Solucionar problemas de acesso, ingestão e operação do cluster do Azure Data Explorer na rede virtual

Importante

Considere migrar para uma solução baseada em ponto de extremidade privado do Azure para implementar a segurança de rede com o Azure Data Explorer. Ele é menos propenso a erros e fornece paridade de recursos.

Nesta seção, você aprenderá a solucionar problemas de conectividade, operações e criação de um cluster implantado em sua rede virtual.

Problemas de acesso

Se você tiver problemas para acessar o cluster usando o ponto de extremidade público (cluster.region.kusto.windows.net) ou privado (private-cluster.region.kusto.windows.net) e suspeitar que isso tem relação com a configuração da rede virtual, execute as etapas a seguir para solucionar o problema.

Verificar a conectividade TCP

A primeira etapa inclui a verificação da conectividade TCP usando o sistema operacional Windows ou Linux.

Windows

1. Baixe o TCping no computador que está se conectando com o cluster.

2. Execute ping do computador de origem para o destino usando o seguinte comando:

   C:\> tcping -t yourcluster.kusto.windows.net 443
   ** Pinging continuously.  Press control-c to stop **
   Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms
   

Linux

1. Instale o netcat no computador que está se conectando com o cluster

   apt-get install netcat
   

2. Execute ping do computador de origem para o destino usando o seguinte comando:

   $ netcat -z -v yourcluster.kusto.windows.net 443
   Connection to yourcluster.kusto.windows.net 443 port [tcp/https] succeeded!
   

Se o teste não for bem-sucedido, prossiga para as etapas a seguir. Se o teste for bem-sucedido, o motivo não será um problema de conectividade TCP. Acesse problemas operacionais para se aprofundar na solução de problemas.

Verificar regras NSG (grupo de segurança de rede)

Verifique se o NSG anexado à sub-rede do cluster tem uma regra de entrada que permite o acesso do IP do computador cliente à porta 443.

Verifique se a tabela de rotas está configurada para evitar problemas de acesso

Se a sub-rede do cluster for configurada para forçar o túnel de todo o tráfego vinculado à Internet de volta para o seu firewall (sub-rede com uma tabela de rotas que contém a rota padrão '0.0.0.0/0'), verifique se o endereço IP do computador tem uma rota com o tipo de próximo salto para VirtualNetwork/Internet. Essa rota é necessária para evitar problemas de rota assimétrica.

Problemas de ingestão

Se você estiver com problemas de ingestão e suspeitar que eles estejam relacionados à configuração da rede virtual, execute as etapas a seguir.

Verificar a integridade da ingestão

Verifique se as métricas de ingestão do cluster indicam um estado íntegro.

Verificar as regras de segurança nos recursos de fonte de dados

Se as métricas indicarem que não foi processado nenhum evento da fonte de dados (métrica de Eventos processados dos Hubs de Evento ou do Hub IoT), verifique se os recursos de fonte de dados (Hubs de Eventos ou armazenamento) permitem o acesso da sub-rede do cluster nas regras de firewall ou nos pontos de extremidade de serviço.

Verificar as regras de segurança configuradas na sub-rede do cluster

Verifique se a sub-rede do cluster tem regras de NSG, UDR e firewall configuradas corretamente. Além disso, teste a conectividade de rede de todos os pontos de extremidade dependentes.

Problemas de criação e de operações de cluster

Se você estiver com problemas de criação ou operação de cluster e suspeitar que eles estejam relacionados à configuração da rede virtual, siga estas etapas para solucionar o problema.

Verificar a configuração dos "servidores DNS"

A configuração do ponto de extremidade privado requer a configuração do DNS, nós damos suporte apenas à configuração da zona de DNS privado do Azure. Não há suporte para a configuração do servidor DNS personalizado. Verifique se os registros que foram criados como parte do ponto de extremidade privado estão registrados na zona DNS privada do Azure.

Diagnosticar a rede virtual com a API REST

O ARMClient é usado para chamar a API REST usando o PowerShell.

1. Entrar com o ARMClient

   armclient login
   

2. Invocar operação de diagnóstico

   $subscriptionId = '<subscription id>'
   $clusterName = '<name of cluster>'
   $resourceGroupName = '<resource group name>'
   $apiversion = '2019-11-09'
   
   armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose
   

3. Verifique a resposta

   HTTP/1.1 202 Accepted
   ...
   Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   ...
   

4. Aguardar a conclusão da operação

   armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
   
   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "[Running/Failed/Completed]",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {...}
   }
   

   Aguarde até que a propriedade status mostre Completed, depois, o campo properties exibirá:

   {
     "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
     "name": "{operation-name}",
     "status": "Completed",
     "startTime": "{start-time}",
     "endTime": "{end-time}",
     "properties": {
       "Findings": [...]
     }
   }
   

Se a propriedade Findings mostrar um resultado vazio, todos os testes de rede terão sido aprovados e nenhuma conexão estará interrompida. Se o seguinte erro for mostrado: A dependência de saída '{dependencyName}:{port}' pode não estar satisfeita (Saída) , o cluster não poderá acessar os pontos de extremidade de serviço dependentes. Prossiga com as etapas a seguir.

Verificar regras do NSG

Verifique se o NSG está configurado corretamente de acordo com as instruções em Configurar regras do Grupo de Segurança de Rede.

Verifique se a tabela de rotas está configurada para evitar problemas de ingestão

Se a sub-rede do cluster estiver configurada para forçar o túnel de todo o tráfego vinculado à Internet de volta para o seu firewall (sub-rede com uma tabela de rotas que contém a rota padrão '0.0.0.0/0'), verifique se os endereços IP de gerenciamento e os endereços IP de monitoramento de integridade têm uma rota com o tipo de próximo salto como Internet e o prefixo de endereço de origem como 'management-ip/32' e 'health-monitoring-ip/32'. Essa rota é necessária para evitar problemas de rota assimétrica.

Verificar regras de firewall

Se você forçar o túnel do tráfego de saída da sub-rede para um firewall, verifique se os FQDNs de todas as dependências (por exemplo, .blob.core.windows.net) são permitidos na configuração do firewall, conforme a descrição em Como proteger o tráfego de saída com o firewall.

Problemas de suspensão de cluster

Se o cluster não for suspenso, confirme se não há nenhum bloqueio nos recursos de rede em sua assinatura.