Неполадки сетевого виртуального модуля в Azure

  • Статья

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

При использовании стороннего сетевого виртуального модуля (NVA) в Microsoft Azure могут возникнуть проблемы и ошибки подключения к виртуальной машине или VPN. В этой статье приведены основные шаги, которые помогут вам проверить базовые требования к конфигурациям NVA на платформе Azure.

Поставщик NVA обеспечивает техническую поддержку сторонних модулей NVA и их интеграцию с платформой Azure.

Примечание.

Если у вас есть проблема с подключением или маршрутизацией, которая связана с NVA, вы должны напрямую обратиться к поставщику NVA.

Если проблема Azure не устранена в этой статье, посетите форумы Azure на форумах Microsoft Q и A и Stack Overflow. Описание своей проблемы можно опубликовать на этих форумах или написать в Twitter (@AzureSupport). Также можно отправить запрос в службу поддержки Azure. Чтобы отправить такой запрос, на странице поддержки Azure щелкните Получить поддержку.

Контрольный список для устранения неполадок при помощи поставщика NVA

  • Обновления программного обеспечения для программного обеспечения виртуальной машины NVA.
  • Настройка учетной записи службы и ее функций.
  • Определенные пользователем маршруты (UDR) в подсетях виртуальной сети, которые направляют трафик к модулям NVA.
  • Маршруты UDR в подсетях виртуальной сети, которые направляют трафик из модулей NVA.
  • Маршрутизация таблиц и правил в модулях NVA (например, из NIC1 в NIC2).
  • Трассировка в сетевых адаптерах NVA для проверки входящего и исходящего трафика.
  • При использовании номера SKU ценовой категории "Стандартный" и общедоступного IP-адреса нужно создать группу безопасности сети (NSG) и явное правило, разрешающее передачу трафика в NVA.

Основные шаги по устранению неполадок

  • Проверка базовой конфигурации.
  • Проверка производительности NVA.
  • Устранение неполадок с расширенными функциями сети.

Проверка минимальных требований к конфигурации модулей NVA в Azure

Для каждого модуля NVA предусмотрены базовые требования к конфигурации для правильной работы в Azure. В следующем разделе приведены шаги для проверки этих основных конфигураций. Для получения дополнительных сведений свяжитесь с поставщиком NVA.

Проверка того, включена ли в модуле NVA переадресация IP-адресов

Использование портала Azure

  1. Найдите ресурс модуля NVA на портале Azure, выберите "Сети", а затем — "Сетевой интерфейс".
  2. На странице Сетевой интерфейс выберите раздел IP-конфигурация.
  3. Включите переадресацию IP-адресов.

С помощью PowerShell

  1. Откройте PowerShell и войдите в свою учетную запись Azure.

  2. Выполните следующую команду (замените значения в скобках своими значениями):

    Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>

  3. Проверьте, чтобы было включено свойство EnableIPForwarding.

  4. Если IP-пересылка отключена, выполните следующие команды, чтобы включить ее:

    $nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NicName>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Проверьте наличие NSG при использовании общедоступного IP-адреса SKU уровня "Стандартный" и "Общедоступные IP-адреса ", необходимо создать группу безопасности сети и явное правило, чтобы разрешить трафик к NVA.

Проверка того, доступна ли возможность маршрутизации трафика в модуль NVA

  1. На портале Azure откройте раздел Наблюдатель за сетями и выберите Следующий прыжок.
  2. Укажите виртуальную машину, настроенную для перенаправления трафика к модулю NVA, и IP-адрес назначения, по которому можно просмотреть следующий прыжок.
  3. Если модуль NVA не указан в списке как следующий прыжок, проверьте и обновите таблицы маршрутов Azure.

Проверка того, доходит ли трафик до модуля NVA

  1. На портале Azure откройте раздел Наблюдатель за сетями, а затем выберите Проверка IP-потока.
  2. Укажите виртуальную машину и IP-адрес модуля NVA, а затем проверьте, блокируется ли трафик группами безопасности сети (NSG).
  3. Если есть правило NSG, которое блокирует трафик, найдите его в правилах эффективной безопасности и обновите, чтобы разрешить трафик. Затем снова запустите команду Проверка IP-потока и используйте параметр устранения неполадок подключения, чтобы проверить TCP-подключения из виртуальной машины к внутреннему или внешнему IP-адресу.

Проверка того, прослушивают ли виртуальные машины и модуль NVA для получения ожидаемого трафика

  1. Подключитесь к модулю NVA с помощью протокола RDP или SSH, а затем выполните следующую команду.

    Для Windows:

    netstat -an

    Для Linux:

    netstat -an | grep -i listen

  2. Если вы не видите TCP-порт, который используется программным обеспечением модуля NVA, указанным в результатах, нужно настроить приложение в модуле NVA и на виртуальной машине для прослушивания трафика, который доходит до этих портов, и соответствующего реагирования на него. При необходимости свяжитесь с поставщиком NVA.

Проверка производительности NVA

Проверка ЦП виртуальной машины

Если загрузка ЦП приближается к 100 процентам, могут возникнуть проблемы, влияющие на удаление сетевых пакетов. Виртуальная машина предоставляет отчет о средней загрузке ЦП за определенный период времени на портале Azure. Во время пика загрузки ЦП проанализируйте, какой процесс на гостевой виртуальной машине вызывает высокое потребление ЦП, и при возможности остановите его. Возможно, вам также придется изменить размер виртуальной машины на более крупный размер SKU. Для масштабируемого набора виртуальных машин увеличьте количество экземпляров или установите автоматическое масштабирование с учетом использования ЦП. При возникновении любой из этих проблем при необходимости свяжитесь с поставщиком NVA.

Проверка статистики сети виртуальных машин

Если в сети виртуальных машин наблюдаются всплески или отображаются периоды высокой нагрузки, вам также может потребоваться увеличить размер номера SKU виртуальной машины для получения более высокой пропускной способности. Вы также можете повторно развернуть виртуальную машину, включив параметр "Ускоренная сеть". Чтобы проверить, поддерживает ли модуль NVA функцию ускоренной сети, при необходимости свяжитесь с поставщиком NVA.

Устранение неполадок с расширенными функциями сети администратором

Запись трассировки сети

Запустив PsPing или Nmap, записывайте одновременную трассировку сети на исходной виртуальной машине, модуле NVA и виртуальной машине назначения, а затем остановите трассировку.

  1. Чтобы записать параллельную трассировку сети, выполните следующую команду.

    Для Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

    Для Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

  2. Используйте PsPing или Nmap из исходной виртуальной машины к виртуальной машине назначения (например, PsPing 10.0.0.4:80 или Nmap -p 80 10.0.0.4).

  3. Откройте трассировку сети из виртуальной машины назначения с помощью Network Monitor или tcpdump. Примените фильтр по IP-адресу исходной виртуальной машины, с которой вы выполняли PsPing или Nmap (например, IPv4.address==10.0.0.4 (Windows netmon) или tcpdump -nn -r vmtrace.cap src or dst host 10.0.0.4 (Linux)).

Анализ трассировок

Если входящие пакеты не отображаются в трассировке на внутренней виртуальной машине, скорее всего, этому препятствуют настройки группы безопасности сети, определенные пользователем маршрутизации или неправильные таблицы маршрутов модуля NVA.

Если входящие пакеты отображаются, но не отвечают, возможно, проблема в приложении виртуальной машины или брандмауэре. При возникновении любой из этих проблем при необходимости свяжитесь с поставщиком NVA.