Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec l’augmentation des charges de travail sophistiquées et hautes performances dans Azure, il est essentiel d’augmenter la visibilité et le contrôle de l’état opérationnel des réseaux complexes exécutant ces charges de travail. Des scénarios de réseau si complexes sont implémentés à l’aide de groupes de sécurité réseau, de pare-feu, d’itinéraires définis par l’utilisateur et de ressources fournies par Azure. Ces configurations complexes rendent difficile la résolution des problèmes de connectivité.
La fonctionnalité de résolution des problèmes de connexion d’Azure Network Watcher permet de réduire le temps nécessaire pour diagnostiquer et résoudre les problèmes de connectivité réseau. Les résultats obtenus peuvent fournir des insights sur la cause racine du problème de connectivité et sur le fait qu’il soit dû à un problème de configuration de plateforme ou d’utilisateur.
La résolution des problèmes de connexion réduit le temps moyen de résolution (MTTR) en fournissant une méthode complète d’exécution de toutes les vérifications principales de connexion pour détecter les problèmes liés aux groupes de sécurité réseau, aux itinéraires définis par l’utilisateur et aux ports bloqués. Elle fournit les résultats suivants avec des insights actionnables dans lesquels un guide pas à pas ou une documentation correspondante est fourni pour une résolution plus rapide :
- Test de connectivité avec différents types de destination (machine virtuelle, URI, nom de domaine complet ou adresse IP)
- Problèmes de configuration ayant un impact sur l’accessibilité
- Latence (minimum, maximum et moyenne entre la source et la destination)
- Vue de topologie graphique de la source vers la destination
- Nombre de sondes ayant échoué pendant la vérification des problèmes de connexion
Expérience sans agent (préversion)
La résolution des problèmes de connexion prend désormais en charge une expérience sans agent (actuellement en préversion). Vous n’avez plus besoin d’installer l’extension de machine virtuelle de l’agent Network Watcher sur vos machines virtuelles pour exécuter des tests de connectivité. Les fonctionnalités et le fonctionnement sont susceptibles de changer avant la disponibilité générale.
Auparavant, les tests de connectivité avec la résolution des problèmes de connexion nécessitaient que la machine virtuelle source ait installé l’extension de machine virtuelle de l’agent Network Watcher. Cette extension a été nécessaire pour exécuter des tests à partir de la machine virtuelle.
Quoi de neuf
Avec la mise à jour sans agent (préversion), vous pouvez désormais exécuter des tests de connectivité entre les ressources Azure sans installer d’agent de diagnostic ou d’extension de machine virtuelle. Cela simplifie l’installation, réduit la surcharge opérationnelle et permet une résolution des problèmes plus rapide directement à partir du portail Azure.
- Aucune installation de l’agent n’est requise : les tests de connectivité peuvent être lancés sans déployer ou mettre à jour l’extension de machine virtuelle de l’agent Network Watcher sur vos machines virtuelles Windows ou Linux.
- Expérience simplifiée : tous les diagnostics sont effectués à l’aide d’API de plateforme Azure, ce qui rend le processus fluide et efficace.
Types de sources et de destinations prises en charge
La résolution des problèmes de connexion permet de vérifier les connexions TCP ou ICMP à partir de l’une de ces ressources Azure :
- Machines virtuelles
- Groupes identiques de machines virtuelles
- Instances Azure Bastion
- Passerelles d’application v2 à l’exception des passerelles inscrites dans le déploiement d’Application Gateway privé
La résolution des problèmes de connexion peut tester les connexions à l’une des destinations suivantes :
- Machines virtuelles
- Noms de domaine complets (FQDN)
- URI (Uniform Resource Identifier)
- Adresses IP
Problèmes détectés par résolution des problèmes de connexion
La résolution des problèmes de connexion peut détecter les types de problèmes suivants qui peuvent avoir un impact sur la connectivité :
- Utilisation élevée du processeur de machine virtuelle
- Utilisation élevée de la mémoire de machine virtuelle
- Règles de pare-feu de machine virtuelle (invité) bloquant le trafic
- échecs de résolution DNS
- Itinéraires mal configurés ou manquants
- Règles de groupe de sécurité réseau (NSG) qui bloquent le trafic
- Incapacité d’ouvrir un socket sur le port source spécifié
- Entrées de protocole de résolution d’adresses manquantes pour les circuits Azure ExpressRoute
- Les serveurs ne sont pas à l’écoute sur les ports de destination désignés
response
Le tableau suivant présente les propriétés retournées une fois la résolution des problèmes de connexion effectuée.
| Propriété | Descriptif |
|---|---|
| Statut de la connexion | État de la vérification de la connectivité. Les résultats possibles sont Joignable et Inaccessible. |
| AvgLatencyInMs | Latence moyenne pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable). |
| MinLatencyInMs | Latence minimale pendant la vérification de la connectivité, en millisecondes. (Affichée uniquement si l’état de la vérification est Joignable). |
| LatenceMaximaleEnMs | Latence maximale pendant la vérification de la connectivité, en millisecondes (Affichée uniquement si l’état de la vérification est Joignable). |
| ProbesSent | Nombre de sondes envoyées lors de la vérification. La valeur maximale est 100. |
| Echec des sondes | Nombre de sondes ayant échoué lors de la vérification. La valeur maximale est 100. |
| Hops | Chemin tronçon par tronçon entre la source et la destination. |
| Hops[].Type | Type de ressource. Les valeurs possibles sont Source, VirtualAppliance, VnetLocal et Internet. |
| Hops[].Id | Identificateur unique du tronçon. |
| Hops[].Address | Adresse IP du tronçon. |
| Hops[].ResourceId | ID de ressource du tronçon si le tronçon est une ressource Azure. S’il s’agit d’une ressource internet, l’ID de ressource est Internet. |
| Hops[].NextHopIds | Identificateur unique du prochain tronçon. |
| Hops[].Issues | Ensemble des problèmes rencontrés lors de la vérification au niveau du tronçon. En l’absence de problème, la valeur est vide. |
| Hops[].Issues[].Origin | Au niveau du tronçon actuel, emplacement où le problème s’est produit. Les valeurs possibles sont les suivantes : Inbound : le problème se trouve sur le lien entre le tronçon précédent et le tronçon actuel. Outbound : le problème se trouve sur le lien entre le tronçon actuel et le tronçon suivant. Local : le problème se trouve sur le tronçon en cours. |
| Hops[].Issues[].Severity | Niveau de gravité du problème détecté. Les valeurs possibles sont Error et Warning. |
| Hops[].Issues[].Type | Type du problème détecté. Les valeurs possibles sont les suivantes : UC Mémoire GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Détails concernant le problème détecté. |
| Hops[].Issues[].Context[].key | Clé de la paire clé/valeur retournée. |
| Hops[].Issues[].Context[].value | Valeur de la paire clé/valeur retournée. |
| NextHopAnalysis.NextHopType | Type du tronçon suivant. Les valeurs possibles sont les suivantes : HyperNetGateway Internet Aucun VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Adresse IP du saut suivant. |
| Identificateur de ressource de la table de routage associée à l’itinéraire retourné. Si l’itinéraire retourné ne correspond à aucun itinéraire créé par l’utilisateur, ce champ correspond à la chaîne Itinéraire système. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Profil de diagnostic de la configuration réseau. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Source du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Destination du trafic. Les valeurs possibles sont : *, Adresse IP/CIDR et Étiquette de service. |
| SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort | Port de destination du trafic. Les valeurs possibles sont : * et un seul port dans la plage (0 – 65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Protocole à vérifier. Les valeurs possibles sont : *, TCP et UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | Direction du trafic. Les valeurs possibles sont : Outbound et Inbound. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Résultat du groupe de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Liste des résultats du diagnostic des groupes de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | ID de ressource de la carte réseau ou du sous-réseau auquel le groupe de sécurité réseau est appliqué. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Règle de sécurité réseau correspondante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | Le trafic réseau est autorisé ou refusé. Les valeurs possibles sont : Autoriser et Refuser. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Nom de la règle de sécurité réseau correspondante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | ID du groupe de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Liste des résultats de l’évaluation des règles de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | La valeur indique si la destination correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | La valeur indique si le port de destination correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Nom de la règle de sécurité réseau. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | La valeur indique si le protocole correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | La valeur indique si la source correspond. Valeurs booléennes. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | La valeur indique si le port source correspond. Valeurs booléennes. |
| AnalyseDesRèglesDeSécuritéDeDestination | Identique au format SourceSecurityRuleAnalysis. |
| SourcePortStatus | Détermine si le port à la source est accessible ou non. Les valeurs possibles sont les suivantes : Unknown Accessible Instable Pas de connexion Délai d'expiration |
| StatutDuPortDeDestination | Détermine si le port à destination est accessible ou non. Les valeurs possibles sont les suivantes : Unknown Accessible Instable Pas de connexion Délai d'expiration |
L’exemple suivant montre un exemple de problème détecté sur un tronçon.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Types d’erreur
La résolution des problèmes de connexion retourne les types d’erreur liés à la connexion. Le tableau ci-dessous fournit la liste des types d’erreurs renvoyées possibles.
| Type | Descriptif |
|---|---|
| UC | Utilisation élevée du processeur. |
| Mémoire | Utilisation élevée de la mémoire. |
| GuestFirewall | Le trafic est bloqué à cause de la configuration d’un pare-feu de machine virtuelle. Un test ping TCP est un cas d’usage unique. Si aucune règle n’est autorisée, le pare-feu répond à la requête ping TCP du client même si le test ping TCP n’atteint pas l’adresse IP ou le FQDN cible. Cet événement n’est pas journalisé. Si une règle réseau autorise l’accès à l’adresse IP ou au FQDN cible, la requête ping atteint le serveur cible et sa réponse est renvoyée au client. Cet événement est consigné dans le journal des règles de réseau. |
| DNSResolution | Échec de la résolution DNS pour l’adresse de destination. |
| Règle de Sécurité Réseau | Le trafic est bloqué par une règle de groupe de sécurité réseau (la règle de sécurité est retournée). |
| Route définie par l'utilisateur | Le trafic est ignoré en raison d’un itinéraire défini par l’utilisateur ou le système. |
Étape suivante
Pour savoir comment utiliser la résolution des problèmes de connexion pour tester et résoudre les problèmes de connexion, continuez à :