Partilhar via

Visão geral do problema de conexão

Com o aumento de cargas de trabalho sofisticadas e de alto desempenho no Azure, há uma necessidade crítica de maior visibilidade e controle sobre o estado operacional de redes complexas que executam essas cargas de trabalho. Essas redes complexas são implementadas usando grupos de segurança de rede, firewalls, rotas definidas pelo usuário e recursos fornecidos pelo Azure. Configurações complexas tornam a solução de problemas de conectividade desafiadora.

O recurso de solução de problemas de conexão do Observador de Rede do Azure ajuda a reduzir o tempo necessário para diagnosticar e solucionar problemas de conectividade de rede. Os resultados devolvidos podem dar-lhe informações sobre a causa raiz do problema de conectividade e se este se deve a um problema na plataforma ou na configuração do utilizador.

A solução de problemas de conexão reduz o MTTR (Mean Time To Resolution), fornecendo um método abrangente de executar todas as principais verificações de conexão para detetar problemas relacionados a grupos de segurança de rede, rotas definidas pelo usuário e portas bloqueadas. Ele fornece os seguintes resultados com insights acionáveis, onde um guia passo a passo ou documentação correspondente é fornecido para uma resolução mais rápida:

  • Teste de conectividade com diferentes tipos de destino (VM, URI, FQDN ou Endereço IP)
  • Problemas de configuração que afetam a acessibilidade
  • Latência (mínima, máxima e média entre a origem e o destino)
  • Visualização da topologia gráfica da origem ao destino
  • Número de testes que falharam durante a verificação de solução de problemas de conexão

Experiência sem agente (pré-visualização)

Agora, a solução de problemas de ligação suporta uma experiência sem agente (atualmente em versão prévia). Já não precisa de instalar a extensão da VM agente Network Watcher nas suas máquinas virtuais para executar testes de conectividade. As funcionalidades podem mudar antes da disponibilidade geral.

Anteriormente, os testes de conectividade com resolução de problemas Connection exigiam que a máquina virtual de origem tivesse instalada a extensão VM do agente Network Watcher. Esta extensão era necessária para executar testes a partir da VM.

O que há de novo

Com a atualização sem agente (pré-visualização), pode agora executar testes de conectividade entre recursos Azure sem instalar qualquer agente de diagnóstico ou extensão de VM. Isto simplifica a configuração, reduz a sobrecarga operacional e permite uma resolução de problemas mais rápida diretamente do portal Azure.

  • Não é necessária instalação de agentes: Os testes de conectividade podem ser iniciados sem necessidade de implementar ou atualizar a extensão da VM agente Network Watcher nas suas máquinas virtuais Windows ou Linux.
  • Experiência simplificada: Todos os diagnósticos são realizados através das APIs da plataforma Azure, tornando o processo fluido e eficiente.

Tipos de origem e destino suportados

A solução de problemas de conexão fornece a capacidade de verificar conexões TCP ou ICMP de qualquer um destes recursos do Azure:

  • Máquinas virtuais
  • Conjuntos de dimensionamento de máquinas virtuais
  • Instâncias do Azure Bastion
  • Gateways de aplicativos v2, com exceção dos gateways registrados na implantação do Private Application Gateway

A solução de problemas de conexão pode testar conexões com qualquer um destes destinos:

  • Máquinas virtuais
  • Nomes de domínio totalmente qualificados (FQDNs)
  • Identificadores uniformes de recursos (URIs)
  • Endereços IP

Problemas detetados pela solução de problemas de conexão

A solução de problemas de conexão pode detetar os seguintes tipos de problemas que podem afetar a conectividade:

  • Alta utilização da CPU da VM
  • Alta utilização de memória VM
  • Regras de firewall de máquina virtual (convidado) bloqueando o tráfego
  • Falhas de resolução de DNS
  • Rotas mal configuradas ou ausentes
  • Regras de grupo de segurança de rede (NSG) que estão bloqueando o tráfego
  • Incapacidade de abrir um soquete na porta de origem especificada
  • Entradas de protocolo de resolução de endereço ausentes para circuitos de Rota Expressa do Azure
  • Servidores que não escutam nas portas de destino designadas

Resposta

A tabela a seguir mostra as propriedades retornadas após a execução da solução de problemas de conexão.

Propriedade Descrição
Status da conexão O status da verificação de conectividade. Os resultados possíveis são Alcançável e Inacessível.
AvgLatencyInMs Latência média durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
MinLatencyInMs Latência mínima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
LatênciaMáximaEmMs Latência máxima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o status da verificação estiver acessível).
SondasEnviadas Número de sondas enviadas durante a verificação. O valor máximo é 100.
SondasFalhou Número de testes que falharam durante a verificação. O valor máximo é 100.
Saltos Hop by hop path da origem ao destino.
Lúpulo[]. Tipo Tipo de recurso. Os valores possíveis são: Source, VirtualAppliance, VnetLocal e Internet.
Lúpulo[]. Id Identificador exclusivo do salto.
Lúpulo[]. Endereço Endereço IP do salto.
Lúpulo[]. ResourceId ID do recurso do salto se o salto for um recurso do Azure. Se for um recurso da Internet, ResourceID é Internet.
Lúpulo[]. PróximoHopIds O identificador exclusivo do próximo salto realizado.
Lúpulo[]. Questões Uma coleção de problemas encontrados durante a verificação do salto. Se não houve problemas, o valor fica em branco.
Lúpulo[]. Questões[]. Origem No salto atual, onde ocorreu o problema. Os valores possíveis são:
Entrada - O problema está no link do salto anterior para o salto atual.
Saída - O problema está no link do salto atual para o próximo salto.
Local - O problema está no salto atual.
Lúpulo[]. Questões[]. Gravidade A gravidade do problema detetado. Os valores possíveis são: Erro e Aviso.
Lúpulo[]. Questões[]. Tipo O tipo do problema detetado. Os valores possíveis são:
Processador
Memória
GuestFirewall
DnsResolução
Regra de Segurança de Rede
UserDefinedRoute
Lúpulo[]. Questões[]. Contexto Detalhes sobre o problema detetado.
Lúpulo[]. Questões[]. Contexto[].key Chave do par de valores de chave retornada.
Lúpulo[]. Questões[]. Contexto[].value Valor do par de valores de chave retornado.
NextHopAnalysis.NextHopType O tipo de próximo salto. Os valores possíveis são:
HyperNetGateway
Internet
Nenhuma
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Endereço IP do próximo salto.
O identificador de recurso da tabela de rotas associada à rota que está sendo retornada. Se a rota retornada não corresponder a nenhuma rota criada pelo usuário, esse campo será a cadeia de caracteres Rota do sistema.
SourceSecurityRuleAnalysis.Results[]. Perfil Perfil de diagnóstico de configuração de rede.
SourceSecurityRuleAnalysis.Results[]. Perfil.Source Origem do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag.
SourceSecurityRuleAnalysis.Results[]. Perfil.Destino Destino do tráfego. Os valores possíveis são: *, Endereço IP/CIDR e Service Tag.
SourceSecurityRuleAnalysis.Results[]. Profile.DestinationPort Porta de destino do tráfego. Os valores possíveis são: * e uma única porta no intervalo (0 - 65535).
SourceSecurityRuleAnalysis.Results[]. Perfil.Protocolo Protocolo a verificar. Os valores possíveis são: *, TCP e UDP.
SourceSecurityRuleAnalysis.Results[]. Perfil.Direção A direção do tráfego. Os valores possíveis são: Outbound e Inbound.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult Resultado do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[] Lista de resultados de diagnóstico de grupos de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.SecurityRuleAccessResult O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. AplicadoTo ID do recurso da NIC ou sub-rede à qual o grupo de segurança de rede é aplicado.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. Regra Correspondida Regra de segurança de rede correspondente.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.Action O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. MatchedRule.RuleName Nome da regra de segurança de rede correspondente.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. NetworkSecurityGroupId ID do grupo de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] Lista dos resultados da avaliação das regras de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinoCorrespondido O valor indica se o destino é correspondido. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched Valor indica se a porta de destino é correspondida. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Designação Nome da regra de segurança de rede.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. ProtocolMatched Valor indica se o protocolo é correspondido. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched Valor indica se a origem é correspondida. Valores booleanos.
SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourcePortMatched Valor indica se a porta de origem é correspondida. Valores booleanos.
Análise da Regra de Segurança de Destino O mesmo que o formato SourceSecurityRuleAnalysis.
SourcePortStatus Determina se a porta na origem é acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NãoLigação
Tempo limite
EstadoDoPortoDeDestino Determina se a porta no destino é acessível ou não. Os valores possíveis são:
Desconhecido
Acessível
Instável
NãoLigação
Tempo limite

O exemplo a seguir mostra um problema encontrado em um salto.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Tipos de falhas

A solução de problemas de conexão retorna tipos de falha sobre a conexão. A tabela a seguir fornece uma lista dos possíveis tipos de falha retornados.

Tipo Descrição
CPU Utilização elevada da CPU.
Memória Utilização elevada da memória
GuestFirewall O tráfego é bloqueado devido a uma configuração de firewall de máquina virtual.

Um ping TCP é um caso de uso exclusivo no qual, se não houver uma regra permitida, o próprio firewall responde à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP/FQDN de destino. Este evento não é registado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping chegará ao servidor de destino e sua resposta será retransmitida de volta ao cliente. Esse evento é registrado no log de regras de rede.
DNSResolution Falha na resolução de DNS para o endereço de destino.
Regra de Segurança de Rede O tráfego é bloqueado por uma regra de grupo de segurança de rede (a regra de segurança é retornada).
UserDefinedRoute O tráfego é interrompido devido a uma rota definida pelo usuário ou do sistema.

Próximo passo

Para saber como usar a solução de problemas de conexão para testar e solucionar problemas de conexões, continue para:

Solucionar problemas de conexões usando o portal do Azure

  • Last updated on