Behandeln von Problemen mit virtuellen Netzwerkgeräten
Unter Umständen treten Verbindungsprobleme bei virtuellen Computern oder VPNs auf, die ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) in Azure Stack Hub verwenden.
Dieser Artikel hilft bei der Überprüfung der grundlegenden Anforderungen an die Azure Stack Hub-Plattform für NVA-Konfigurationen.
Der Anbieter eines NVA bietet technischen Support für das virtuelle Netzwerkgerät und seine Integration in die Azure Stack Hub-Plattform.
Hinweis
Bei einem Konnektivitäts- oder Routingproblem, das ein NVA betrifft, sollten Sie sich direkt an den NVA-Anbieter wenden.
Wird Ihr NVA-Problem mit Azure Stack Hub in diesem Artikel nicht behandelt, erstellen Sie ein Azure Stack Hub-Supportticket.
Checkliste für die Problembehandlung mit einem NVA-Anbieter
- Updates für NVA-VM-Software
- Einrichtung und Funktionalität von Dienstkonten
- Benutzerdefinierte Routen (User-Defined Routes, UDRs) in Subnetzen virtueller Netzwerke, die Datenverkehr an das NVA weiterleiten
- UDRs in Subnetzen virtueller Netzwerke, die Datenverkehr von einem NVA weiterleiten
- Weiterleiten von Tabellen und Regeln im NVA (z. B. von NIC1 an NIC2)
- Ablaufverfolgung für NVA-NICs, um das Empfangen und Senden von Netzwerkdatenverkehr zu überprüfen
Grundlegende Schritte zur Problembehandlung
- Überprüfen der grundlegenden Konfiguration
- Überprüfen der NVA-Leistung
- Erweiterte Behandlung von Netzwerkproblemen
Überprüfen der Mindestanforderungen für die Konfiguration von NVAs in Azure
Für jedes NVA müssen grundlegende Konfigurationsanforderungen erfüllt werden, damit es ordnungsgemäß in Azure Stack Hub ausgeführt werden kann. Der folgende Abschnitt enthält die Schritte zum Überprüfen dieser grundlegenden Konfigurationen. Weitere Informationen erhalten Sie vom NVA-Anbieter.
Wichtig
Wenn Pakete einen S2S-Tunnel nutzen, werden sie mit zusätzlichen Headern weiter gekapselt. Durch diese Kapselung vergrößern sich die einzelnen Pakete insgesamt.
In diesem Szenario müssen Sie TCP MSS mit 1,350 Byte verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen den MTU-Wert der Tunnelschnittstelle auf 1.400 Byte festlegen.
Weitere Informationen finden Sie unter Optimierung der TCP/IP-Leistung für Azure-VMs.
Überprüfen, ob die IP-Weiterleitung für das NVA aktiviert ist
- Suchen Sie die NVA-Ressource im Azure Stack Hub-Portal, und wählen Sie Netzwerke und dann die Netzwerkschnittstelle aus.
- Wählen Sie auf der Seite Netzwerkschnittstelle die Option IP-Konfiguration aus.
- Stellen Sie sicher, dass IP-Weiterleitung aktiviert ist.
Überprüfen, ob der Datenverkehr an das NVA weitergeleitet werden kann
- Suchen Sie einen virtuellen Computer, der zum Umleiten des Datenverkehrs an das virtuelle Netzwerkgerät konfiguriert ist.
- Um zu überprüfen, ob es sich beim NVA um den nächsten Hop handelt, führen Sie
Tracert <Private IP of NVA>
für Windows oderTraceroute <Private IP of NVA>
aus. - Wenn das NVA nicht als nächster Hop aufgeführt ist, überprüfen und aktualisieren Sie die Azure Stack Hub-Routingtabellen.
Einige Betriebssysteme auf Gastebene verfügen möglicherweise über Firewallrichtlinien zum Blockieren von ICMP-Datenverkehr. Aktualisieren Sie diese Firewallregeln, damit die vorangehenden Befehle funktionieren.
Überprüfen, ob der Datenverkehr das NVA erreichen kann
- Suchen Sie einen virtuellen Computer, der mit dem NVA verbunden sein sollte.
- Überprüfen Sie, ob Netzwerksicherheitsgruppen (NSGs) Datenverkehr blockieren. Führen Sie unter Windows
ping
(ICMP) oderTest-NetConnection <Private IP of NVA>
(TCP) aus. Führen Sie unter LinuxTcpping <Private IP of NVA>
aus. - Wenn Ihre NSGs Datenverkehr blockieren, ändern Sie sie so, dass Datenverkehr zugelassen wird.
Überprüfen, ob das NVA und die VMs auf erwarteten Datenverkehr lauschen
Stellen Sie über RDP oder SSH eine Verbindung mit dem NVA her, und führen Sie dann den folgenden Befehl aus:
Windows
netstat -an
Linux
netstat -an | grep -i listen
Suchen Sie nach den TCP-Ports, die von der in den Ergebnissen aufgeführten NVA-Software verwendet werden. Werden sie nicht angezeigt, konfigurieren Sie die Anwendung auf dem virtuellen Netzwerkgerät und dem virtuellen Computer, um auf Datenverkehr zu lauschen und zu reagieren, der diese Ports erreicht. Wenden Sie sich an den NVA-Anbieter, wenn Sie Unterstützung benötigen.
Überprüfen der NVA-Leistung
Überprüfen der VM-CPU-Auslastung
Wenn die CPU-Auslastung fast 100 Prozent erreicht, kann es zu Problemen kommen, die sich auf die Netzwerkpaketverluste auswirken.
Untersuchen Sie während einer CPU-Spitze, welcher Prozess auf der Gast-VM für die hohe CPU-Auslastung verantwortlich ist. Beheben Sie dies nach Möglichkeit.
Eventuell müssen Sie auch die Größe der VM in eine größere SKU ändern oder bei einer VM-Skalierungsgruppe die Anzahl der Instanzen erhöhen.
Wenden Sie sich an den NVA-Anbieter, wenn Sie Unterstützung benötigen sollten.
Überprüfen der VM-Netzwerkstatistik
Wenn das VM-Netzwerk Spitzen oder Zeiträume mit hoher Auslastung aufweist, erhöhen Sie ggf. die SKU-Größe der VM, um von einem höherem Durchsatz zu profitieren.
Erweiterte Behandlung von Problemen mit Netzwerkadministratoren
Erfassen einer Netzwerkablaufverfolgung
Erfassen Sie während der Ausführung von PsPing
oder Nmap
eine gleichzeitige Netzwerkablaufverfolgung auf der Quell- und Ziel-VM und dem NVA. Beenden Sie dann die Ablaufverfolgung.
Um eine gleichzeitige Netzwerkablaufverfolgung zu erfassen, führen Sie den folgenden Befehl aus:
Windows
netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection
Linux
sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap
Verwenden Sie
PsPing
oderNmap
von der Quell-VM zur Ziel-VM. Bespiele sindPsPing 10.0.0.4:80
oderNmap -p 80 10.0.0.4
.Öffnen Sie die Netzwerkablaufverfolgung auf der Ziel-VM, indem Sie tcpdump oder eine Paketanalyse Ihrer Wahl verwenden. Wenden Sie einen Anzeigefilter für die IP-Adresse der Quell-VM an, über die Sie
PsPing
oderNmap
ausgeführt haben. Ein Windows-Beispiel für netmon lautetIPv4.address==10.0.0.4
. Linux-Beispiele sindtcpdump -nn -r vmtrace.cap src
unddst host 10.0.0.4
.
Analysieren von Ablaufverfolgungen
Falls die bei der Ablaufverfolgung der Back-End-VM eingehenden Pakete nicht zu sehen sind, liegt wahrscheinlich ein Konflikt mit einer NSG oder UDR oder fehlerhaften NVA-Routingtabellen vor.
Wenn Sie sehen, dass Pakete eingehen, aber keine Antwort enthalten, müssen Sie möglicherweise ein Problem mit einer VM-Anwendung oder -Firewall beheben.
Wenden Sie sich an den NVA-Anbieter, wenn Sie Unterstützung benötigen sollten.
Erstellen ein Supporttickets
Wenn das Problem mithilfe der vorgenannten Schritte nicht behoben werden kann, erstellen Sie ein Supportticket, und verwenden Sie das Tool für die bedarfsgesteuerte Protokollsammlung, um Protokolle bereitzustellen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für