Solucionar problemas de conectividade de rede
Este artigo ajuda a solucionar problemas de conectividade de rede usando as Migrações para Azure com pontos de extremidade privados.
Validar a configuração de pontos de extremidade privados
Verifique se o ponto de extremidade privado está em um estado aprovado.
Vá para a página de propriedades Azure Migrate: Discovery and Assessment e Migration and modernization .
A página de propriedades contém a lista de pontos de extremidade privados e FQDNs de link privado que foram criados automaticamente pelas Migrações para Azure.
Selecione o ponto de extremidade privado que deseja diagnosticar.
a. Valide se o estado da conexão está Aprovado.
b. Se a conexão estiver em um estado Pendente, você precisará aprová-lo.
c. Você também pode navegar até o recurso de ponto de extremidade privado e analisar se a rede virtual corresponde à rede virtual de ponto de extremidade privada do projeto Migrar.
Validar o fluxo de dados por meio de pontos de extremidade privados
Revise as métricas de fluxo de dados para verificar o fluxo de tráfego por meio de pontos de extremidade privados. Selecione o ponto de extremidade privado na página Azure Migrate: Server Assessment and Migration and modernization Properties. Isso será redirecionado para a seção de visão geral do ponto de extremidade privado no Centro de Link Privado do Azure. No menu à esquerda, selecione Métricas para exibir as informações deBytes de dados de entrada e Bytes de dados de saída para exibir o fluxo de tráfego.
Verificar a resolução de DNS
O dispositivo local (ou provedor de replicação) acessará os recursos de Migrações para Azure usando seus FQDNs (nomes de domínio totalmente qualificados). Você pode exigir configurações de DNS adicionais para resolver o endereço IP privado dos pontos de extremidade privados do ambiente de origem. Confira este artigo para entender os cenários de configuração de DNS que podem ajudar a solucionar problemas de conectividade de rede.
Para validar a conexão do link privado, execute uma resolução DNS dos pontos de extremidade do recurso das Migrações para Azure (FQDNs do recurso de link privado) no servidor local que hospeda o dispositivo de Migrações e verifique se ele é resolvido para endereços IP privados.
Para obter os detalhes do ponto de extremidade privado para verificar a resolução DNS:
Os detalhes do ponto de extremidade privado e as informações dos FQDNs de recursos de link privado estão disponíveis nas páginas de propriedades de Descoberta e Avaliação e Migração e modernização. Selecione Baixar configurações de DNS para exibir a lista. Observe, somente os pontos de extremidade privados criados automaticamente pelas Migrações para Azure estão listados abaixo.
Se você criou um ponto de extremidade privado para as contas de armazenamento para replicação em uma rede privada, poderá obter o endereço IP e o FQDN do link privado, conforme ilustrado abaixo.
Acesse a conta de armazenamento>rede>conexões de ponto de extremidade privadas e selecione o ponto de extremidade privado criado.
Acesse as Configurações>configuração de DNS para obter o FQDN da conta de armazenamento e o endereço IP privado.
Um exemplo ilustrativo para a resolução DNS do FQDN do link privado da conta de armazenamento.
Insira
nslookup <storage-account-name>_.blob.core.windows.net.Substitua<storage-account-name>pelo nome da conta de armazenamento usada nas Migrações para Azure.Você receberá uma mensagem semelhante a esta:
O endereço IP privado 10.1.0.5 é retornado para a conta de armazenamento. Esse endereço pertence à sub-rede da rede virtual do ponto de extremidade privado.
Você pode verificar a resolução de DNS para outros artefatos de Migrações para Azure usando uma abordagem semelhante.
Se a resolução de DNS estiver incorreta, siga estas etapas:
Recomendável: atualizar manualmente os registros DNS do ambiente de origem editando o arquivo de hosts DNS em seu dispositivo local com os FQDNs do recurso de link privado e os respectivos endereços IP privados associados.
- Se você usar um DNS personalizado, examine as configurações de DNS personalizadas e valide se a configuração de DNS está correta. Confira diretrizes em visão geral do ponto de extremidade privado: configuração de DNS.
- Se você usar servidores DNS fornecidos pelo Azure, confira outras soluções de problemas na seção abaixo.
Dica
Para testar, você pode atualizar manualmente os registros DNS do ambiente de origem editando o arquivo de hosts DNS em seu dispositivo local com os FQDNs do recurso de link privado e os respectivos endereços IP privados associados.
Validar a zona DNS privada
Se a resolução DNS não estiver funcionando conforme descrito na seção anterior, pode haver um problema com sua Zona DNS Privada.
Confirme se o recurso de Zona DNS Privada necessário existe
Por padrão, as Migrações para Azure também criam uma zona DNS privada correspondente ao subdomínio privatelink para cada tipo de recurso. A zona DNS privada é criada no mesmo grupo de recursos do Azure que o grupo de recursos de ponto de extremidade privado. O grupo de recursos do Azure deve conter recursos de zona DNS privada com o seguinte formato:
- privatelink.vaultcore.azure.net para o cofre de chaves
- privatelink.blob.core.windows.net para a conta de armazenamento
- privatelink.siterecovery.windowsazure.com para o cofre dos serviços de recuperação (para replicações baseadas em agente e Hyper-V)
- privatelink.prod.migration.windowsazure.com – projeto de migração, projeto de avaliação e site de descoberta.
As Migrações para Azure criam automaticamente a zona DNS privada (exceto para a conta de armazenamento de replicação/cache selecionada pelo usuário). É possível localizar a zona DNS privada vinculada navegando até a página do ponto de extremidade privado e selecionando configurações de DNS. Aqui, você deve ver a zona DNS privada seção de integração de DNS privado.
Se a zona DNS não estiver presente (conforme mostrado abaixo), crie um novo recurso de Zona DNS Privada.
Confirme se a zona DNS privada está vinculada à rede virtual
A zona DNS privada deve ser vinculada à rede virtual que contém o ponto de extremidade privado para a consulta DNS para resolver o endereço IP privado do ponto de extremidade do recurso. Se a zona DNS privada não estiver vinculada à Rede Virtual correta, qualquer resolução DNS dessa rede virtual ignorará a zona DNS privada.
Navegue até o recurso da zona DNS privada no portal do Azure e selecione os links de rede virtual no menu esquerdo. Você deverá ver as redes virtuais vinculadas.
Isso mostra uma lista de links, cada um com o nome de uma rede virtual em sua assinatura. A rede virtual que contém o recurso de ponto de extremidade privado deve estar listada aqui. Caso contrário, siga este artigo para vincular a zona DNS privada a uma rede virtual.
Depois que a zona DNS privada é vinculada à rede virtual, as solicitações DNS originadas da rede virtual procuram registros DNS na zona DNS privada. Isso é necessário para a resolução de endereço correta para a rede virtual em que o ponto de extremidade privado foi criado.
Confirmar se a zona DNS privada contém os registros A corretos
Acesse a zona DNS privada para a qual deseja solucionar problemas. A página de visão geral mostra todos os registros DNS para essa zona DNS privada. Verifique se existe um registro DNS A para o recurso. O valor do registro A (o endereço IP) deve ser o endereço IP privado dos recursos. Se você encontrar o registro A com o endereço IP errado, deverá remover esse endereço IP e adicionar um novo. Recomendamos que você remova todo o registro A e adicione um novo e faça uma liberação de DNS no dispositivo de origem local.
Um exemplo ilustrativo para o registro DNS A da conta de armazenamento na zona DNS privada:
Um exemplo ilustrativo para os registros DNS A de microsserviços do cofre dos Serviços de Recuperação na zona DNS privada:
Observação
Quando você remove ou modifica um registro A, o computador ainda pode resolver para o endereço IP antigo porque o valor TTL (Time To Live) pode ainda não ter expirado.
Itens que podem afetar a conectividade de link privado
Esta é uma lista não exaustiva de itens que podem ser encontrados em cenários avançados ou complexos:
- Configurações de firewall, o Firewall do Azure conectado à rede virtual ou uma solução de firewall personalizada que está sendo implantada no computador do dispositivo.
- Emparelhamento de rede, que pode afetar quais servidores DNS são usados e como o tráfego é roteado.
- As soluções de gateway personalizado (NAT) podem afetar a forma como o tráfego é roteado, incluindo o tráfego de consultas DNS.
Confira mais informações no Guia de solução de problemas de conectividade de ponto de extremidade privado.
Problemas comuns ao usar as Migrações para Azure com pontos de extremidade privados
Nesta seção, listaremos alguns dos problemas que ocorrem com frequência e sugeriremos etapas de solução de problemas do tipo faça você mesmo para corrigir o problema.
Falha no registro do dispositivo com o erro ForbiddenToAccessKeyVault
Falha na operação de criação ou atualização do Azure Key Vault para <KeyVaultName> devido ao erro <ErrorMessage>
Causas possíveis::
Esse problema pode ocorrer se a conta do Azure que está sendo usada para registrar o dispositivo não tiver as permissões necessárias ou se o dispositivo de Migrações para Azure não puder acessar o Key Vault.
Correção:
Etapas paraa solucionar problemas de acesso ao Key Vault:
- Certifique-se de que a conta de usuário do Azure usada para registrar o dispositivo tenha pelo menos permissões de Colaborador na assinatura.
- Verifique se o usuário que está tentando registrar o dispositivo tem acesso ao Key Vault e tem uma política de acesso atribuída na seção Key Vault > Política de acesso. Saiba mais
- Saiba mais sobre as funções e permissões necessárias do Azure.
Etapas para solucionar problemas de conectividade com o Key Vault: Se você habilitar o dispositivo para conectividade de ponto de extremidade privado, use as seguintes etapas para solucionar problemas de conectividade de rede:
Verifique se o dispositivo está hospedado na mesma rede virtual ou se está conectado à rede virtual do Azure de destino (em que o ponto de extremidade privado do Key Vault foi criado) por meio de um link privado. O ponto de extremidade privado do Cofre de Chaves é criado na rede virtual selecionada durante a experiência de criação do projeto. Você pode verificar os detalhes da rede virtual na página Migrações para Azure > Propriedades.
Verifique se o dispositivo tem conectividade de rede com o Key Vault em um link privado. Para validar a conectividade do link privado, execute uma resolução DNS do ponto de extremidade de recurso do Key Vault a partir do servidor local que hospeda o dispositivo e verifique se ela é resolvida para um endereço IP privado.
Acesse Migrações para Azure: Descoberta e avaliação> Propriedades para localizar os detalhes de pontos de extremidade privados para recursos como o Key Vault criados durante a etapa de geração de chave.
Selecione configurações de DNS para download para baixar os mapeamentos de DNS.
Abra a linha de comando e execute o comando nslookup a seguir para verificar a conectividade de rede com a URL Key Vault mencionada no arquivo de configurações de DNS.
nslookup <your-key-vault-name>.vault.azure.netSe você executar o comando de pesquisa para resolver o endereço IP de um cofre de chaves por meio de um ponto de extremidade público, verá um resultado com esta aparência:
c:\ >nslookup <your-key-vault-name>.vault.azure.net Non-authoritative answer: Name: Address: (public IP address) Aliases: <your-key-vault-name>.vault.azure.netSe você executar o comando de pesquisa para resolver o endereço IP de um cofre de chaves por meio de um ponto de extremidade privado, verá um resultado com esta aparência:
c:\ >nslookup your_vault_name.vault.azure.net Non-authoritative answer: Name: Address: 10.12.4.20 (private IP address) Aliases: <your-key-vault-name>.vault.azure.net <your-key-vault-name>.privatelink.vaultcore.azure.netO comando nslookup deve ser resolvido para um endereço IP privado, conforme mencionado acima. O endereço IP privado deve corresponder ao listado no arquivo de configurações de DNS.
