Behandeln von Problemen beim virtuellen WAN in Microsoft Azure

  • 6 Minuten

Es gibt zwei Arten von virtuellen WANs in Azure:

  • Basic – nur Site-to-Site-VPN.

  • Standard – kann ExpressRoute, Benutzer-VPN (P25), VPN (Site-to-Site), zwischen Hubs und VNet-zu-VNet-Übertragung, Azure Firewall und NVA in einem virtuellen WAN umfassen.

Hinweis

Sie können ein Upgrade von „Basic“ auf „Standard“ durchführen, aber nicht umgekehrt.

Überwachen virtueller WANs

Um den Status eines virtuellen WANs anzuzeigen, verwenden Sie Azure Monitor Insights für Azure Virtual WAN. Dadurch wird der Status der Komponenten Ihres virtuellen WAN angezeigt, einschließlich dem Status für jeden Hub, VPN-Standorte, Firewalls, Verbindungen und NVAs von Drittanbietern. Sie können die Gesamtintegrität des virtuellen WANs sehen und zu bestimmten Ressourcen navigieren.

Metriken auf Ressourcenebene werden in einer Arbeitsmappe für Metriken von virtuellen WANs angezeigt. Hier werden Metriken für verschiedene Ebenen angezeigt:

  • Virtuelles WAN

  • Drehscheibe

  • Tor

  • Verbindung

So greifen Sie auf Azure Monitor Insights für Azure Virtual WAN zu:

  1. Wählen Sie im Azure-Portal virtuelles WAN aus.

  2. Wählen Sie unter "Überwachung" die Option "Insights" (Vorschau) aus. Die Insights-Ansicht wird angezeigt.

Screenshot der Ansicht

In der Ansicht „Erkenntnisse“ werden die virtuellen WAN-Ressourcen mit farbcodierten Symbolen angezeigt, um ihren Status zu kennzeichnen. Wenn Sie eine Ressource auswählen, wird die Ansicht „Erkenntnisse“ angezeigt.

Screenshot der virtuellen WAN-Ressourcen.

Die Ansicht „Erkenntnisse“ ist ein Diagramm, in dem jeder Ressourcenzustand farblich gekennzeichnet ist. Die Metriken werden in einer Miniarbeitsmappe auf der rechten Seite angezeigt.

Die Abhängigkeitszuordnung zeigt Folgendes an:

  • Ressourcen in einem verbundenen Diagramm mit farbigen Statussymbolen.

  • Indirekt verbundene virtuelle Netzwerke, die ein Peering mit virtuellen Netzwerken vom Typ „virtuelles Spoke-WAN“ aufweisen.

Ihre Möglichkeiten:

  • Bewegen Sie den Mauszeiger über die einzelnen Ressourcen, um die Konfigurationseinstellungen anzuzeigen.

  • Klicken Sie mit der rechten Maustaste, um auf die Azure-Portalseite für diese Ressource zuzugreifen.

Screenshot des Abhängigkeitsdiagramms.

Wählen Sie "Detaillierte Metriken anzeigen" aus, um Informationen zu Ihrer virtuellen WAN-Ressourcenkapazität, -leistung und -auslastung auf virtueller WAN-Ebene, Hubebene und für einzelne Verbindungen anzuzeigen.

Screenshot detaillierter Metriken.

Ermitteln, ob Websites ordnungsgemäß konfiguriert sind

Die Konnektivität zwischen VNets in einem virtuellen WAN wird mit einem virtuellen Hub über eine virtuelle Netzwerkverbindung verwaltet. Die Transitkonnektivität zwischen den VNETs unter Virtual WAN Standard wird ermöglicht, weil auf jedem virtuellen Hub ein Router vorhanden ist. Dieser Router wird bei der anfänglichen Erstellung des virtuellen Hubs instanziiert.

Zeigen Sie den Routingstatus an, indem Sie zur Seite "Virtual Hub " im Azure-Portal wechseln. Der Router kann sich in einem von vier Zuständen befinden:

  • Bereitgestellt – gibt an, dass der virtuelle Hub erfolgreich instanziiert wurde.

  • Bereitstellung – gibt an, dass sich der virtuelle Hub im Prozess der Bereitstellung befindet.

  • Keine – gibt an, dass der virtuelle Hub den Router nicht erstellen konnte. Dies kann passieren, wenn das virtuelle WAN vom Typ „Basic“ ist oder wenn der virtuelle Hub bereitgestellt wurde, bevor der Dienst verfügbar war.

  • Fehlgeschlagen – gibt fehler während der Instanziierung an. Um den Router zurückzusetzen, navigieren Sie zur Seite "Übersicht" des virtuellen Hubs, und wählen Sie die Option " Router zurücksetzen " aus. Das Zurücksetzen ist eine Möglichkeit, ausgefallene Ressourcen wie Routingtabellen, den Hubrouter oder die virtuelle Hubressource wieder in den Bereitstellungszustand zu versetzen.

Jeder virtuelle Hubrouter unterstützt einen Gesamtdurchsatz von bis zu 50 GBit/s.

Für die Konnektivität zwischen den VNet-Verbindungen wird übergreifend für alle mit einem einzelnen virtuellen Hub verbundenen VNets eine Gesamtworkload von 2000 virtuellen Computern vorausgesetzt. Dieser Grenzwert kann jedoch gegen zusätzliche Kosten erhöht werden.

Problembehandlung beim Transitrouting

Die Konnektivität zwischen VNets in einem virtuellen WAN erfolgt über einen virtuellen Hub, der die virtuellen Netzwerke miteinander verbindet. In einem Virtual WAN vom Typ „Standard“ verfügt jeder virtuelle Hub über einen Router, der beim Erstellen des virtuellen Hubs instanziiert wird.

Dieser Router kann sich in einem von vier Zuständen befinden:

  • Bereitgestellt

  • Bereitstellung

  • Fehler – Bei der Instanziierung des Routers ist ein Fehler aufgetreten. Verwenden Sie die Option „Router zurücksetzen“ auf der Übersichtsseite des virtuellen Hubs im Azure-Portal.

  • Keine – Der Router wurde nicht bereitgestellt, z. B. wenn das virtuelle WAN vom Typ „Basic“ ist oder wenn der virtuelle Hub bereitgestellt wurde, bevor der Dienst verfügbar war.

Sie können den Routingstatus auf der Seite „Virtueller Hub“ im Azure-Portal einsehen.

Jeder virtuelle Hubrouter unterstützt einen Gesamtdurchsatz von bis zu 50 GBit/s.

Problembehandlung von geschützten virtuellen Hubs

Ein gesicherter virtueller Hub unterscheidet sich von einem virtuellen Hub, da er Sicherheits- und Routingrichtlinien aufweist, die von Azure Firewall Manager konfiguriert wurden. Geschützte virtuelle Hubs werden verwendet, um Hub-and-Spoke- und transitive Architekturen mit integrierter Sicherheit zu erstellen.

Sie verwenden einen geschützten virtuellen Hub, um den Datenverkehr zwischen Folgendem automatisch zu filtern:

  • Virtuelle Netzwerke (V2V)

  • Virtuelle Netzwerke und Filialen (B2V)

  • Datenverkehr zum Internet (B2I/V2I)

Sie müssen keine benutzerdefinierten Routen (UDRs) konfigurieren, um den Datenverkehr durch Ihre Firewall zu leiten.

Geschützte virtuelle Hubs können entweder als geschützte virtuelle Hubs erstellt oder aus einem bestehenden virtuellen Hub konvertiert werden.

Beim Beheben von Problemen mit geschützten virtuellen Hubs sollten Sie die folgenden Einschränkungen beachten:

  • Ein geschützter Hub unterstützt weder die B2B-Filterung (Branch-to-Branch) oder die Filterung über mehrere Hubs hinweg.

  • Sie können nicht mehr als einen geschützten Hub pro Azure-Region konfigurieren.

  • Lokale Richtlinien müssen in der gleichen Region erstellt werden wie die Basisrichtlinie. Eine Richtlinie, die in einer Region erstellt wurde, kann jedoch auf einen geschützten Hub in einer anderen Region angewendet werden.

  • Die Filterung der Kommunikation zwischen geschützten virtuellen Hubs wird nicht unterstützt. Die Hub-to-Hub-Kommunikation funktioniert jedoch weiterhin, wenn die Filterung des privaten Datenverkehrs über Azure Firewall nicht aktiviert ist.

  • Geschützte virtuelle Hubs, die dasselbe virtuelle WAN nutzen, müssen sich in derselben Ressourcengruppe befinden.

  • Die Firewall des geschützten Hubs wird in einen Fehlerzustand versetzt, wenn Sie eine größere Zahl von öffentlichen IP-Adressen hinzufügen.

  • DDoS Protection wird bei geschützten virtuellen Hubs nicht unterstützt.

  • Aktivitätsprotokolle werden nicht vollständig unterstützt.