Risolvere i problemi di Azure Load BalancerTroubleshoot Azure Load Balancer

Importante

Azure Load Balancer supporta due tipi diversi: Basic e Standard.Azure Load Balancer supports two different types: Basic and Standard. Questo articolo illustra Load Balancer Basic.This article discusses Basic Load Balancer. Load Balancer Basic è disponibile a livello generale, mentre Load Balancer Standard è attualmente in anteprima pubblica.Basic Load Balancer is generally available, whereas Standard Load Balancer is currently in Public Preview. Per altre informazioni su Load Balancer Standard, vedere Panoramica di Load Balancer Standard.For more information about Standard Load Balancer, see Standard Load Balancer Overview.

Questa pagina fornisce informazioni sulla risoluzione dei problemi comuni di Azure Load Balancer.This page provides troubleshooting information for common Azure Load Balancer questions. Quando la connettività di Load Balancer non è disponibile, i sintomi più comuni sono i seguenti:When the Load Balancer connectivity is unavailable, the most common symptoms are as follows:

  • Le macchine virtuali controllate da Load Balancer non rispondono ai probe di integritàVMs behind the Load Balancer are not responding to health probes
  • Le macchine virtuali dietro Load Balancer non rispondono al traffico nella porta configurataVMs behind the Load Balancer are not responding to the traffic on the configured port

Sintomo: le macchine virtuali dietro Load Balancer non rispondono ai probe di integritàSymptom: VMs behind the Load Balancer are not responding to health probes

Per partecipare al set di bilanciamento del carico, i server back-end devono superare il controllo del probe.For the backend servers to participate in the load balancer set, they must pass the probe check. Per altre informazioni sui probe di integrità, vedere Informazioni sui probe di bilanciamento del carico.For more information about health probes, see Understanding Load Balancer Probes.

Le macchine virtuali del pool back-end di Load Balancer possono non rispondere ai probe per i motivi seguenti:The Load Balancer backend pool VMs may not be responding to the probes due to any of the following reasons:

  • La macchina virtuale del pool back-end di Load Balancer non è integraLoad Balancer backend pool VM is unhealthy
  • La macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta probeLoad Balancer backend pool VM is not listening on the probe port
  • Un firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end di Load BalancerFirewall, or a network security group is blocking the port on the Load Balancer backend pool VMs
  • Altri errori di configurazione in Load BalancerOther misconfigurations in Load Balancer

Causa 1: la macchina virtuale del pool back-end di Load Balancer non è integraCause 1: Load Balancer backend pool VM is unhealthy

Convalida e la risoluzioneValidation and resolution

Per risolvere questo problema, accedere alle macchine virtuali partecipanti e verificare se la macchina virtuale è integra e può rispondere a richieste PsPing o TCPing inviate da un'altra macchina virtuale nel pool.To resolve this issue, log in to the participating VMs, and check if the VM state is healthy, and can respond to PsPing or TCPing from another VM in the pool. Se la macchina virtuale non è integra o non riesce a rispondere al probe, è necessario risolvere il problema e ripristinare l'integrità della macchina virtuale prima che questa possa partecipare al bilanciamento del carico.If the VM is unhealthy, or is unable to respond to the probe, you must rectify the issue and get the VM back to a healthy state before it can participate in load balancing.

Causa 2: la macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta probeCause 2: Load Balancer backend pool VM is not listening on the probe port

Se la macchina virtuale è integra, ma non risponde al probe, è possibile che la porta probe non sia aperta nella macchina virtuale partecipante o che la macchina virtuale non sia in ascolto su tale porta.If the VM is healthy, but is not responding to the probe, then one possible reason could be that the probe port is not open on the participating VM, or the VM is not listening on that port.

Convalida e la risoluzioneValidation and resolution

  1. Accedere alla macchina virtuale back-end.Log in to the backend VM.
  2. Aprire un prompt dei comandi ed eseguire questo comando per verificare che un'applicazione sia in ascolto nella porta probe:Open a command prompt and run the following command to validate there is an application listening on the probe port:
    netstat -annetstat -an
  3. Se lo stato della porta non è elencato come LISTENING, configurare la porta corretta.If the port state is not listed as LISTENING, configure the proper port.
  4. In alternativa, selezionare un'altra porta che sia elencata come LISTENING e aggiornare la configurazione di Load Balancer di conseguenza.Alternatively, select another port, that is listed as LISTENING, and update load balancer configuration accordingly.

