Azure でのネットワーク仮想アプライアンスの問題Network virtual appliance issues in Azure

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

Microsoft Azure でサードパーティのネットワーク仮想アプライアンス (NVA) を使用しているときに、VM または VPN の接続の問題が発生する可能性があります。You may experience VM or VPN connectivity issues and errors when using a third party Network Virtual Appliance (NVA) in Microsoft Azure. この記事では、NVA 構成に対する基本の Azure Platform の要件を確認するのに役立つ基本的な手順を示します。This article provides basic steps to help you validate basic Azure Platform requirements for NVA configurations.

サードパーティの NVA および Azure プラットフォームとの統合向けのテクニカル サポートは、NVA のベンダーによって提供されます。Technical support for third-party NVAs and their integration with the Azure platform is provided by the NVA vendor.

注意

NVA に関する接続性やルーティングの問題がある場合は、直接 NVA のベンダーにお問い合わせいただく必要があります。If you have a connectivity or routing problem that involves an NVA, you should contact the vendor of the NVA directly.

この記事で Azure の問題に対処できない場合は、MSDN および Stack Overflow の Azure 関連フォーラムを参照してください。If your Azure issue is not addressed in this article, visit the Azure forums on MSDN and Stack Overflow. 問題をこれらのフォーラムまたは Twitter の @AzureSupport に投稿できます。You can post your issue in these forums, or post to @AzureSupport on Twitter. Azure サポート要求を送信することもできます。You also can submit an Azure support request. サポート要求を送信するには、[Azure サポート] ページで [サポートを受ける] を選択します。To submit a support request, on the Azure support page, select Get support.

NVA のベンダーと共にトラブルシューティングするためのチェックリストChecklist for troubleshooting with NVA vendor

  • NVA の VM ソフトウェア用のソフトウェア更新プログラムSoftware updates for NVA VM software
  • サービス アカウントのセットアップと機能Service Account setup and functionality
  • NVA に直接通信する仮想ネットワークのサブネット上のユーザー定義のルート (UDR)User-defined routes (UDRs) on virtual network subnets that direct traffic to NVA
  • NVA から直接通信する仮想ネットワークのサブネット上の UDRUDRs on virtual network subnets that direct traffic from NVA
  • NVA 内のテーブルとルールのルーティング (例: NIC1 から NIC2)Routing tables and rules within the NVA (for example, from NIC1 to NIC2)
  • ネットワーク トラフィックの送受信を確認するための NVA NIC のトレースTracing on NVA NICs to verify receiving and sending network traffic
  • Standard SKU と Public IP を使用するときは、NSG が作成されていて、NVA へのトラフィックのルーティングを許可する明示的なルールが存在する必要があります。When using a Standard SKU and Public IPs, there must be an NSG created and an explicit rule to allow the traffic to be routed to the NVA.

基本的なトラブルシューティングの手順Basic troubleshooting steps

  • 基本構成の確認Check the basic configuration
  • NVA のパフォーマンスの確認Check NVA performance
  • 高度なネットワークのトラブルシューティングAdvanced network troubleshooting

Azure 上の NVA に対する最小構成要件の確認Check the minimum configuration requirements for NVAs on Azure

各 NVA には Azure 上で正常に機能するための基本構成要件があります。Each NVA has basic configuration requirements to function correctly on Azure. 次のセクションでは、これらの基本構成を確認するための手順を示します。The following section provides the steps to verify these basic configurations. 詳細については、NVA のベンダーにお問い合わせくださいFor more information, contact the vendor of the NVA.

NVA 上で IP 転送が有効かどうかを確認するCheck whether IP forwarding is enabled on NVA

Azure Portal の使用Use Azure portal

  1. Azure portal で NVA リソースを検索し、ネットワークを選択して、ネットワーク インターフェイスを選択します。Locate the NVA resource in the Azure portal, select Networking, and then select the Network interface.
  2. [ネットワーク インターフェイス] ページで、[IP 構成] を選択します。On the Network interface page, select IP configuration.
  3. IP 転送が有効になっていることを確認します。Make sure that IP forwarding is enabled.

PowerShell の使用Use PowerShell

  1. PowerShell を開き、ご自分の Azure アカウントにサインインします。Open PowerShell and then sign in to your Azure account.

  2. 次のコマンドを実行します (かっこで囲まれた値をご自分の情報に置き換えます)。Run the following command (replace the bracketed values with your information):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
    
  3. EnableIPForwarding プロパティを確認します。Check the EnableIPForwarding property.

  4. IP 転送が有効になっていない場合は、次のコマンドを実行して有効にします。If IP forwarding is not enabled, run the following commands to enable it:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
    $nic2.EnableIPForwarding = 1
    Set-AzNetworkInterface -NetworkInterface $nic2
    Execute: $nic2 #and check for an expected output:
    EnableIPForwarding   : True
    NetworkSecurityGroup : null
    

Standard SKU と Pubilc IP の使用時に NVA を確認する Standard SKU と Public IP の使用時には、NSG が作成済みで、明示的なルールでトラフィックの NVA へのルーティングが許可されている必要があります。Check for NSG when using Standard SKU Pubilc IP When using a Standard SKU and Public IPs, there must be an NSG created and an explicit rule to allow the traffic to the NVA.

トラフィックを NVA にルーティングできるかどうかを確認するCheck whether the traffic can be routed to the NVA

  1. Azure portalNetwork Watcher を開いて、 [次ホップ] を選択します。On Azure portal, open Network Watcher, select Next Hop.
  2. トラフィックを NVA にリダイレクトするように構成された VM と、次ホップを表示する宛先 IP アドレスを指定します。Specify a VM that is configured to redirect the traffic to the NVA, and a destination IP address at which to view the next hop.
  3. NVA が [次ホップ] として一覧表示されていない場合は、Azure ルート テーブルを確認して更新します。If the NVA is not listed as the next hop, check and update the Azure route tables.

トラフィックで NVA に到達できるかどうかを確認するCheck whether the traffic can reach the NVA

  1. Azure portalNetwork Watcher を開いて、 [IP フローの確認] を選択します。In Azure portal, open Network Watcher, and then select IP Flow Verify.
  2. VM および NVA の IP アドレスを指定して、トラフィックが任意のネットワーク セキュリティ グループ (NSG) によってブロックされるかどうかを確認します。Specify the VM and the IP address of the NVA, and then check whether the traffic is blocked by any Network security groups (NSG).
  3. トラフィックをブロックする NSG ルールがある場合は、有効なセキュリティ規則で NSG を検索して、トラフィックで通過できるように更新します。If there is an NSG rule that blocks the traffic, locate the NSG in effective security rules and then update it to allow traffic to pass. 次に、もう一度 [IP フローの確認] を実行して [接続のトラブルシューティング] を使用し、VM からご利用の内部または外部の IP アドレスへの TCP 通信をテストします。Then run IP Flow Verify again and use Connection troubleshoot to test TCP communications from VM to your internal or external IP address.

NVA および VM が予想されるトラフィックをリッスンしているかどうかを確認するCheck whether NVA and VMs are listening for expected traffic

  1. RDP または SSH を使用して NVA に接続して、次のコマンドを実行します。Connect to the NVA by using RDP or SSH, and then run following command:

    Windows の場合:For Windows:

     netstat -an
    

    Linux の場合:For Linux:

     netstat -an | grep -i listen
    
  2. 結果に一覧されている NVA ソフトウェアによって使用される TCP ポートが表示されない場合は、それらのポートに到達するトラフィックをリッスンして応答するように、NVA と VM 上にアプリケーションを構成する必要があります。If you don't see the TCP port that's used by the NVA software that's listed in the results you must configure the application on the NVA and VM to listen and respond to traffic that reaches those ports. 必要に応じて、NVA のベンダーにお問い合わせくださいContact the NVA vendor for assistance as needed.

NVA のパフォーマンスの確認Check NVA Performance

VM CPU を検証するValidate VM CPU

CPU 使用率が 100 パーセントに近い場合は、影響するネットワーク パケットが低下する問題が発生する可能性があります。If CPU usage gets close to 100 percent, you may experience issues that affect network packet drops. ご利用の VM では、Azure portal で特定の期間の平均 CPU が報告されます。Your VM reports average CPU for a specific time span in the Azure portal. CPU のスパイク時に、高い CPU の原因となっているゲスト VM 上のプロセスを調査して、可能であれば、そのプロセスを軽減させます。During a CPU spike, investigate which process on the guest VM is causing the high CPU, and mitigate it, if possible. また、より大きい SKU サイズに VM のサイズを変更するか、仮想マシン スケール セットの場合は、インスタンス数を増やしたり、CPU 使用率に自動スケールを設定したりする必要がある場合もあります。You may also have to resize the VM to a larger SKU size or, for virtual machine scale set, increase the instance count or set to auto-scale on CPU usage. これらの問題のいずれかについては、必要に応じて、NVA のベンダーにお問い合わせくださいFor either of these issues, contact the NVA vendor for assistance, as needed.

VM ネットワークの統計を検証するValidate VM Network statistics

VM ネットワークでスパイクを使用したり、高い使用率の期間を示したりする場合は、スループット機能をさらに高めるために、VM の SKU サイズを増加させる必要もある可能性があります。If the VM network use spikes or shows periods of high usage, you may also have to increase the SKU size of the VM to obtain higher throughput capabilities. 高速ネットワークを有効にすることで、VM を再デプロイすることもできます。You can also redeploy the VM by having Accelerated Networking enabled. NVA で高速ネットワーク機能がサポートされているかどうかを確認するには、必要に応じて、NVA のベンダーにお問い合わせくださいTo verify whether the NVA supports Accelerated Networking feature, contact the NVA vendor for assistance, as needed.

高度なネットワーク管理者のトラブルシューティングAdvanced network administrator troubleshooting

ネットワーク トレースのキャプチャCapture network trace

PsPing または Nmap を実行しながら、ソース VM、NVA、宛先の VM 上で同時ネットワーク追跡をキャプチャしてから、追跡を停止します。Capture a simultaneous network trace on the source VM, the NVA, and the destination VM while you run PsPing or Nmap, and then stop the trace.

  1. 同時ネットワーク追跡をキャプチャするには、次のコマンドを実行します。To capture a simultaneous network trace, run the following command:

    Windows の場合For Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnectionnetsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Linux の場合For Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.capsudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. ソース VM から宛先 VM に対して PsPing または Nmap を使用します (例: PsPing 10.0.0.4:80 または Nmap -p 80 10.0.0.4)。Use PsPing or Nmap from the source VM to the destination VM (for example: PsPing 10.0.0.4:80 or Nmap -p 80 10.0.0.4).

  3. ネットワーク モニターまたは tcpdump を使用して、宛先 VM からネットワーク トレースを開きます。Open the network trace from the destination VM by using Network Monitor or tcpdump. IPv4.address==10.0.0.4 (Windows netmon) または tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux) など、PsPing または Nmap を実行したソース VM の IP に表示フィルターを適用します。Apply a display filter for the IP of the Source VM you ran PsPing or Nmap from, such as IPv4.address==10.0.0.4 (Windows netmon) or tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

トレースの分析Analyze traces

バックエンド VM トレースにパケットが着信していない場合、NSG または UDR により妨害されているか、NVA ルーティング テーブルが正しくない可能性があります。If you do not see the packets incoming to the backend VM trace, there is likely an NSG or UDR interfering or the NVA routing tables are incorrect.

パケットを受信しているのに応答がない場合は、VM アプリケーションまたはファイアウォールに関する問題に対処する必要があります。If you do see the packets coming in but no response, then you may need to address a VM application or a firewall issue. これらの問題のいずれかについては、必要に応じて、NVA のベンダーにお問い合わせくださいFor either of these issues, contact the NVA vendor for assistance as needed.