Rozwiązywanie problemów z peeringiem sieci wirtualnych

Ten przewodnik rozwiązywania problemów zawiera kroki ułatwiające rozwiązywanie większości problemów z peeringiem sieci wirtualnych.

Konfigurowanie peeringu między dwiema sieciami wirtualnymi

Czy sieci wirtualne znajdują się w tej samej subskrypcji, czy w różnych subskrypcjach?

Sieci wirtualne znajdują się w tej samej subskrypcji

Aby skonfigurować połączenie równorzędne sieci wirtualnych dla sieci wirtualnych wchodzących w skład tej samej subskrypcji, użyj metod opisanych w następujących artykułach:

• Jeśli sieci wirtualne znajdują się w tym samym regionie, zobacz Tworzenie komunikacji równorzędnej.
• Jeśli sieci wirtualne znajdują się w różnych regionach, zobacz Peering sieci wirtualnych.

Aby uzyskać więcej informacji, zobacz wymagania i ograniczenia globalnego peeringu.

Sieci wirtualne znajdują się w różnych subskrypcjach lub dzierżawach usługi Active Directory

Aby skonfigurować peering sieci wirtualnych dla sieci wirtualnych w różnych subskrypcjach lub dzierżawach usługi Active Directory, zobacz Tworzenie peeringu sieci wirtualnych między różnymi subskrypcjami.

Konfiguracja komunikacji równorzędnej sieci wirtualnych z topologią hub-and-spoke, wykorzystującą zasoby lokalne

W przypadku połączenia typu lokacja-lokacja lub połączenia usługi ExpressRoute

Wykonaj kroki opisane w artykule Konfigurowanie tranzytu bramy VPN dla równorzędnych sieci wirtualnych.

W przypadku połączeń typu punkt-lokacja

1. Wykonaj kroki opisane w Konfigurowanie transmisji bramy sieci VPN na potrzeby komunikacji równorzędnej sieci wirtualnych.
2. Po ustanowieniu lub zmianie komunikacji równorzędnej sieci wirtualnej pobierz i ponownie zainstaluj pakiet punkt-do-miejsca, aby klienci punkt-do-miejsca mogli pobierać zaktualizowane trasy do odgałęziającej się sieci wirtualnej.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych za pomocą sieci wirtualnej topologii piasty i szprych

Sieci wirtualne znajdują się w tym samym regionie

1. W sieci wirtualnej koncentratora skonfiguruj wirtualne urządzenie sieciowe (WUS).
2. W szprychowych sieciach wirtualnych mają zastosowane trasy zdefiniowane przez użytkownika z typem następnego przeskoku "wirtualne urządzenie sieciowe".

Aby uzyskać więcej informacji, zobacz Łańcuch usług.

Aby uzyskać pomoc dotyczącą rozwiązywania problemów z konfiguracją i routingiem urządzenia NVA, zobacz Problemy z wirtualnym urządzeniem sieciowym na platformie Azure.

Sieci wirtualne znajdują się w różnych regionach

Tranzyt przez globalne połączenie równorzędne sieci wirtualnych jest teraz obsługiwany. Łączność nie działa za pośrednictwem peeringu globalnej sieci wirtualnej dla następujących zasobów:

• Maszyny wirtualne z wykorzystaniem SKU wewnętrznego modułu równoważenia obciążenia w warstwie Podstawowej.
• Pamięć podręczna Redis (używa SKU podstawowego ILB)
• Bramka aplikacji (używa SKU Podstawowego ILB)
• Zestawy skalowania (używają SKU obciążnika wewnętrznego w wersji podstawowej)
• Klastry Service Fabric (używają podstawowego SKU ILB)
• SQL Server Always On (używa SKU Basic ILB)
• App Service Environment (używa podstawowej jednostki SKU modułu równoważenia obciążenia)
• API Management (wykorzystuje SKU wariantu podstawowego ILB)
• Microsoft Entra Domain Services (używa podstawowej jednostki SKU modułu równoważenia obciążenia)

Aby dowiedzieć się więcej na temat globalnych wymagań i ograniczeń dotyczących peeringu, zobacz Peering sieci wirtualnych.

Rozwiązać problemy z łącznością między dwiema powiązanymi sieciami wirtualnymi

Zaloguj się do witryny Azure Portal przy użyciu konta z niezbędnymi rolami i uprawnieniami. Wybierz sieć wirtualną, wybierz Równoległe połączenie, a następnie sprawdź pole Stan. Jaki jest stan?

Stan peeringu to "Połączono"

Aby rozwiązać ten problem:

1. Sprawdź przepływy ruchu sieciowego:

   Użyj opcji Rozwiązywanie problemów z połączeniem i weryfikacji przepływu IP między maszyną wirtualną źródłową a docelową, aby określić, czy istnieje NSG lub UDR powodująca interferencję w przepływach ruchu.

   Jeśli używasz zapory lub wirtualnego urządzenia sieciowego (NVA):

   1. Udokumentuj parametry UDR, aby móc je przywrócić po zakończeniu tego kroku.
   2. Usuń trasę zdefiniowaną przez użytkownika ze źródłowej podsieci maszyny wirtualnej lub karty sieciowej wskazującej urządzenie NVA jako następny przeskok. Sprawdź łączność ze źródłowej maszyny wirtualnej bezpośrednio do miejsca docelowego, omijając NVA. Jeśli ten krok nie zadziała, sprawdź narzędzie do rozwiązywania problemów NVA.

2. Utwórz ślad sieciowy:

   1. Uruchom śledzenie sieci na docelowej maszynie wirtualnej. W przypadku systemu Windows można użyć narzędzia Netsh. W przypadku systemu Linux użyj protokołu TCPDump.

   2. Uruchom TcpPing lub PsPing ze źródła do docelowego adresu IP.

      Jest to przykład polecenia TcpPing : tcping64.exe -t <destination VM address> 3389

   3. Po zakończeniu operacji TcpPing zatrzymaj śledzenie sieci w miejscu docelowym.

   4. Jeśli pakiety docierają ze źródła, nie ma problemu z siecią. Sprawdź zaporę maszyny wirtualnej oraz aplikację nasłuchującą na danym porcie, aby zlokalizować problem z konfiguracją.

   Uwaga

   Nie można połączyć się z następującymi typami zasobów przy użyciu globalnego peeringu sieci wirtualnych (w różnych regionach):

   • Maszyny wirtualne za podstawowym SKU ILB
   • Pamięć podręczna Redis (używa SKU ILB Podstawowa)
   • Bramka aplikacji (używa podstawowego SKU ILB)
   • Zestawy skalowania (korzysta z podstawowej jednostki SKU modułu równoważenia obciążenia)
   • Klastry Service Fabric (używają Podstawowej wersji SKU wewnętrznego równoważnika obciążenia)
   • Funkcja Always On serwera SQL Server (używa podstawowej edycji SKU wewnętrznego modułu równoważenia obciążenia)
   • App Service Environment (używa podstawowego SKU ILB)
   • API Management (używa SKU ILB typu Podstawowa)
   • Microsoft Entra Domain Services (używa podstawowej jednostki ILB SKU)

Aby uzyskać więcej informacji, zobacz wymagania i ograniczenia globalnego peeringu.

Stan komunikacji równorzędnej to "Rozłączono"

Aby rozwiązać ten problem, usuń powiązanie z obu sieci wirtualnych, a następnie odtwórz je.

Rozwiąż problem z łącznością między siecią wirtualną typu hub-spoke a zasobem lokalnym.

Czy twoja sieć korzysta z urządzenia NVA innej firmy lub bramy sieciowej VPN?

Moja sieć używa wirtualnego urządzenia sieciowego (NVA) lub bramy VPN innej firmy.

Aby rozwiązać problemy z łącznością, które mają wpływ na urządzenie NVA innej firmy lub bramę sieci VPN, zobacz następujące artykuły:

• NVA narzędzie do rozwiązywania problemów
• Łączenie usług

Moja sieć nie korzysta z urządzenia NVA innej firmy ani z bramy sieci VPN.

Czy sieci wirtualne koncentratora i szprychy mają bramę sieci VPN?

Zarówno sieć wirtualna piasty, jak i sieć wirtualna szprychy mają bramę VPN.

Używanie bramy zdalnej nie jest obsługiwane.

Jeśli sieć wirtualna typu szprychy ma już bramę VPN, opcja Użyj zdalnej bramy nie jest obsługiwana na tej sieci wirtualnej. Wynika to z ograniczenia połączenia równorzędnego sieci wirtualnych.

Zarówno sieć wirtualna centrum, jak i sieć wirtualna rozgałęzienia nie mają bramy sieci VPN.

W przypadku połączeń typu lokacja-lokacja lub usługi Azure ExpressRoute sprawdź następujące główne przyczyny problemów z łącznością ze zdalną siecią wirtualną ze środowiska lokalnego:

• W sieci wirtualnej, która ma bramę, sprawdź, czy pole wyboru Zezwalaj na ruch przekazywany jest zaznaczone.
• W sieci wirtualnej, która nie ma bramy, sprawdź, czy zaznaczono pole wyboru Użyj bramy zdalnej.
• Administrator sieci musi sprawdzić urządzenia lokalne, aby sprawdzić, czy wszystkie mają dodaną zdalną przestrzeń adresową sieci wirtualnej.