Causa 3: un firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end di Load BalancerCause 3: Firewall, or a network security group is blocking the port on the load balancer backend pool VMs

Se il firewall nella macchina virtuale blocca la porta probe oppure uno o più gruppi di sicurezza di rete configurati nella subnet o nella macchina virtuale non consentono al probe di raggiungere la porta, la macchina virtuale non può rispondere al probe di integrità.If the firewall on the VM is blocking the probe port, or one or more network security groups configured on the subnet or on the VM, is not allowing the probe to reach the port, the VM is unable to respond to the health probe.

Convalida e la risoluzioneValidation and resolution

  • Se il firewall è abilitato, verificare se è configurato per consentire la porta probe.If the firewall is enabled, check if it is configured to allow the probe port. In caso contrario, configurare il firewall per consentire il traffico nella porta probe e riprovare.If not, configure the firewall to allow traffic on the probe port, and test again.
  • Dall'elenco dei gruppi di sicurezza di rete, verificare se il traffico in ingresso o in uscita nella porta probe ha interferenze.From the list of network security groups, check if the incoming or outgoing traffic on the probe port has interference.
  • Verificare anche se nella scheda di interfaccia di rete della macchina virtuale o nella subnet è presente una regola di tipo Nega tutto di un gruppo di sicurezza di rete avente una priorità superiore rispetto alla regola predefinita che consente il traffico e i probe di Load Balancer. I gruppi di sicurezza di rete devono consentire l'IP 168.63.129.16 di Load Balancer.Also, check if a Deny All network security groups rule on the NIC of the VM or the subnet that has a higher priority than the default rule that allows LB probes & traffic (network security groups must allow Load Balancer IP of 168.63.129.16).
  • Se alcune di queste regole bloccano il traffico probe, rimuoverle e riconfigurarle per consentire il traffico probe.If any of these rules are blocking the probe traffic, remove and reconfigure the rules to allow the probe traffic.
  • Verificare se la macchina virtuale ha ora iniziato a rispondere ai probe di integrità.Test if the VM has now started responding to the health probes.

Causa 4: altri errori di configurazione in Load BalancerCause 4: Other misconfigurations in Load Balancer

Se tutte le cause precedenti sembrano essere state verificate e risolte correttamente, ma la macchina virtuale back-end continua a non rispondere al probe di integrità, testare manualmente la connettività e raccogliere alcune tracce per ottenere informazioni sulla connettività stessa.If all the preceding causes seem to be validated and resolved correctly, and the backend VM still does not respond to the health probe, then manually test for connectivity, and collect some traces to understand the connectivity.

Convalida e la risoluzioneValidation and resolution

  • Usare Psping da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta della porta probe, ad esempio \psping.exe -t 10.0.0.4:3389, e registrare i risultati.Use Psping from one of the other VMs within the VNet to test the probe port response (example: .\psping.exe -t 10.0.0.4:3389) and record results.
  • Usare TCPing da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta della porta probe (esempio: \tcping.exe 10.0.0.4 3389) e registrare i risultati.Use TCPing from one of the other VMs within the VNet to test the probe port response (example: .\tcping.exe 10.0.0.4 3389) and record results.
  • Se non si ricevono risposte con questi test di ping:If no response is received in these ping tests, then
    • Eseguire una traccia Netsh simultanea nella macchina virtuale del pool back-end e un'altra macchina virtuale di test dalla stessa rete virtuale.Run a simultaneous Netsh trace on the target backend pool VM and another test VM from the same VNet. Eseguire ora un test PsPing per un certo periodo, raccogliere alcune tracce di rete e quindi interrompere il test.Now, run a PsPing test for some time, collect some network traces, and then stop the test.
    • Analizzare l'acquisizione di rete e verificare se sono disponibili pacchetti in ingresso e in uscita correlati alla query di ping.Analyze the network capture and see if there are both incoming and outgoing packets related to the ping query.
      • Se non si osservano pacchetti in ingresso nella macchina virtuale del pool back-end, è possibile che un gruppo di sicurezza di rete o una route definita dall'utente configurata in modo errato blocchi il traffico.If no incoming packets are observed on the backend pool VM, there is potentially a network security groups or UDR mis-configuration blocking the traffic.
      • Se non si osservano pacchetti in uscita nella macchina virtuale del pool back-end, è necessario identificare eventuali problemi non correlati nella macchina virtuale, ad esempio la presenza di un'applicazione che blocca la porta probe.If no outgoing packets are observed on the backend pool VM, the VM needs to be checked for any unrelated issues (for eample, Application blocking the probe port).
    • Verificare se i pacchetti probe vengono forzati verso un'altra destinazione, magari tramite impostazioni delle route definite dall'utente, prima di raggiungere il servizio di bilanciamento del carico.Verify if the probe packets are being forced to another destination (possibly via UDR settings) before reaching the load balancer. Ciò può impedire costantemente al traffico di raggiungere la macchina virtuale back-end.This can cause the traffic to never reach the backend VM.
  • Modificare il tipo di probe, ad esempio da HTTP a TCP, e configurare la porta corrispondente negli ACL dei gruppi di sicurezza di rete e nel firewall per verificare se il problema è la configurazione della risposta probe.Change the probe type (for example, HTTP to TCP), and configure the corresponding port in network security groups ACLs and firewall to validate if the issue is with the configuration of probe response. Per altre informazioni sulla configurazione del probe di integrità, vedere la configurazione del probe di integrità di bilanciamento del carico con endpoint.For more information about health probe configuration, see Endpoint Load Balancing health probe configuration.

