Problemen met virtueel netwerkapparaat in Azure

  • Artikel

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Mogelijk ondervindt u problemen met vm- of VPN-connectiviteit en fouten bij het gebruik van een NVA (Network Virtual Appliance) van derden in Microsoft Azure. Dit artikel bevat basisstappen voor het valideren van basisvereisten voor Azure Platform voor NVA-configuraties.

Technische ondersteuning voor NVA's van derden en hun integratie met het Azure-platform wordt geleverd door de NVA-leverancier.

Notitie

Als u een connectiviteits- of routeringsprobleem hebt waarbij een NVA is betrokken, neemt u rechtstreeks contact op met de leverancier van de NVA .

Als uw Azure-probleem niet wordt opgelost in dit artikel, gaat u naar de Azure-forums op Microsoft Q & A en Stack Overflow. U kunt uw probleem posten in deze forums of posten op @AzureSupport op Twitter. U kunt ook een Azure-ondersteuningsaanvraag indienen. Als u een ondersteuningsaanvraag wilt indienen, selecteert u op de pagina Azure-ondersteuningOndersteuning krijgen.

Controlelijst voor probleemoplossing met NVA-leverancier

  • Software-updates voor NVA VM-software
  • Serviceaccount instellen en functionaliteit
  • Door de gebruiker gedefinieerde routes (UDR's) in subnetten van virtuele netwerken die verkeer naar NVA leiden
  • UDR's op subnetten van virtuele netwerken die verkeer van NVA omleiden
  • Routeringstabellen en -regels binnen de NVA (bijvoorbeeld van NIC1 naar NIC2)
  • Tracering op NVA-NIC's om het ontvangen en verzenden van netwerkverkeer te verifiëren
  • Wanneer u een standard-SKU en openbare IP-adressen gebruikt, moet er een NSG zijn gemaakt en moet er een expliciete regel zijn om toe te staan dat het verkeer naar de NVA wordt gerouteerd.

Basisstappen voor probleemoplossing

  • De basisconfiguratie controleren
  • NVA-prestaties controleren
  • Geavanceerde netwerkproblemen oplossen

Controleer de minimale configuratievereisten voor NVA's in Azure

Elke NVA heeft basisconfiguratievereisten om correct te kunnen werken in Azure. De volgende sectie bevat de stappen voor het controleren van deze basisconfiguraties. Neem contact op met de leverancier van de NVA voor meer informatie.

Controleer of doorsturen via IP is ingeschakeld op NVA

Azure Portal gebruiken

  1. Zoek de NVA-resource in de Azure Portal, selecteer Netwerken en selecteer vervolgens de Netwerkinterface.
  2. Selecteer op de netwerkinterfacepagina de optie IP-configuratie.
  3. Zorg ervoor dat doorsturen via IP is ingeschakeld.

PowerShell gebruiken

  1. Open PowerShell en meld u aan bij uw Azure-account.

  2. Voer de volgende opdracht uit (vervang de waarden tussen haakjes door uw gegevens):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>

  3. Controleer de eigenschap EnableIPForwarding.

  4. Als doorsturen via IP niet is ingeschakeld, voert u de volgende opdrachten uit om dit in te schakelen:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Controleer op NSG wanneer u openbare IP-adressen van de standard-SKU gebruikt wanneer u een standaard-SKU en openbare IP-adressen gebruikt. Er moet een NSG zijn gemaakt en een expliciete regel om het verkeer naar de NVA toe te staan.

Controleer of het verkeer kan worden gerouteerd naar de NVA

  1. Open Network Watcher op de Azure Portal en selecteer Volgende hop.
  2. Geef een VM op die is geconfigureerd om het verkeer om te leiden naar de NVA en een doel-IP-adres waarop de volgende hop moet worden weergegeven.
  3. Als de NVA niet wordt vermeld als de volgende hop, controleert u de Azure-routetabellen en werkt deze bij.

Controleer of het verkeer de NVA kan bereiken

  1. Open Network Watcher op de Azure Portal en selecteer Stroom van IP-adres controleren.
  2. Geef de VM en het IP-adres van de NVA op en controleer vervolgens of het verkeer wordt geblokkeerd door netwerkbeveiligingsgroepen (NSG's).
  3. Als er een NSG-regel is die het verkeer blokkeert, zoekt u de NSG in effectieve beveiligingsregels en werkt u deze vervolgens bij zodat verkeer kan passeren. Voer Stroom van IP-adres controleren opnieuw uit en gebruik Problemen met verbinding oplossen om TCP-communicatie van de VM naar uw interne of externe IP-adres te testen.

Controleer of de NVA en VM's luisteren naar verwacht verkeer

  1. Maak verbinding met de NVA met behulp van RDP of SSH en voer vervolgens de volgende opdracht uit:

    Voor Windows:

    netstat -an

    Voor Linux:

    netstat -an | grep -i listen

  2. Als u de TCP-poort die wordt gebruikt door de NVA-software die in de resultaten wordt vermeld, niet ziet, moet u de toepassing op de NVA en vm configureren om te luisteren naar en reageren op verkeer dat deze poorten bereikt. Neem zo nodig contact op met de NVA-leverancier voor hulp.

NVA-prestaties controleren

CPU van VM valideren

Als het CPU-gebruik bijna 100 procent wordt, kunnen er problemen optreden die van invloed zijn op netwerkpakketten. Uw VM rapporteert de gemiddelde CPU voor een specifieke periode in Azure Portal. Onderzoek tijdens een CPU-piek welk proces op de gast-VM de hoge CPU veroorzaakt en beperk het indien mogelijk. Mogelijk moet u ook het formaat van de virtuele machine wijzigen in een grotere SKU of, voor een virtuele-machineschaalset, het aantal exemplaren verhogen of instellen op automatisch schalen op CPU-gebruik. Neem voor een van deze problemen indien nodig contact op met de NVA-leverancier voor hulp.

Vm-netwerkstatistieken valideren

Als het VM-netwerk pieken gebruikt of perioden met hoog gebruik weergeeft, moet u mogelijk ook de SKU-grootte van de VIRTUELE machine verhogen om hogere doorvoermogelijkheden te verkrijgen. U kunt de VIRTUELE machine ook opnieuw implementeren door versneld netwerken ingeschakeld te hebben. Als u wilt controleren of de NVA de functie Versneld netwerken ondersteunt, neemt u indien nodig contact op met de NVA-leverancier voor hulp.

Probleemoplossing voor beheerders van geavanceerde netwerken

Netwerktracering vastleggen

Leg een gelijktijdige netwerktracering vast op de bron-VM, de NVA en de doel-VM terwijl u PsPing of Nmap uitvoert en stop vervolgens de tracering.

  1. Voer de volgende opdracht uit om een gelijktijdige netwerktracering vast te leggen:

    Voor Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Voor Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Gebruik PsPing of Nmap van de bron-VM naar de doel-VM (bijvoorbeeld: PsPing 10.0.0.4:80 of Nmap -p 80 10.0.0.4).

  3. Open de netwerktracering vanaf de doel-VM met behulp van Network Monitor of tcpdump. Pas een weergavefilter toe voor het IP-adres van de bron-VM waaruit u PsPing of Nmap hebt uitgevoerd, zoals IPv4.address==10.0.0.4 (Windows netmon) of tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

Traceringen analyseren

Als u de pakketten die binnenkomen bij de back-end-VM-trace niet ziet, is er waarschijnlijk sprake van een NSG of UDR, of zijn de NVA-routeringstabellen onjuist.

Als de inkomende pakketten wel worden weergegeven, maar er geen antwoord is, moet u mogelijk een probleem met een VM-toepassing of firewall oplossen. Neem voor een van deze problemen indien nodig contact op met de NVA-leverancier voor hulp.