Problemas relativos a aplicações virtuais de rede no Azure

  • Artigo

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Você pode enfrentar problemas de conectividade de VM ou VPN e erros ao usar um Network Virtual Appliance (NVA) de terceiros no Microsoft Azure. Este artigo fornece etapas básicas para ajudá-lo a validar os requisitos básicos da Plataforma Azure para configurações NVA.

O suporte técnico para NVAs de terceiros e sua integração com a plataforma Azure é fornecido pelo fornecedor de NVA.

Nota

Se você tiver um problema de conectividade ou roteamento que envolva um NVA, entre em contato diretamente com o fornecedor do NVA .

Se o seu problema do Azure não for resolvido neste artigo, visite os fóruns do Azure em Microsoft Q & A e Stack Overflow. Você pode postar seu problema nesses fóruns ou postar para @AzureSupport no Twitter. Você também pode enviar uma solicitação de suporte do Azure. Para enviar uma solicitação de suporte, na página de suporte do Azure, selecione Obter suporte.

Lista de verificação para solução de problemas com o fornecedor de NVA

  • Atualizações de software para software NVA VM
  • Configuração e funcionalidade da Conta de Serviço
  • Rotas definidas pelo usuário (UDRs) em sub-redes de rede virtual que direcionam o tráfego para NVA
  • UDRs em sub-redes de rede virtual que direcionam o tráfego do NVA
  • Tabelas e regras de roteamento dentro do NVA (por exemplo, de NIC1 para NIC2)
  • Rastreamento em NICs NVA para verificar o recebimento e envio de tráfego de rede
  • Ao usar um SKU padrão e IPs públicos, deve haver um NSG criado e uma regra explícita para permitir que o tráfego seja roteado para o NVA.

Passos de resolução de problemas básicos

  • Verifique a configuração básica
  • Verifique o desempenho do NVA
  • Solução de problemas de rede avançada

Verificar os requisitos de configuração mínimos das NVA no Azure

Cada NVA tem requisitos básicos de configuração para funcionar corretamente no Azure. A secção seguinte apresenta os passos para verificar estas configurações básicas. Para obter mais informações, contacte o fornecedor da NVA.

Verificar se o reencaminhamento IP está ativado na NVA

Utilizar o portal do Azure

  1. Localize o recurso NVA no portal do Azure, selecione Rede e, em seguida, selecione a Interface de rede.
  2. Na página Interface de rede, selecione Configuração IP.
  3. Confirme que o encaminhamento IP está ativado.

Utilizar o PowerShell

  1. Abra o PowerShell e, em seguida, inicie sessão na conta do Azure.

  2. Execute o seguinte comando (substitua os valores entre parênteses retos pela sua informação):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>

  3. Verifique a propriedade EnableIPForwarding.

  4. Se o encaminhamento IP não estiver ativado, execute os seguintes comandos para o ativar:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Verifique se há NSG ao usar IP público de SKU padrão Ao usar um SKU padrão e IPs públicos, deve haver um NSG criado e uma regra explícita para permitir o tráfego para o NVA.

Verificar se o tráfego pode ser encaminhado para a NVA

  1. No portal do Azure, abra o Observador de Rede e selecione Próximo Salto.
  2. Especifique uma VM que esteja configurada para redirecionar o tráfego para a NVA e um endereço IP de destino para visualizar o próximo salto.
  3. Se a NVA não estiver listada como o próximo salto, verifique e atualize as tabelas de rota do Azure.

Verificar se o tráfego chega à NVA

  1. No portal do Azure, abra o Observador de Rede e, em seguida, selecione Verificar Fluxo de IP.
  2. Especifique a VM e o endereço IP da NVA e, em seguida, verifique se o tráfego está bloqueado por algum Grupo de segurança da rede (NSG).
  3. Se uma regra de NSG estiver a bloquear o tráfego, localize o NSG nas regras de segurança efetivas e, em seguida, atualize-o para permitir a passagem do tráfego. Em seguida, execute Verificar Fluxo de IP novamente e utilize a Resolução de problemas de ligação para testar as comunicações TCP da VM para o endereço IP interno ou externo.

Verificar se a NVA e as VM estão a escutar o tráfego esperado

  1. Ligue-se à NVA com o RDP ou o SSH e, em seguida, execute o seguinte comando:

    Para Windows:

    netstat -an

    Para Linux:

    netstat -an | grep -i listen

  2. Se você não vir a porta TCP usada pelo software NVA listado nos resultados, deverá configurar o aplicativo no NVA e na VM para ouvir e responder ao tráfego que chega a essas portas. Contactar o fornecedor da NVA para obter assistência, se necessário.

Verifique o desempenho do NVA

Validar CPU de VM

Se o uso da CPU chegar perto de 100%, você pode enfrentar problemas que afetam as quedas de pacotes de rede. Sua VM relata a CPU média para um período de tempo específico no portal do Azure. Durante um pico de CPU, investigue qual processo na VM convidada está causando a alta CPU e mitigue-o, se possível. Também pode ser necessário redimensionar a VM para um tamanho de SKU maior ou, para o conjunto de dimensionamento de máquina virtual, aumentar a contagem de instâncias ou definir para dimensionar automaticamente o uso da CPU. Para qualquer um desses problemas, entre em contato com o fornecedor de NVA para obter assistência, conforme necessário.

Validar estatísticas de rede VM

Se a rede VM usar picos ou mostrar períodos de alto uso, você também pode ter que aumentar o tamanho da SKU da VM para obter recursos de taxa de transferência mais altos. Você também pode reimplantar a VM com a Rede Acelerada habilitada. Para verificar se o NVA suporta o recurso de rede acelerada, entre em contato com o fornecedor do NVA para obter assistência, conforme necessário.

Resolução de problemas avançada do administrador de rede

Capturar rastreio de rede

Capture um rastreamento de rede simultâneo na VM de origem, no NVA e na VM de destino enquanto executa o PsPing ou o Nmap e, em seguida, pare o rastreamento.

  1. Para capturar um rastreamento de rede simultâneo, execute o seguinte comando:

    Para Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Para Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Use PsPing ou Nmap da VM de origem para a VM de destino (por exemplo: PsPing 10.0.0.4:80 ou Nmap -p 80 10.0.0.4).

  3. Abra o rastreamento de rede da VM de destino usando o Monitor de Rede ou tcpdump. Aplique um filtro de exibição para o IP da VM de origem a partir da qual você executou o PsPing ou o Nmap, como IPv4.address==10.0.0.4 (Windows netmon) ou tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux).

Analise rastreamentos

Se você não vir os pacotes de entrada no rastreamento de VM de back-end, é provável que haja uma interferência NSG ou UDR ou as tabelas de roteamento NVA estejam incorretas.

Se vir que os pacotes estão a ser enviados, mas que não há resposta, poderá ter de resolver um problema da aplicação de VM ou de firewall. Para qualquer um desses problemas, entre em contato com o fornecedor do NVA para obter assistência, conforme necessário.