Sintomo: le macchine virtuali dietro Load Balancer non rispondono al traffico nella porta di dati configurataSymptom: VMs behind Load Balancer are not responding to traffic on the configured data port

Se una macchina virtuale del pool back-end è elencata come integra e risponde ai probe di integrità, ma comunque non partecipa al bilanciamento del carico o non risponde al traffico dati, i motivi potrebbero essere i seguenti:If a backend pool VM is listed as healthy and responds to the health probes, but is still not participating in the Load Balancing, or is not responding to the data traffic, it may be due to any of the following reasons:

  • La macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta datiLoad Balancer Backend pool VM is not listening on the data port
  • Un gruppo di sicurezza di rete blocca la porta nella macchina virtuale del pool back-end di Load BalancerNetwork security group is blocking the port on the Load Balancer backend pool VM
  • Accesso a Load Balancer dalla stessa macchina virtuale e interfaccia di reteAccessing the Load Balancer from the same VM and NIC
  • Accesso all'indirizzo VIP del servizio di bilanciamento del carico Internet dalla macchina virtuale del pool back-end di Load BalancerAccessing the Internet Load Balancer VIP from the participating Load Balancer backend pool VM

Causa 1: la macchina virtuale del pool back-end di Load Balancer non è in ascolto nella porta datiCause 1: Load Balancer backend pool VM is not listening on the data port

Se una macchina virtuale non risponde al traffico dati, è possibile che la porta di destinazione non sia aperta nella macchina virtuale partecipante oppure che la macchina virtuale non sia in ascolto nella porta.If a VM does not respond to the data traffic, it may be because either the target port is not open on the participating VM, or, the VM is not listening on that port.

Convalida e la risoluzioneValidation and resolution

  1. Accedere alla macchina virtuale back-end.Log in to the backend VM.
  2. Aprire un prompt dei comandi ed eseguire questo comando per verificare che un'applicazione sia in ascolto nella porta dati:Open a command prompt and run the following command to validate there is an application listening on the data port:
    netstat -annetstat -an
  3. Se lo stato della porta non è elencato come "LISTENING", configurare la porta di attesa corretta.If the port is not listed with State “LISTENING”, configure the proper listener port
  4. Se la porta è contrassegnata come LISTENING, verificare se sono presenti problemi nell'applicazione di destinazione in ascolto su tale porta.If the port is marked as Listening, then check the target application on that port for any possible issues.

Causa 2: un gruppo di sicurezza di rete blocca la porta nella macchina virtuale del pool back-end di Load BalancerCause 2: Network security group is blocking the port on the Load Balancer backend pool VM

Se uno o più gruppi di sicurezza di rete configurati nella subnet o nella macchina virtuale bloccano l'indirizzo IP o la porta di origine, la macchina virtuale non potrà rispondere.If one or more network security groups configured on the subnet or on the VM, is blocking the source IP or port, then the VM is unable to respond.

  • Elencare i gruppi di sicurezza di rete configurati nella macchina virtuale back-end.List the network security groups configured on the backend VM. Per altre informazioni, vedere:For more information, see:
  • Dall'elenco dei gruppi di sicurezza di rete verificare se:From the list of network security groups, check if:
    • il traffico in ingresso o in uscita nella porta dati ha interferenze.the incoming or outgoing traffic on the data port has interference.
    • nella scheda di interfaccia di rete della macchina virtuale o nella subnet è presente una regola di tipo Nega tutto di un gruppo di sicurezza di rete avente una priorità superiore rispetto alla regola predefinita che consente il traffico e i probe di Load Balancer. I gruppi di sicurezza di rete devono consentire l'IP 168.63.129.16 di Load Balancer, ovvero la porta probea Deny All network security group rule on the NIC of the VM or the subnet that has a higher priority that the default rule that allows Load Balancer probes and traffic (network security groups must allow Load Balancer IP of 168.63.129.16, that is probe port)
  • Se alcune di queste regole bloccano il traffico, rimuoverle e riconfigurarle per consentire il traffico dati.If any of the rules are blocking the traffic, remove and reconfigure those rules to allow the data traffic.
  • Verificare se la macchina virtuale ha ora iniziato a rispondere ai probe di integrità.Test if the VM has now started to respond to the health probes.

Causa 3: accesso a Load Balancer dalla stessa macchina virtuale e interfaccia di reteCause 3: Accessing the Load Balancer from the same VM and Network interface

Se l'applicazione ospitata nella macchina virtuale back-end di un servizio di bilanciamento del carico sta provando ad accedere a un'altra applicazione ospitata nella stessa macchina virtuale back-end tramite la stessa interfaccia di rete, questo scenario non è supportato e avrà esito negativo.If your application hosted in the backend VM of a Load Balancer is trying to access another application hosted in the same backend VM over the same Network Interface, it is an unsupported scenario and will fail.

Risoluzione: è possibile risolvere questo problema con uno dei metodi seguenti:Resolution You can resolve this issue via one of the following methods:

  • Configurare macchine virtuali del pool back-end separate per ogni applicazione.Configure separate backend pool VMs per application.
  • Configurare l'applicazione in macchine virtuali con due schede di interfaccia di rete in modo che ogni applicazione usi un'interfaccia di rete e un indirizzo IP propri.Configure the application in dual NIC VMs so each application was using its own Network interface and IP address.

Causa 4: accesso all'indirizzo VIP del servizio di bilanciamento del carico interno dalla macchina virtuale del pool back-end di Load BalancerCause 4: Accessing the Internal Load Balancer VIP from the participating Load Balancer backend pool VM

Se è configurato un indirizzo VIP del bilanciamento del carico interno in una rete virtuale e una delle VM del back-end sta tentando di accedere all'indirizzo VIP del servizio di bilanciamento del carico Internet, verrà generato un errore.If an ILB VIP is configured inside a VNet, and one of the participant backend VMs is trying to access the Internal Load Balancer VIP, that results in failure. Questo scenario non è supportato.This is an unsupported scenario. Risoluzione: valutare un gateway applicazione o altri proxy, ad esempio nginx o haproxy, per supportare questo tipo di scenario.Resolution Evaluate Application Gateway or other proxies (for example, nginx or haproxy) to support that kind of scenario. Per altre informazioni sul gateway applicazione, vedere Panoramica del gateway applicazioneFor more information about Application Gateway, see Overview of Application Gateway

Altre acquisizioni di reteAdditional network captures

Se si decide di aprire un caso di supporto, raccogliere le informazioni seguenti per una soluzione più rapida.If you decide to open a support case, collect the following information for a quicker resolution. Scegliere una singola macchina virtuale back-end per eseguire questi test:Choose a single backend VM to perform the following tests:

  • Usare Psping da una delle macchine virtuali back-end all'interno della rete virtuale per testare la risposta della porta probe, ad esempio psping 10.0.0.4:3389, e registrare i risultati.Use Psping from one of the backend VMs within the VNet to test the probe port response (example: psping 10.0.0.4:3389) and record results.
  • Usare TCPing da una delle macchine virtuali back-end all'interno della rete virtuale per testare la risposta della porta probe, ad esempio psping 10.0.0.4:3389, e registrare i risultati.Use TCPing from one of the backend VMs within the VNet to test the probe port response (example: psping 10.0.0.4:3389) and record results.
  • Se non si ricevono risposte in questi test di ping, eseguire una traccia Netsh simultanea nella macchina virtuale back-end e nella macchina virtuale di test della rete virtuale mentre si esegue PsPing, quindi arrestare la traccia Netsh.If no response is received in these ping tests, run a simultaneous Netsh trace on the backend VM and the VNet test VM while you run PsPing then stop the Netsh trace.

Passaggi successiviNext steps

Se i passaggi precedenti non risolvono il problema, aprire un ticket di supporto.If the preceding steps do not resolve the issue, open a support ticket.