Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Com o aumento de cargas de trabalho sofisticadas e de alto desempenho no Azure, existe uma necessidade crítica de maior visibilidade e controlo sobre o estado operacional das redes complexas que executam estas cargas de trabalho. Estas redes complexas são implementadas utilizando grupos de segurança de rede, firewalls, rotas definidas pelo utilizador e recursos fornecidos pelo Azure. Configurações complexas tornam a solução de problemas de conectividade desafiadora.
A funcionalidade de resolução de problemas de ligação do Observador de Rede do Azure ajuda a reduzir o tempo necessário para diagnosticar e resolver problemas de conectividade de rede. Os resultados devolvidos podem dar-lhe informações sobre a causa raiz do problema de conectividade e se este se deve a um problema na plataforma ou na configuração do utilizador.
A solução de problemas de conexão reduz o MTTR (Mean Time To Resolution), fornecendo um método abrangente de executar todas as principais verificações de conexão para detetar problemas relacionados a grupos de segurança de rede, rotas definidas pelo usuário e portas bloqueadas. Ele fornece os seguintes resultados com insights acionáveis, disponibilizando um guia passo a passo ou documentação correspondente para uma resolução mais rápida.
- Teste de conectividade com diferentes tipos de destino (VM, URI, FQDN ou Endereço IP)
- Problemas de configuração que afetam a acessibilidade
- Latência (mínima, máxima e média entre a origem e o destino)
- Visualização da topologia gráfica da origem ao destino
- Número de sondas que falharam durante a verificação de resolução de problemas de conexão
Experiência sem agente (pré-visualização)
Agora, a solução de problemas de ligação suporta uma experiência sem agente (atualmente em versão prévia). Já não precisa de instalar a extensão de máquina virtual agente Observador de Rede nas suas máquinas virtuais para executar testes de conectividade. As funcionalidades podem mudar antes da disponibilidade geral.
Anteriormente, os testes de conectividade com resolução de problemas de ligação exigiam que a máquina virtual de origem tivesse instalada a extensão VM agente Observador de Rede. Esta extensão era necessária para executar testes a partir da VM.
O que há de novo
Com a experiência sem agente, agora pode executar testes de conectividade entre recursos do Azure sem instalar qualquer agente de diagnóstico ou extensão de VM. Isto simplifica a configuração, reduz a sobrecarga operacional e permite uma resolução de problemas mais rápida diretamente do portal Azure.
- Não é necessária instalação de agentes: Os testes de conectividade podem ser iniciados sem necessidade de implementar ou atualizar a extensão VM Observador de Rede agente nas suas máquinas virtuais Windows ou Linux.
- Experiência simplificada: Todos os diagnósticos são realizados usando APIs Azure plataforma, tornando o processo fluido e eficiente.
Tipos de origem e destino suportados
A resolução de problemas de ligação oferece a capacidade de verificar ligações TCP ou ICMP a partir de qualquer um destes recursos do Azure:
- Máquinas virtuais
- Conjuntos de dimensionamento de máquinas virtuais
- Instâncias do Azure Bastion
- Gateways de aplicação v2, exceto os gateways inscritos na implementação do Gateway de Aplicações Privadas
A solução de problemas de conexão pode testar conexões com qualquer um destes destinos:
- Máquinas virtuais
- Nomes de domínio totalmente qualificados (FQDNs)
- Identificadores uniformes de recursos (URIs)
- Endereços IP
Problemas detetados pela solução de problemas de conexão
A solução de problemas de conexão pode detetar os seguintes tipos de problemas que podem afetar a conectividade:
- Alta utilização da CPU da VM
- Alta utilização de memória VM
- Regras de firewall de máquina virtual (convidado) bloqueando o tráfego
- Falhas de resolução de DNS
- Rotas mal configuradas ou ausentes
- Regras de grupo de segurança de rede (NSG) que estão bloqueando o tráfego
- Incapacidade de abrir um soquete na porta de origem especificada
- Entradas em falta do protocolo de resolução de endereços para circuitos do Azure ExpressRoute
- Servidores que não escutam nas portas de destino designadas
Resposta
A tabela a seguir mostra as propriedades retornadas após a execução da solução de problemas de conexão.
