Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Zunahme anspruchsvoller und hochleistungsfähiger Workloads in Azure besteht entscheidender Bedarf an mehr Transparenz und Kontrolle über den Betriebszustand komplexer Netzwerke, in denen diese Workloads ausgeführt werden. Solch komplexe Netzwerke werden mithilfe von Netzwerksicherheitsgruppen, Firewalls, benutzerdefinierten Routen und Ressourcen, die von Azure bereitgestellt werden, implementiert. Komplexe Konfigurationen stellen eine große Herausforderung bei der Behandlung von Konnektivitätsproblemen dar.
Die Problembehandlungsfunktion für Verbindungen von Azure Network Watcher hilft dabei, die Zeit für die Diagnose und Behandlung von Problemen mit der Netzwerkkonnektivität zu verkürzen. Die zurückgegebenen Ergebnisse können Erkenntnisse über die Grundursache des Konnektivitätsproblems und darüber, ob es sich um ein Problem mit der Plattform- oder Benutzerkonfiguration handelt, liefern.
Bei der Problembehandlung für Verbindungen wird die Durchschnittszeit bis zur Auflösung (Mean Time To Resolution, MTTR) reduziert, indem eine umfassende Methode zum Durchführen aller Hauptüberprüfungen der Verbindung bereitgestellt wird, um Probleme im Zusammenhang mit Netzwerksicherheitsgruppen, benutzerdefinierten Routen und blockierten Ports zu erkennen. Sie liefert die folgenden Ergebnisse mit verwertbaren Erkenntnissen, wenn eine Schritt-für-Schritt-Anleitung oder entsprechende Dokumentation für eine schnellere Lösung bereitgestellt wird:
- Konnektivitätstest mit verschiedenen Zieltypen (VM, URI, FQDN oder IP-Adresse)
- Konfigurationsprobleme, die sich auf die Erreichbarkeit auswirken
- Latenz (Mindest-, maximale und Durchschnittslatenz zwischen Quelle und Ziel)
- Grafische Topologieansicht von der Quelle zum Ziel
- Anzahl der Tests, die während der Überprüfung der Verbindungsproblembehandlung abgelegt wurden
Agentlose Erfahrung (Vorschau)
Die Problemlösung für Verbindungen unterstützt jetzt eine agentlose Nutzung (derzeit in der Vorschauphase). Sie müssen die VM-Erweiterung des Netzwerküberwachungs-Agents nicht mehr auf Ihren virtuellen Computern installieren, um Verbindungstests auszuführen. Features und Funktionen können sich vor der allgemeinen Verfügbarkeit ändern.
Bisher erforderten Verbindungstests mit Verbindungsproblembehandlung, dass auf der Quell-VM die VM-Erweiterung „Network Watcher Agent“ installiert war. Diese Erweiterung war erforderlich, um Tests von der VM auszuführen.
Neuerungen
Mit dem Update ohne Agent (Vorschau) können Sie jetzt Verbindungstests zwischen Azure-Ressourcen ausführen, ohne einen Diagnose-Agent oder eine VM-Erweiterung zu installieren. Dies vereinfacht das Einrichten, verringert den Betriebsaufwand und ermöglicht eine schnellere Problembehandlung direkt über das Azure-Portal.
- Es ist keine Agentinstallation erforderlich: Konnektivitätstests können initiiert werden, ohne die VM-Erweiterung des Netzwerküberwachungs-Agents auf Ihren virtuellen Windows- oder Linux-Computern bereitzustellen oder zu aktualisieren.
- Optimierte Erfahrung: Alle Diagnosen werden mithilfe von Azure-Plattform-APIs durchgeführt, wodurch der Prozess nahtlos und effizient wird.
Unterstützte Quell- und Zieltypen
Die Problembehandlung für Verbindungen bietet die Möglichkeit, TCP- oder ICMP-Verbindungen von einer der folgenden Azure-Ressourcen zu überprüfen:
- Virtuelle Computer
- VM-Skalierungsgruppen
- Azure Bastion-Instanzen
- Anwendungsgateways v2 mit Ausnahme von Gateways, die bei der Bereitstellung des privaten Anwendungsgateways registriert sind
Bei der Problembehandlung für Verbindungen können Verbindungen mit einem der folgenden Ziele getestet werden:
- Virtuelle Computer
- Vollqualifizierte Domänennamen (FQDNs)
- Uniform Resource Identifiers (URIs)
- IP-Adressen
Probleme, die bei der Problembehandlung für Verbindungen erkannt wurden
Die Verbindungsproblembehandlung kann die folgenden Arten von Problemen erkennen, die sich auf die Konnektivität auswirken können:
- Hohe CPU-Auslastung der VM
- Hohe Speicherauslastung der VM
- VM-Firewallregeln (Gast) blockieren Datenverkehr
- Fehler bei der DNS-Auflösung
- Falsch konfigurierte oder fehlende Routen
- Regeln für Netzwerksicherheitsgruppen (NSG), die Datenverkehr blockieren
- Unfähigkeit, einen Socket am angegebenen Quellport zu öffnen
- Fehlende Adressauflösungs-Protokolleinträge für Azure Express Route-Verbindungen
- Server, die nicht an den vorgesehenen Zielports lauschen
Antwort
Die folgende Tabelle zeigt die Eigenschaften, die nach der Ausführung der Problembehandlung für Verbindungen zurückgegeben werden:
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Verbindungsstatus | Status der Konnektivitätsprüfung. Mögliche Ergebnisse sind Erreichbar und Nicht erreichbar. |
| AvgLatencyInMs | Durchschnittliche Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| MinLatencyInMs | Minimale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| MaxLatencyInMs | Maximale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| ProbesSent | Anzahl der Tests, die während der Überprüfung gesendet werden. Der Maximalwert ist 100. |
| ProbesFailed | Anzahl der fehlerhaften Tests während der Überprüfung. Der Maximalwert ist 100. |
| Hopfen | Hop-by-Hop-Pfad von der Quelle zum Ziel. |
| Hops[].Type | Ressourcentyp. Mögliche Werte sind Source, VirtualAppliance, VnetLocal und Internet. |
| Hops[].Id | Eindeutiger Bezeichner des Hops. |