W przypadku połączeń typu punkt-lokacja:

• W sieci wirtualnej, która ma bramę, sprawdź, czy pole wyboru Zezwalaj na ruch przekazywany jest zaznaczone.
• W sieci wirtualnej, która nie ma bramy, sprawdź, czy zaznaczono pole wyboru Użyj bramy zdalnej.
• Pobierz i ponownie zainstaluj pakiet klienta typu punkt-lokacja. Trasy sieci wirtualnej, które są nowo połączone przez równorzędne połączenie, nie dodają automatycznie tras do klientów punkt-do-sieci.

Rozwiązywanie problemów z łącznością w sieci typu koncentrator-szprycha między sieciami wirtualnymi w tym samym regionie.

Sieć koncentratora musi zawierać urządzenie NVA. Skonfiguruj UDR-y w sieciach typu spoke, które mają NVA ustawione jako następny przeskok, i włącz opcję Zezwalaj na ruch przekazywany w sieci wirtualnej hub.

Aby uzyskać więcej informacji, zobacz Łańcuch usług, a następnie omów te wymagania z wybranym dostawcą NVA.

Rozwiązywanie problemów z łącznością w architekturze hub-and-spoke między wirtualnymi sieciami podsieci w różnych regionach

Tranzyt przez globalną komunikację równorzędną sieci wirtualnych jest teraz obsługiwany. Łączność nie działa w przypadku globalnego peeringu sieci wirtualnej dla następujących zasobów:

• Maszyny wirtualne za jednostką SKU "Basic ILB" w warstwie Podstawowej
• Pamięć podręczna Redis (używa podstawowego ILB SKU)
• Bramka aplikacyjna (używa podstawowej wersji SKU ILB)
• Zestawy skalowania (korzystają z SKU podstawowego modułu wewnętrznego równoważenia obciążenia)
• Klastry Service Fabric (używają SKU podstawowego wewnętrznego modułu równoważenia obciążenia)
• SQL Server Always On (używa podstawowej jednostki SKU ILB)
• App Service Environment (używa podstawowego SKU ILB)
• API Management (używa SKU podstawowej ILB)
• Microsoft Entra Domain Services (używa podstawowej jednostki SKU modułu równoważenia obciążenia)

Aby uzyskać więcej informacji, zobacz wymagania i ograniczenia globalnego peeringu oraz różne topologie sieci VPN.

Rozwiązywanie problemów z łącznością sieciową piasty i szprych między aplikacją internetową a siecią wirtualną szprych

Aby rozwiązać ten problem:

1. Zaloguj się do witryny Azure Portal.
2. W aplikacji internetowej wybierz sieć, a następnie wybierz Integracja z VNet.
3. Sprawdź, czy jest widoczna zdalna sieć wirtualna. Ręcznie wprowadź zdalną przestrzeń adresową sieci wirtualnej (Synchronizuj sieć i Dodaj trasy).

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Integrowanie aplikacji z siecią wirtualną platformy Azure
• Informacje o routingu sieci VPN typu punkt-lokacja

Rozwiązywanie problemów z komunikatem o błędzie konfiguracji peeringu sieci wirtualnej

Bieżący najemca <TENANT ID> nie ma uprawnień do dostępu do połączonej subskrypcji

Aby rozwiązać ten problem, zapoznaj się z Tworzeniem peeringu sieciowego między różnymi subskrypcjami.

Nie połączono

Aby rozwiązać ten problem, usuń połączenie równorzędne z obu sieci wirtualnych, a następnie odtwórz je.

Nie można nawiązać komunikacji równorzędnej z siecią wirtualną usługi Databricks

Aby rozwiązać ten problem, skonfiguruj peering sieci wirtualnych w usłudze Azure Databricks, a następnie określ docelową sieć wirtualną przy użyciu identyfikatora zasobu. Aby uzyskać więcej informacji, zobacz Połączenie równorzędne sieci wirtualnej Databricks z zdalną siecią wirtualną.

Zdalna sieć wirtualna nie ma bramy

Ten problem występuje, gdy łączy się sieci wirtualne z różnych dzierżaw, a następnie chce się skonfigurować Use Remote Gateways. Ograniczenie portalu Azure polega na tym, że nie może zweryfikować obecności bramy sieciowej w wirtualnej sieci innego dzierżawcy.

Istnieją dwa sposoby rozwiązania problemu:

• Usuń parowanie i aktywuj opcję Use Remote Gateways podczas tworzenia nowego parowania.
• Aby włączyć usługę Use Remote Gateways, użyj programu PowerShell lub interfejsu wiersza polecenia zamiast witryny Azure Portal.

Następne kroki

• Rozwiązywanie problemów z łącznością między maszynami wirtualnymi platformy Azure