| Propriedade | Descrição |
|---|---|
| Status da conexão | O status da verificação de conectividade. Os resultados possíveis são Alcançável e Inacessível. |
| AvgLatencyInMs (Latência Média em Ms) | Latência média durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o estado de verificação estiver alcançável). |
| LatênciaMínimaEmMs | Latência mínima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o estado de verificação estiver alcançável). |
| LatênciaMáximaEmMs | Latência máxima durante a verificação de conectividade, em milissegundos. (Mostrado apenas se o estado de verificação estiver alcançável). |
| Sondas Enviadas | Número de sondas enviadas durante a verificação. O valor máximo é 100. |
| SondasFalharam | Número de sondas que falharam durante o processo de verificação. O valor máximo é 100. |
| Saltos | Caminho salto a salto do origem ao destino. |
| Lúpulo[].Tipo | Tipo de recurso. Os valores possíveis são: Source, VirtualAppliance, VnetLocal e Internet. |
| Lúpulo[]. Id | Identificador exclusivo do salto. |
| Lúpulo[]. Endereço | Endereço IP do salto. |
| Lúpulo[]. ResourceId | Identificador de recurso do salto, se o salto for um recurso do Azure. Se for um recurso da Internet, ResourceID é Internet. |
| Lúpulo[]. PróximoHopIds | O identificador exclusivo do próximo salto realizado. |
| Lúpulo[]. Questões | Uma coleção de problemas encontrados durante a verificação do salto. Se não houve problemas, o valor fica em branco. |
| Lúpulo[]. Questões[]. Origem | No salto atual, onde ocorreu o problema. Os valores possíveis são: Entrada: O problema está na ligação do salto anterior para o salto atual. Saída: O problema está na ligação entre o salto atual e o próximo. Local: O problema está no hop atual. |
| Lúpulo[]. Questões[]. Gravidade | A gravidade do problema detetado. Os valores possíveis são: Erro e Aviso. |
| Lúpulo[]. Questões[]. Tipo | O tipo do problema detetado. Os valores possíveis são: Processador Memória Firewall de Convidados Resolução de DNS Regra de Segurança de Rede UserDefinedRoute |
| Lúpulo[]. Questões[]. Contexto | Detalhes sobre o problema detetado. |
| Lúpulo[]. Questões[]. Contexto[].key | Chave do par chave-valor retornado. |
| Lúpulo[]. Questões[]. Contexto[].value | Valor do par de valores de chave retornado. |
| NextHopAnalysis.NextHopType | O tipo de próximo salto. Os valores possíveis são: HyperNetGateway Internet Nenhuma VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Endereço IP do próximo salto. |
| O identificador de recurso da tabela de rotas associada à rota que está sendo retornada. Se a rota retornada não corresponder a nenhuma rota criada pelo usuário, esse campo será a cadeia de caracteres Rota do sistema. | |
| SourceSecurityRuleAnalysis.Results[].Perfil | Perfil de diagnóstico de configuração de rede. |
| SourceSecurityRuleAnalysis.Results[].Perfil.Origem | Origem do tráfego. Os valores possíveis são: *****, Endereço IP/CIDR, e Etiqueta de Serviço. |
| SourceSecurityRuleAnalysis.Resultados[].Perfil.Destino | Destino do tráfego. Os valores possíveis são: *****, Endereço IP/CIDR, e Etiqueta de Serviço. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Porta de destino do tráfego. Os valores possíveis são: * e uma única porta no intervalo (0 - 65535). |
| SourceSecurityRuleAnalysis.Results[]. Perfil.Protocolo | Protocolo a verificar. Os valores possíveis são: *****, TCP e UDP. |
| SourceSecurityRuleAnalysis.Results[].Perfil.Direção | A direção do tráfego. Os valores possíveis são: Outbound e Inbound. |
| SourceSecurityRuleAnalysis.Resultados[].ResultadoGrupoSegurançaDeRede | Resultado do grupo de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[] | Lista de resultados de diagnóstico de grupos de segurança de rede. |
| AnáliseRegraSegurançaOrigem.Resultados[].ResultadoGrupoSegurançaRede.ResultadoAcessoRegraSegurança | O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.GruposDeSegurançaAvaliados[].AplicadoA | ID do recurso da NIC ou sub-rede à qual o grupo de segurança de rede é aplicado. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.GrupoDeSegurançaAvaliado[].Regra Correspondente | Regra de segurança de rede correspondente. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.GruposDeSegurançaAvaliados[].MatchedRule.Action | O tráfego de rede é permitido ou negado. Os valores possíveis são: Permitir e Negar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.GruposdeSegurançaAvaliados[].MatchedRule.RuleName | Nome da regra de segurança de rede correspondente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluationSecurityGroups[]. NetworkSecurityGroupId | ID do grupo de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[] | Lista dos resultados da avaliação das regras de segurança de rede. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinoCorrespondido | O valor indica se o destino é correspondido. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationPortMatched | Valor indica se a porta de destino é correspondida. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. Designação | Nome da regra de segurança de rede. |
| No proposed changes to the translation since identifiers are likely unchanged by best practices, indicating a potential omission from suggested improvements unless text beyond typical variable contexts is present. | Valor indica se o protocolo corresponde. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. SourceMatched | Valor indica se a origem é correspondente. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].PortaDeOrigemCorrespondente | Valor indica se a porta de origem é correspondida. Valores booleanos. |
| Análise da Regra de Segurança de Destino | O mesmo que o formato SourceSecurityRuleAnalysis. |
| SourcePortStatus | Determina se a porta na origem é acessível ou não. Os valores possíveis são: Desconhecido Acessível Instável SemConexão Tempo limite |
| EstadoDoPortoDeDestino | Determina se a porta no destino é acessível ou não. Os valores possíveis são: Desconhecido Acessível Instável SemConexão Tempo limite |
O exemplo a seguir mostra um problema encontrado em um salto.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Erros
A resolução de problemas de ligação devolve as seguintes mensagens de erro.