| Hops[].Address | IP-Adresse des Hops. |
| Hops[].ResourceId | Ressourcen-ID des Hops, wenn der Hop eine Azure-Ressource ist. Wenn es sich um eine Internetressource handelt, lautet die Ressourcen-ID Internet. |
| Hops[].NextHopIds | Eindeutiger Bezeichner des nächsten Hops. |
| Hops[].Issues | Eine Sammlung der Probleme, die während der Überprüfung des Hops aufgetreten sind. Wert ist leer, wenn keine Probleme aufgetreten sind. |
| Hops[].Issues[].Origin | Auf dem aktuellen Hop, wo das Problem aufgetreten ist. Mögliche Werte: Eingehend: Problem liegt auf der Verbindung vom vorherigen Hop zum aktuellen Hop. Ausgehend: Problem liegt auf der Verbindung vom aktuellen Hop zum nächsten Hop. Lokal: Problem befindet sich auf dem aktuellen Hop. |
| Hops[].Issues[].Severity | Der Schweregrad des gefundenen Problems. Mögliche Werte sind Error und Warning. |
| Hops[].Issues[].Type | Der Typ des gefundenen Problems. Mögliche Werte: CPU Memory GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Details zum erkannten Problem. |
| Hops[].Issues[].Context[].key | Schlüssel des zurückgegebenen Schlüssel-Wert-Paars. |
| Hops[].Issues[].Context[].value | Wert des zurückgegebenen Schlüssel-Wert-Paars. |
| NextHopAnalysis.NextHopType | Der Typ des nächsten Hops. Mögliche Werte: HyperNetGateway Internet None VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Die IP-Adresse des nächsten Hops. |
| Der Ressourcenbezeichner der Routingtabelle, die der zurückgegebenen Route zugeordnet ist. Wenn die zurückgegebene Route keinen benutzerseitig erstellten Routen entspricht, ist dieses Feld die Zeichenfolge Systemroute. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Das Profil der Netzwerkkonfigurationsdiagnose. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Die Datenverkehrsquelle. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Das Ziel für den Datenverkehr. Mögliche Werte: *, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Der Zielport für den Datenverkehr. Mögliche Werte: * und ein einzelner Port im Bereich (0–65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Das zu überprüfende Protokoll. Mögliche Werte: *, TCP und UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | Die Richtung des Datenverkehrs. Mögliche Werte: Eingehend und Ausgehend. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Das Ergebnis für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Die Liste der Diagnoseergebnisse für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | Die Ressourcen-ID der Netzwerkkarte oder des Subnetzes, auf die/das die Netzwerksicherheitsgruppe angewendet wird. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Die entsprechende Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Der Name der entsprechenden Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | Die ID der Netzwerksicherheitsgruppe. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Die Liste mit den Auswertungsergebnissen für Netzwerksicherheitsregeln. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | Der Wert gibt an, ob das Ziel übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | Der Wert gibt an, ob der Zielport übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Der Name der Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | Der Wert gibt an, ob das Protokoll übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | Der Wert gibt an, ob die Quelle übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | Der Wert gibt an, ob der Quellport übereinstimmt. Boolesche Werte. |
| DestinationSecurityRuleAnalysis | Identisch mit dem SourceSecurityRuleAnalysis-Format. |
| SourcePortStatus | Bestimmt, ob der Port an der Quelle erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
| DestinationPortStatus | Bestimmt, ob der Port am Ziel erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
Das folgende Beispiel zeigt ein in einem Hop gefundenes Problem.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Fehlertypen
Die Problembehandlung für Verbindungen gibt Fehlertypen der Verbindung zurück. Die folgende Tabelle listet alle möglichen zurückgegebenen Fehlertypen auf.
| type | BESCHREIBUNG |
|---|---|
| Prozessor | Hohe CPU-Auslastung. |
| Arbeitsspeicher | Hohe Speicherauslastung. |
| GuestFirewall | Datenverkehr wird aufgrund der Firewall-Konfiguration eines virtuellen Computers blockiert. Ein TCP-Ping ist ein besonderer Anwendungsfall, bei dem die Firewall selbst auf die TCP-Pinganforderung des Clients antwortet, auch wenn der TCP-Ping die Ziel-IP-Adresse bzw. den FQDN nicht erreicht, wenn es keine Zulassungsregel gibt. Dieses Ereignis wird nicht protokolliert. Wenn eine Netzwerkregel vorhanden ist, die den Zugriff auf die IP-Zieladresse bzw. den FQDN zulässt, erreicht die Pinganforderung den Zielserver, und die Antwort wird an den Client zurückgeleitet. Dieses Ereignis wird im Protokoll für Netzwerkregeln protokolliert. |
| DNSResolution | Fehler bei DNS-Auflösung für Zieladresse. |
| Netzwerksicherheitsregel | Datenverkehr wird durch eine Netzwerksicherheitsgruppenregel blockiert (Sicherheitsregel wird zurückgegeben). |
| Benutzerdefinierte Route | Datenverkehr wird aufgrund einer benutzerdefinierten oder Systemroute verworfen. |
Nächster Schritt
Um zu erfahren, wie Sie das Problembehandlungstool für Verbindungen verwenden, um Verbindungen zu testen und Probleme zu lösen, fahren Sie mit folgendem Artikel fort: