnou z těchto problémů požádat o pomoc dodavatele síťové virtuální zařízení, podle potřeby.For either of these issues, contact the NVA vendor for assistance, as needed.

Ověření statistiky síť virtuálních počítačůValidate VM Network statistics

Pokud používáte síť virtuálních počítačů špičky nebo zobrazí období vysokého využití, že možná budete také muset zvýšit velikost SKU virtuálního počítače na získání vyšší propustnost možnosti.If the VM network use spikes or shows periods of high usage, you may also have to increase the SKU size of the VM to obtain higher throughput capabilities. Můžete také znovu nasadit virtuální počítač tak, že Akcelerovanými síťovými službami povolena.You can also redeploy the VM by having Accelerated Networking enabled. Chcete-li ověřit, zda síťové virtuální zařízení podporuje akcelerované síťové funkce požádat o pomoc dodavatele síťové virtuální zařízení, podle potřeby.To verify whether the NVA supports Accelerated Networking feature, contact the NVA vendor for assistance, as needed.

Řešení potíží s správce rozšířeného sítěAdvanced network administrator troubleshooting

Zachycení síťových trasováníCapture network trace

Zaznamenání současné trasování sítě do zdrojových virtuálních počítačů, síťové virtuální zařízení a cílového virtuálního počítače při spuštění PsPing nebo Nmapa potom toto trasování zastavte.Capture a simultaneous network trace on the source VM, the NVA, and the destination VM while you run PsPing or Nmap, and then stop the trace.

  1. K zachycení současné trasování sítě, spusťte následující příkaz:To capture a simultaneous network trace, run the following command:

    Pro WindowsFor Windows

    netsh trace start capture = yes tracefile=c:\server_IP.etl scenario = netconnectionnetsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Pro LinuxFor Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.capsudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Použití PsPing nebo Nmap ze zdrojového virtuálního počítače na cílovém virtuálním počítači (například: PsPing 10.0.0.4:80 nebo Nmap -p 80 10.0.0.4).Use PsPing or Nmap from the source VM to the destination VM (for example: PsPing 10.0.0.4:80 or Nmap -p 80 10.0.0.4).

  3. Otevřete trasování sítě z cílového virtuálního počítače s použitím sledování sítě nebo tcpdump.Open the network trace from the destination VM by using Network Monitor or tcpdump. Použijte filtr zobrazení pro IP adresu zdrojového virtuálního počítače jste spustili PsPing nebo Nmap , jako například IPv4.address==10.0.0.4 (Windows netmon) nebo tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).Apply a display filter for the IP of the Source VM you ran PsPing or Nmap from, such as IPv4.address==10.0.0.4 (Windows netmon) or tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

Analyzovat trasováníAnalyze traces

Pokud nevidíte příchozí pakety pro trasování virtuálního počítače back-endu, pravděpodobně je skupina zabezpečení sítě nebo UDR překáží nebo směrovacích tabulek síťové virtuální zařízení jsou nesprávná.If you do not see the packets incoming to the backend VM trace, there is likely an NSG or UDR interfering or the NVA routing tables are incorrect.

Pokud se příchozí balíčky zobrazují, ale bezu odpovědi, pravděpodobně budete muset řešit potíže s bránou firewall nebo aplikací virtuálního počítače.If you do see the packets coming in but no response, then you may need to address a VM application or a firewall issue. Pro žádnou z těchto problémů požádat o pomoc dodavatele síťové virtuální zařízení podle potřeby.For either of these issues, contact the NVA vendor for assistance as needed.