Problemen met toegang, opname en werking van uw Azure Data Explorer-cluster in uw virtuele netwerk oplossen

Belangrijk

Overweeg om over te stappen op een azure-privé-eindpuntoplossing voor het implementeren van netwerkbeveiliging met Azure Data Explorer. Het is minder foutgevoelig en biedt functiepariteit.

In deze sectie leert u hoe u verbindingsproblemen, operationele problemen en problemen met het maken van clusters kunt oplossen voor een cluster dat is geïmplementeerd in uw Virtual Network.

Toegangsproblemen

Als u een probleem ondervindt bij het openen van het cluster met behulp van het openbare (cluster.region.kusto.windows.net) of privé-eindpunt (private-cluster.region.kusto.windows.net) en u vermoedt dat dit te maken heeft met het instellen van een virtueel netwerk, voert u de volgende stappen uit om het probleem op te lossen.

TCP-connectiviteit controleren

De eerste stap omvat het controleren van DE TCP-connectiviteit met behulp van het Windows- of Linux-besturingssysteem.

Windows

1. Download TCping naar de computer die verbinding maakt met het cluster.

2. Ping de bestemming vanaf de bronmachine met behulp van de volgende opdracht:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Netcat installeren op de computer die verbinding maakt met het cluster

   apt-get install netcat
   

2. Ping de bestemming vanaf de bronmachine met behulp van de volgende opdracht:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Als de test niet is geslaagd, gaat u verder met de volgende stappen. Als de test is geslaagd, wordt het probleem niet veroorzaakt door een TCP-verbindingsprobleem. Ga naar operationele problemen om verder op te lossen.

NSG-regels (netwerkbeveiligingsgroep) controleren

Controleer of de NSG die is gekoppeld aan het subnet van het cluster, een regel voor binnenkomend verkeer heeft die toegang toestaat vanaf het IP-adres van de clientcomputer voor poort 443.

Controleer of de routetabel is geconfigureerd om toegangsproblemen te voorkomen

Als het subnet van het cluster is geconfigureerd om al het internetverkeer terug te sturen naar uw firewall (subnet met een routetabel met de standaardroute '0.0.0.0/0'),controleert u of het IP-adres van de machine een route heeft met het volgende hoptype naar VirtualNetwork/Internet. Deze route is vereist om problemen met asymmetrische route te voorkomen.

Opnameproblemen

Als u opnameproblemen ondervindt en u vermoedt dat dit te maken heeft met het instellen van een virtueel netwerk, voert u de volgende stappen uit.

Opnamestatus controleren

Controleer of de metrische gegevens voor clusteropname een status in orde aangeven.

Beveiligingsregels voor gegevensbronresources controleren

Als de metrische gegevens aangeven dat er geen gebeurtenissen zijn verwerkt vanuit de gegevensbron (metrische gegevens over verwerkte gebeurtenissen voor gebeurtenis/IoT Hubs), moet u ervoor zorgen dat de gegevensbronresources (Event Hubs of Storage) toegang toestaan vanuit het subnet van het cluster in de firewallregels of service-eindpunten.

Beveiligingsregels controleren die zijn geconfigureerd in het subnet van het cluster

Zorg ervoor dat het subnet van het cluster NSG-, UDR- en firewallregels correct zijn geconfigureerd. Test bovendien de netwerkconnectiviteit voor alle afhankelijke eindpunten.

Problemen met het maken en uitvoeren van clusters

Als u problemen ondervindt met het maken of bewerken van clusters en u vermoedt dat dit te maken heeft met de installatie van virtuele netwerken, volgt u deze stappen om het probleem op te lossen.

Controleer de configuratie van de DNS-servers

Voor het instellen van een privé-eindpunt moet DNS worden geconfigureerd. Alleen azure Privé-DNS zone-installatie wordt ondersteund. Het instellen van een aangepaste DNS-server wordt niet ondersteund. Controleer of de records die zijn gemaakt als onderdeel van het privé-eindpunt, zijn geregistreerd bij Azure Privé-DNS zone.

Het virtuele netwerk diagnosticeren met de REST API

ArmClient wordt gebruikt om de REST API aan te roepen met behulp van PowerShell.

1. Aanmelden met ARMClient

   armclient login
   

2. Diagnosebewerking aanroepen

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Het antwoord controleren

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Wachten tot de bewerking is voltooid

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Wacht totdat de statuseigenschapVoltooid weergeeft, waarna het eigenschappenveld het volgende moet weergeven:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Als de eigenschap Bevindingen een leeg resultaat toont, betekent dit dat alle netwerktests zijn geslaagd en dat er geen verbindingen zijn verbroken. Als de volgende fout wordt weergegeven, uitgaande afhankelijkheid {dependencyName}:{port} is mogelijk niet voldaan (uitgaand), kan het cluster de afhankelijke service-eindpunten niet bereiken. Ga verder met de volgende stappen.

NSG-regels controleren

Zorg ervoor dat de NSG correct is geconfigureerd volgens de instructies in Regels voor netwerkbeveiligingsgroepen configureren.

Controleer of de routetabel is geconfigureerd om opnameproblemen te voorkomen

Als het subnet van het cluster is geconfigureerd om al het internetverkeer terug te sturen naar uw firewall (subnet met een routetabel met de standaardroute '0.0.0.0/0'), moet u ervoor zorgen dat de IP-adressen voor beheer) en statuscontrole-IP-adressen een route hebben met het volgende hoptypeInternet en het bronadresvoorvoegsel naar 'management-ip/32' en 'health-monitoring-ip/32'. Deze route is vereist om problemen met asymmetrische routes te voorkomen.

Firewallregels bewerken

Als u uitgaand verkeer van een tunnelsubnet naar een firewall afdwingt, moet u ervoor zorgen dat alle afhankelijkheden FQDN (bijvoorbeeld .blob.core.windows.net) zijn toegestaan in de firewallconfiguratie, zoals beschreven in Uitgaand verkeer beveiligen met een firewall.

Problemen met het opschorten van clusters

Als het cluster niet kan worden onderbroken, controleert u of er geen vergrendelingen zijn op de netwerkresources in uw abonnement.