| Tipo de Problema | Descrição |
|---|---|
| AgentStopped | O agente Observador de Rede na VM de origem parou ou não responde. |
| Firewall de Convidados | O tráfego está a ser bloqueado pelo firewall do sistema operativo convidado na VM de origem ou destino. |
| DNSResolution | A pesquisa DNS para o nome de host de destino falhou no agente de origem. |
| SocketError | O agente de origem falhou em ligar ou escutar no socket local necessário (por exemplo, SocketBindFailed ou ListenFailed). |
| Regra de Segurança de Rede | Uma regra NSG nega o tráfego de entrada ou saída entre a origem e o destino. |
| UserDefinedRoute | Foi encontrado um UserDefinedRoute que encaminha o tráfego para um próximo salto None , criando um encaminhamento por buraco negro. |
| Plataforma | Um problema ao nível da plataforma Azure está a afetar a conectividade. |
| NetworkError | Ocorreu uma falha genérica de rede (por exemplo, ligação expirada, falha de ligação, sem resposta ou falha de envio/receção). |
| Processador | O uso da CPU na VM de origem ou destino ultrapassou o limiar. |
| Memória | O uso de memória na VM de origem ou destino ultrapassou o limiar. |
| ARPMissing | A tabela ARP no salto Microsoft Edge (ExpressRoute) está em falta ou tem uma entrada incompleta para o IP do cliente/Microsoft edge. |
| Rota_Perdida | Eleva-se quando não se encontra uma rota válida para o destino num salto. |
| VMReboot | A VM de origem ou destino está atualmente em estado de reinicialização. |
| VMNotAllocated | A VM não está alocada (desalocada/interrompida). |
| NoListenerOnDestination | A verificação de conectividade do destino confirmou que nenhum processo está a ouvir na porta especificada. |
| DIPProbeDown | A sonda de saúde do SLB reporta que o IP de destino (DIP) do backend está Inativo. |
| NoRouteLearned | O SLB ou Virtual Hub não encontrou rota eficaz para o destino. |
| PeeringInfoNotFound | A informação de peering entre dois VNets não pôde ser recuperada. |
| VMStarting | A VM de destino está num estado inicial e ainda não está pronta para aceitar tráfego. |
| VMStopped | A VM de destino está parada (mas ainda alocada), por isso não pode aceitar tráfego de rede. |
| VMStopping | A VM de destino está a parar e não aceita tráfego de forma fiável. |
| VMDeallocating | A VM de destino está a ser desalocada e está em processo de libertar os seus recursos, tornando-a temporariamente inacessível. |
| VMDeallocated | A VM de destino foi totalmente desalocada. |
| SystemError | Ocorreu um erro interno no sistema ou infraestrutura. |
| UDRLoop | Rota Definida pelo Utilizador encontrada. Isto resulta num ciclo de encaminhamento, pois o IP do salto seguinte corresponde ao IP do salto atual. |
| IPForwardingNotEnabled | A VM NVA (appliance virtual) por onde o tráfego é encaminhado não tem o encaminhamento IP ativado na sua NIC. |
| VnetAccessNotAllowed | A ligação de peering virtual da rede tem AllowVNetAccess definido como false, bloqueando o tráfego de atravessar o limite do peering. |
| PermitirTrânsitoDeGatewayNãoAtivado | O peering do lado do hub/gateway não tem AllowGatewayTransit ativado. |
| MultiNICsNaMesmaSub-rede | Múltiplas NICs na VM estão na mesma sub-rede, o que pode causar encaminhamento assimétrico e comportamentos de tráfego imprevisíveis. |
| StandardILBOutboundInternetNotAllowed | Ativada quando uma VM no backend pool de um Standard Internal Balanceador de Carga tenta aceder à internet — os backends ILB Standard não têm acesso predefinido à internet de saída, ao contrário do ILB Básico. |
| MultiNICsInSameSubnetWithWeakHostSendEnabled | Várias NICs estão na mesma sub-rede e o envio fraco do host está ativado, o que pode fazer com que o tráfego saia de uma interface inesperada. |
| MultiNICsEmMesmaSub-redeComHostFracoAtivado | Múltiplas NICs estão na mesma sub-rede e o host fraco (envio/receção) está ativado na VM, podendo encaminhar pacotes através de interfaces não intencionais. |