Se a resolução de DNS estiver incorreta, siga estas etapas:
Atualize manualmente os registros DNS do ambiente de origem editando o arquivo de hosts DNS no dispositivo local com os mapeamentos de DNS e os endereços IP privados associados. Essa opção é recomendada para teste.
Se você usar um servidor DNS personalizado, examine as configurações de DNS personalizadas e valide se a configuração de DNS está correta. Confira diretrizes em visão geral do ponto de extremidade privado: configuração de DNS.
Considerações sobre o servidor proxy: se o dispositivo usar um servidor proxy para conectividade de saída, talvez seja necessário validar as configurações de rede para garantir que as URLs de link privado estejam acessíveis e possam ser roteadas conforme o esperado.
- Se o servidor proxy for para conectividade com a Internet, talvez seja necessário adicionar encaminhadores de tráfego ou regras para ignorar o servidor proxy para os FQDNs de link privado. Saiba mais sobre como adicionar regras de bypass de proxy.
- Como alternativa, se o servidor proxy for para todo o tráfego de saída, certifique-se de que o servidor proxy pode resolver os FQDNs do link privado para seus respectivos endereços IP privados. Para uma solução alternativa rápida, você pode atualizar manualmente os registros DNS no servidor proxy com os mapeamentos DNS e os endereços IP privados associados, conforme mostrado acima. Essa opção é recomendada para teste.
Se o problema persistir, consulte esta seção para obter mais soluções de problema.
Depois de verificar a conectividade, repita o processo de registro.
Validar a conectividade de rede de ponto de extremidade privado
Você pode usar o comando Test-NetConnection no PowerShell para verificar se a porta pode ser acessada do dispositivo para o ponto de extremidade privado. Verifique se você pode resolver a Conta de Armazenamento e o Cofre de Chaves para o projeto de migração do Azure usando o endereço IP privado.
Falha ao iniciar a descoberta com o erro AgentNotConnected
O dispositivo não pôde iniciar a descoberta pois o agente local não consegue se comunicar com o ponto de extremidade de serviço das Migrações para Azure: <nome da URL> no Azure.
Causas possíveis::
Esse problema poderá ocorrer se o dispositivo não conseguir alcançar o(s) ponto(s) de extremidade de serviço mencionados na mensagem de erro.
Correção:
Verifique se o dispositivo tem conectividade diretamente ou por proxy e pode resolver o ponto de extremidade de serviço fornecido na mensagem de erro.
Se você habilitar o dispositivo para conectividade de ponto de extremidade privado, verifique se o dispositivo está conectado à Rede Virtual do Azure por meio de um link privado e pode resolver os pontos de extremidade de serviço fornecidos na mensagem de erro.
Etapas para solucionar problemas de conectividade de link privado com pontos de extremidade de serviço das Migrações para Azure de serviço:
Se você tiver habilitado o dispositivo para conectividade de ponto de extremidade privado, use as seguintes etapas para solucionar problemas de conectividade de rede:
Verifique se o dispositivo está hospedado na mesma rede virtual ou se está conectado à rede virtual do Azure de destino (em que os pontos de extremidade privados foram criados) por meio de um link privado. Os pontos de extremidade privados para as Migrações para Azure são criados na rede virtual selecionada durante a experiência de criação do projeto. Você pode verificar os detalhes da rede virtual na página Migrações para Azure > Propriedades.
Verifique se o dispositivo tem conectividade de rede com as URLs do ponto de extremidade de serviço e outras URLs, mencionadas na mensagem de erro, em uma conexão de link privado. Para validar a conectividade do link privado, execute uma resolução DNS das URLs a partir do servidor local que hospeda o dispositivo e verifique se ela é resolvida para endereços IP privados.
Acesse Migrações para Azure: Descoberta e avaliação> Propriedades para localizar os detalhes dos pontos de extremidade privados dos pontos de extremidade de serviço criados durante a etapa de geração de chave.
Selecione configurações de DNS para download para baixar os mapeamentos de DNS.
| Mapeamentos de DNS que contêm URLs de ponto de extremidade privado | Detalhes |
|---|---|
| *.disc.privatelink.prod.migration.windowsazure.com | Ponto de extremidade de serviço de descoberta das Migrações para Azure |
| *.asm.privatelink.prod.migration.windowsazure.com | Ponto de extremidade de serviço de avaliação das Migrações para Azure |
| *.hub.privatelink.prod.migration.windowsazure.com | Ponto de extremidade de hub das Migrações para Azure a fim de receber dados de outras ofertas de um ISV (fornecedor independente de software) da Microsoft ou externo |
| *.privatelink.siterecovery.windowsazure.com | Ponto de extremidade de serviço do Azure Site Recovery para orquestrar replicações |
| *.vault.azure.net | Ponto de extremidade do Key Vault |
| *.blob.core.windows.net | Ponto de extremidade da conta de armazenamento para dados de dependência e desempenho |
Além das URLs acima, o dispositivo precisa acessar as URLs a seguir pela Internet, diretamente ou por proxy.
| Outras URLs de nuvem pública (URLs de ponto de extremidade públicas) |
Detalhes |
|---|---|
| *. portal.azure.com | Navegue até o portal do Azure |
| *.windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com *.microsoftonline.com *.microsoftonline-p.com |
Usado para controle de acesso e gerenciamento de identidades pelo Microsoft Entra ID |
| management.azure.com | Para disparar implantações do Azure Resource Manager |
| *.services.visualstudio.com (opcional) | Carregue logs de dispositivo usados para monitoramento interno. |
| aka.ms/* (opcional) | Permitir acesso aos links também conhecidos como; usados para baixar e instalar as atualizações mais recentes dos serviços de dispositivo |
| download.microsoft.com/download | Permitir downloads do Centro de Download da Microsoft |
Abra a linha de comando e execute o comando nslookup a seguir para verificar a conectividade de link privado com a URLs listadas no arquivo de configurações de DNS. Repita esta etapa para todas as URLs no arquivo de configurações de DNS.
Ilustração: verificar a conectividade de link privado com o ponto de extremidade do serviço de descoberta
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.comSe a solicitação puder alcançar o ponto de extremidade de serviço de descoberta em um ponto de extremidade privado, você verá um resultado parecido com este:
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com Non-authoritative answer: Name: Address: 10.12.4.23 (private IP address) Aliases: 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com prod.cus.discoverysrv.windowsazure.comO comando nslookup deve ser resolvido para um endereço IP privado, conforme mencionado acima. O endereço IP privado deve corresponder ao listado no arquivo de configurações de DNS.
Se a resolução de DNS estiver incorreta, siga estas etapas:
Atualize manualmente os registros DNS do ambiente de origem editando o arquivo de hosts DNS no dispositivo local com os mapeamentos de DNS e os endereços IP privados associados. Essa opção é recomendada para teste.
Se você usar um servidor DNS personalizado, examine as configurações de DNS personalizadas e valide se a configuração de DNS está correta. Confira diretrizes em visão geral do ponto de extremidade privado: configuração de DNS.
Considerações sobre o servidor proxy: se o dispositivo usar um servidor proxy para conectividade de saída, talvez seja necessário validar as configurações de rede para garantir que as URLs de link privado estejam acessíveis e possam ser roteadas conforme o esperado.
- Se o servidor proxy for para conectividade com a Internet, talvez seja necessário adicionar encaminhadores de tráfego ou regras para ignorar o servidor proxy para os FQDNs de link privado. Saiba mais sobre como adicionar regras de bypass de proxy.
- Como alternativa, se o servidor proxy for para todo o tráfego de saída, certifique-se de que o servidor proxy pode resolver os FQDNs do link privado para seus respectivos endereços IP privados. Para uma solução alternativa rápida, você pode atualizar manualmente os registros DNS no servidor proxy com os mapeamentos DNS e os endereços IP privados associados, conforme mostrado acima. Essa opção é recomendada para teste.
Se o problema persistir, consulte esta seção para obter mais soluções de problema.
Depois de verificar a conectividade, repita o processo de descoberta.
A solicitação de importação/exportação falha com o erro "403: Esta solicitação não está autorizada a executar esta operação"
A solicitação de relatório de exportação/importação/download falha com o erro "403: Esta solicitação não está autorizada a executar esta operação" em projetos com conectividade de ponto de extremidade privado.
Causas possíveis::
Esse erro pode ocorrer se a solicitação de exportação/importação/download não foi iniciada de uma rede autorizada. Isso pode acontecer se a solicitação de importação/exportação/download foi iniciada a partir de um cliente que não está conectado ao serviço Migrações para Azure (rede virtual do Azure) em uma rede privada.
Remediação
Opção 1(recomendada):
Para resolver esse erro, repita a operação de importação/exportação/download a partir de um cliente que reside em uma rede virtual conectada ao Azure por um link privado. Abra o portal do Microsoft Azure na rede local ou na VM do dispositivo e repita a operação.
Opção 2:
A solicitação de importação/exportação/download faz uma conexão com uma conta de armazenamento de relatórios de upload/download. Também é possível alterar as configurações de rede da conta de armazenamento usada na operação de importação/exportação/download e permitir o acesso à conta de armazenamento por meio de outras redes (redes públicas).
Para configurar a conta de armazenamento para conectividade de ponto de extremidade público,
Localize a conta de armazenamento: o nome da conta de armazenamento está disponível na página de propriedades Migrações para Azure: Descoberta e Avaliação. O nome da conta de armazenamento terá o sufixo usa.
Navegue até a conta de armazenamento e edite as propriedades de rede da conta de armazenamento para permitir o acesso de todas/outras redes.
Como alternativa, limite o acesso às redes selecionadas e adicione o endereço IP público do cliente pelo qual você está tentando acessar o portal do Microsoft Azure.
O uso de pontos de extremidade privados para replicação exigem que os serviços do dispositivo das Migrações para Azure estejam em execução nas seguintes versões
Causas possíveis::
Esse problema pode ocorrer se os serviços em execução no dispositivo não estiverem em execução na versão mais recente. O agente DRA orquestra a replicação do servidor e coordena a comunicação entre servidores replicados e o Azure. O gateway envia dados replicados para o Azure.
Observação
Esse erro só é aplicável a migrações de VM do VMware sem agente.
Correção:
Valide se os serviços em execução no dispositivo foram atualizados para as versões mais recentes.
Para fazer isso, inicie o gerenciador de configuração do dispositivo do seu servidor de dispositivo e selecione Exibir serviços de dispositivo no painel de pré-requisitos de instalação. O dispositivo e os respectivos componentes são atualizados automaticamente. Caso contrário, siga as instruções para atualizar os serviços de dispositivo manualmente.
Falha ao salvar a configuração: tempo limite do gateway 504
Causas possíveis::
Esse problema poderá ocorrer se o dispositivo das Migrações para Azure não conseguir alcançar o ponto de extremidade de serviço fornecido na mensagem de erro.
Correção:
Para validar a conexão do link privado, execute uma resolução DNS dos pontos de extremidade do recurso das Migrações para Azure (FQDNs do recurso de link privado) no servidor local que hospeda o dispositivo de Migrações e verifique se eles são resolvidos para endereços IP privados.
Para obter os detalhes do ponto de extremidade privado para verificar a resolução DNS:
Os detalhes do ponto de extremidade privado e as informações do FQDN do recurso de link privado estão disponíveis nas páginas de propriedades de Descoberta e Avaliação e Migração e modernização. Selecione Baixar configurações de DNS nas duas páginas de propriedades para exibir a lista completa.
Em seguida, consulte estas diretrizes para verificar a resolução DNS.