Vue d’ensemble des problèmes de connexion
Avec l’augmentation des charges de travail sophistiquées et hautes performances dans Azure, il est essentiel d’augmenter la visibilité et le contrôle de l’état opérationnel des réseaux complexes exécutant ces charges de travail. Des scénarios de réseau si complexes sont implémentés à l’aide de groupes de sécurité réseau, de pare-feu, d’itinéraires définis par l’utilisateur et de ressources fournies par Azure. Ces configurations complexes rendent difficile la résolution des problèmes de connectivité.
La fonctionnalité de résolution des problèmes de connexion d’Azure Network Watcher permet de réduire le temps nécessaire pour diagnostiquer et résoudre les problèmes de connectivité réseau. Les résultats obtenus peuvent fournir des insights sur la cause racine du problème de connectivité et sur le fait qu’il soit dû à un problème de configuration de plateforme ou d’utilisateur.
La résolution des problèmes de connexion réduit le temps moyen de résolution (MTTR) en fournissant une méthode complète d’exécution de toutes les vérifications principales de connexion pour détecter les problèmes liés aux groupes de sécurité réseau, aux itinéraires définis par l’utilisateur et aux ports bloqués. Elle fournit les résultats suivants avec des insights actionnables dans lesquels un guide pas à pas ou une documentation correspondante est fourni pour une résolution plus rapide :
- Test de connectivité avec différents types de destination (machine virtuelle, URI, nom de domaine complet ou adresse IP)
- Problèmes de configuration ayant un impact sur l’accessibilité
- Tous les tronçons possibles par tronçon de la source vers la destination
- Latence entre les sauts
- Latence (minimum, maximum et moyenne entre la source et la destination)
- Vue de topologie graphique de la source vers la destination
- Nombre de sondes ayant échoué pendant la vérification des problèmes de connexion
Types de sources et de destinations prises en charge
La résolution des problèmes de connexion permet de vérifier les connexions TCP ou ICMP à partir de l’une de ces ressources Azure :
- Machines virtuelles
- Groupes identiques de machines virtuelles
- Instances Azure Bastion
- Passerelles applicatives (sauf v1)
Important
Pour résoudre les problèmes de connexion, la machine virtuelle à partir de laquelle vous procédez doit disposer de l’extension de Network Watcher Agent de la machine virtuelle installée. L’extension n’est pas nécessaire sur la machine virtuelle de destination.
- Pour installer l’extension sur une machine virtuelle Windows, consultez Extension de machine virtuelle Azure Network Watcher Agent pour Windows.
- Pour installer l’extension sur une machine virtuelle Linux, consultez l’extension de machine virtuelle Azure Network Watcher Agent pour Linux.
- Pour mettre à jour une extension déjà installée, consultez Mettre à jour l’extension de machine virtuelle de l’agent Network Watcher vers la dernière version.
La résolution des problèmes de connexion peut tester les connexions à l’une des destinations suivantes :
- Machines virtuelles
- Noms de domaine complets (FQDN)
- URI (Uniform Resource Identifier)
- Adresses IP
Problèmes détectés par résolution des problèmes de connexion
La résolution des problèmes de connexion peut détecter les types de problèmes suivants qui peuvent avoir un impact sur la connectivité :
- Utilisation élevée du processeur de machine virtuelle
- Utilisation élevée de la mémoire de machine virtuelle
- Règles de pare-feu de machine virtuelle (invité) bloquant le trafic
- échecs de résolution DNS
- Itinéraires mal configurés ou manquants
- Règles de groupe de sécurité réseau (NSG) qui bloquent le trafic
- Incapacité d’ouvrir un socket sur le port source spécifié
- Entrées de protocole de résolution d’adresses manquantes pour les circuits Azure ExpressRoute
- Les serveurs ne sont pas à l’écoute sur les ports de destination désignés
response
Le tableau suivant présente les propriétés retournées une fois la résolution des problèmes de connexion effectuée.
| Propriété | Description |
|---|---|
| ConnectionStatus | État de la vérification de la connectivité. Les résultats possibles sont Joignable et Inaccessible. |
| AvgLatencyInMs | Latence moyenne pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable). |
| MinLatencyInMs | Latence minimale pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable). |
| MaxLatencyInMs | Latence maximale pendant la vérification de la connectivité, en millisecondes (Affichée uniquement si l’état de la vérification est Joignable). |
| ProbesSent | Nombre de sondes envoyées lors de la vérification. La valeur maximale est 100. |
| ProbesFailed | Nombre de sondes ayant échoué lors de la vérification. La valeur maximale est 100. |
| Hops | Chemin tronçon par tronçon entre la source et la destination. |
| Hops[].Type | Type de ressource. Les valeurs possibles sont Source, VirtualAppliance, VnetLocal et Internet. |
| Hops[].Id | Identificateur unique du tronçon. |
| Hops[].Address | Adresse IP du tronçon. |
| Hops[].ResourceId | ID de ressource du tronçon si le tronçon est une ressource Azure. S’il s’agit d’une ressource internet, l’ID de ressource est Internet. |
| Hops[].NextHopIds | Identificateur unique du prochain tronçon. |
| Hops[].Issues | Ensemble des problèmes rencontrés lors de la vérification au niveau du tronçon. En l’absence de problème, la valeur est vide. |
| Hops[].Issues[].Origin | Au niveau du tronçon actuel, emplacement où le problème s’est produit. Les valeurs possibles sont les suivantes : Inbound : le problème se trouve sur le lien entre le tronçon précédent et le tronçon actuel. Outbound : le problème se trouve sur le lien entre le tronçon actuel et le tronçon suivant. Local : le problème se trouve sur le tronçon en cours. |
| Hops[].Issues[].Severity | Niveau de gravité du problème détecté. Les valeurs possibles sont Error et Warning. |
| Hops[].Issues[].Type | Type du problème détecté. Les valeurs possibles sont les suivantes : UC Mémoire GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Détails concernant le problème détecté. |
| Hops[].Issues[].Context[].key | Clé de la paire clé/valeur retournée. |
| Hops[].Issues[].Context[].value | Valeur de la paire clé/valeur retournée. |
| NextHopAnalysis.NextHopType | Type du tronçon suivant. Les valeurs possibles sont les suivantes : HyperNetGateway Internet Aucun VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Adresse IP du saut suivant. |
| Identificateur de ressource de la table de routage associée à l’itinéraire retourné. Si l’itinéraire retourné ne correspond à aucun itinéraire créé par l’utilisateur, ce champ correspond à la chaîne Itinéraire système. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Profil de diagnostic de la configuration réseau. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Source du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Destination du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Port de destination du trafic. Les valeurs possibles sont : * et un seul port dans la plage (0 – 65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Protocole à vérifier. Les valeurs possibles sont : *, TCP et UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | Direction du trafic. Les valeurs possibles sont : Outbound et Inbound. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Résultat du groupe de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Liste des résultats du diagnostic des groupes de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | ID de ressource de la carte réseau ou du sous-réseau auquel le groupe de sécurité réseau est appliqué. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Règle de sécurité réseau correspondante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Nom de la règle de sécurité réseau correspondante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | ID du groupe de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Liste des résultats de l’évaluation des règles de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | La valeur indique si la destination correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | La valeur indique si le port de destination correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Nom de la règle de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | La valeur indique si le protocole correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | La valeur indique si la source correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | La valeur indique si le port source correspond. Valeurs booléennes. |
| DestinationSecurityRuleAnalysis | Identique au format SourceSecurityRuleAnalysis. |
| SourcePortStatus | Détermine si le port à la source est accessible ou non. Les valeurs possibles sont les suivantes : Inconnu Accessible Instable NoConnection Délai d'expiration |
| DestinationPortStatus | Détermine si le port à destination est accessible ou non. Les valeurs possibles sont les suivantes : Inconnu Accessible Instable NoConnection Délai d'expiration |
L’exemple suivant montre un exemple de problème détecté sur un tronçon.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Types d’erreur
La résolution des problèmes de connexion retourne les types d’erreur liés à la connexion. Le tableau ci-dessous fournit la liste des types d’erreurs renvoyées possibles.
| Type | Description |
|---|---|
| UC | Utilisation élevée du processeur. |
| Mémoire | Utilisation élevée de la mémoire. |
| GuestFirewall | Le trafic est bloqué à cause de la configuration d’un pare-feu de machine virtuelle. Un test ping TCP est un cas d’usage unique. Si aucune règle n’est autorisée, le pare-feu répond à la requête ping TCP du client même si le test ping TCP n’atteint pas l’adresse IP ou le FQDN cible. Cet événement n’est pas journalisé. Si une règle réseau autorise l’accès à l’adresse IP ou au FQDN cible, la requête ping atteint le serveur cible et sa réponse est renvoyée au client. Cet événement est consigné dans le journal des règles de réseau. |
| DNSResolution | Échec de la résolution DNS pour l’adresse de destination. |
| NetworkSecurityRule | Le trafic est bloqué par une règle de groupe de sécurité réseau (la règle de sécurité est retournée). |
| UserDefinedRoute | Le trafic est ignoré en raison d’un itinéraire défini par l’utilisateur ou le système. |
Étape suivante
Pour savoir comment utiliser la résolution des problèmes de connexion pour tester et résoudre les problèmes de connexion, continuez à :