| SourcePortInUse | A porta de origem selecionada pelo agente já está em estado TIME_WAIT (um socket TCP persistente), impedindo que uma nova ligação seja estabelecida a partir dessa porta. |
| InvalidResponseFromServer | Uma sonda DNS consultou o servidor, mas não obteve registos correspondentes. |
| DNSRespostaValidaçãoFalhou | A resposta do DNS probe falhou numa regra de validação configurada (por exemplo, contagem de registos errada, suporte de recursão errado, RCode errado ou flag de autoridade errada). |
| Sistema Não Suportado | O agente está a correr num sistema operativo ou configuração de sistema que não suporta o tipo de sonda solicitado. |
| Topologia Incompleta | O serviço não conseguiu construir um percurso completo até ao destino. |
| DestinoInacessível | O agente na máquina de origem não conseguiu chegar ao destino. |
| TraceRouteUnavailable | O agente não devolveu um resultado traceroute (sem caminhos), por isso não consegue determinar o estado da conectividade entre a origem e o destino. |
| DestinoParcialmente Acessível | Alguns caminhos de traceroute do agente, mas não todos, chegaram com sucesso ao destino. |
| GatewayNotProvisioned | O gateway VPN/ExpressRoute devolveu um erro GatewayNotProvisioned . |
| RecursoSaúdeIndisponível | Azure Resource Health reporta o recurso de salto (VM, gateway, firewall, etc.) como Não disponível. |
| Saúde dos Recursos Degradada | Azure Resource Health reporta o recurso de hop como Degradado. |
| VirtualHubNotProvisioned | O WAN Virtual Hub associado ao caminho não está num estado de provisionamento Bem Sucedido. |
| StatusCodeValidationFailed | A sonda HTTP recebeu uma resposta, mas o código de estado HTTP devolvido não correspondia ao valor esperado. |
| ValidaçãoDeCabeçalhoFalhou | A sonda HTTP recebeu uma resposta, mas um ou mais cabeçalhos de resposta HTTP esperados estavam em falta ou não correspondiam. |
| FalhaNaValidaçãoDoConteúdo | A sonda HTTP recebeu uma resposta, mas o conteúdo do corpo da resposta não correspondia ao valor esperado. |
| NenhumaConexãoConfigurada | Não há ligação configurada entre os pontos finais de origem e destino nas definições do monitor de ligação. |
| ConnectionStateDesconectado | A ligação monitorizada está num estado desconectado, indicando uma interrupção no caminho lógico da ligação. |
| BasicILBNotSupportedWithGlobalPeering | Um Balanceador de Carga Interno Básico não suporta o Peering Global de Rede Virtual. |
| BGPRoutePropogationDesabilitado | A propagação de rotas BGP está desativada na tabela de rotas associada à sub-rede de origem. |
| UseRemoteGatewaysNotEnabled | O peering na ramificação não tem a funcionalidade UseRemoteGateways ativada. |
| UnexpectedVirtualNetworkGatewayConnection (Conexão Inesperada de Gateway de Rede Virtual) | Foi encontrada uma conexão de gateway de rede virtual no caminho que não era esperada. |
Tipos de falhas
A solução de problemas de conexão fornece informações sobre tipos de falhas na conexão. A tabela a seguir fornece uma lista dos possíveis tipos de falha retornados.
| Tipo | Descrição |
|---|---|
| CPU | Utilização elevada da CPU. |
| Memória | Utilização elevada da memória |
| GuestFirewall | O tráfego é bloqueado devido a uma configuração de firewall de máquina virtual. Um ping TCP é um caso de uso exclusivo no qual, se não houver uma regra permitida, o próprio firewall responde à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP/FQDN de destino. Este evento não é registado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping chegará ao servidor de destino e sua resposta será retransmitida de volta ao cliente. Esse evento é registrado no log de regras de rede. |
| DNSResolution | Falha na resolução de DNS para o endereço de destino. |
| Regra de Segurança de Rede | O tráfego é bloqueado por uma regra de grupo de segurança de rede (a regra de segurança é retornada). |
| Rota Definida pelo Usuário | O tráfego é descartado devido a uma rota definida pelo utilizador ou pelo sistema. |
Próximo passo
Para saber como usar a solução de problemas de conexão para testar e solucionar problemas de conexões, continue para: