استكشاف مشاكل التوجيه مع vSockets في Azure

نظرة عامة

يغطى هذا المقال المشكلات المتعلقة بالتوجيه التي تشمل vSockets المنتشرة في شبكات Microsoft Azure الافتراضية (VNets). يركز على كيفية تأثير نموذج الشبكات المعرفة بالبرمجيات في Azure على تدفق الحركة بين واجهات الشبكة المحلية (LAN) في vSocket والشبكات الفرعية وشبكات VNets المتصلة ونظم الشبكات الخارجية. قد يؤدي سوء فهم طرق نظام Azure وطرق التفاعلية أو سلوك تحويل IP إلى توجيه غير متناظر، إسقاط الحزم أو موارد غير قابلة للوصول.

الأعراض

تظهر عادة مشاكل التوجيه مع vSockets في Azure من خلال الأعراض الملحوظة التالية:

  • لا تصل حركة المرور إلى الأجهزة الافتراضية الداخلية (VMs) سواء في نفس الشبكة الفرعية للشبكة المحلية (LAN) أو في شبكة فرعية مختلفة أو شبكة VNET.
  • الحركة الصادرة من الموارد الداخلية لا تصل إلى وجهتها.
  • تفشل عمليات النشر ذات التوافر العالي (HA) في توجيه الحركة من خلال vSocket النشط.

الأسباب المحتملة

  • تتجاوز طرق نظام Azure المسارات المتوقعة لحركة المرور.
  • الطرق المعرفة من قبل المستخدم مفقودة أو غير مهيئة بشكل صحيح.
  • إلغاء تنشيط تحويل IP على واجهة الشبكة المحلية (LAN) في vSocket.
  • تكوين غير صحيح لعنوان IP العائم في عمليات النشر ذات التوافر العالي (HA).
  • قواعد مجموعة أمان الشبكة (NSG) تمنع حركة المرور الواردة أو الصادرة.
  • سوء تفسير سلوك التوجيه داخل الشبكة الفرعية في Azure.

استكشاف المشكلة وحلها

هام: قبل استكشاف المشاكل، تحقق من جميع المتطلبات الأساسية لنشر vSocket في Azure. انظر نشر vSockets في Azure من السوق.

استخدم الخطوات التالية لعزل مشاكل التوجيه بناءً على الأعراض. 

تحديد الطوبولوجيا الداخلية

لفهم تدفق الحزم وسلوك التوجيه داخل Azure بشكل أفضل، قم أولاً بتحديد طوبولوجيا الشبكة بين شبكات Azure VNet(s)، واجهة LAN في vSocket، الشبكات الفرعية الداخلية والأجهزة الافتراضية (VMs).

ارجع إلى مخطط الطوبولوجيا أدناه للحصول على الإرشادات.

استكشاف حركة المرور التي لا تصل إلى الموارد الداخلية

  1. تحقق من أن الشبكات الفرعية الداخلية محددة بشكل صحيح في CMA تحت تكوين الموقع > شبكات. يجب أن يكون للشبكات الفرعية غير الأصلية البوابة محددة إلى أول عنوان IP متاح في الشبكة الفرعية (الأصلية) LAN.
  2. راجع جدول التوجيه LAN:
    • تأكد من أن مسار 0.0.0.0/0 مكون مع إعداد نقطة النقل التالية إلى عنوان LAN IP، أو، في نشر HA، إلى عنوان IP العائم.
    • إذا كان فقط البادئات المحددة يجب أن تكون قابلة للوصول عبر vSocket، قم بتحديد مسارات صريحة لتلك البادئات بنفس إعداد نقطة النقل التالية.
    • تحقق من أن جميع الشبكات الفرعية الداخلية المطلوبة موجودة في جدول التوجيه.
    • إذا كانت الشبكات الفرعية مفقودة، انظر حل المسارات المفقودة أو غير الصحيحة.
  3. تحقق من المسارات الفعالة لواجهة LAN.
    • اختر واجهة LAN، ثم انتقل إلى المساعدة > المسارات الفعالة.
    • تشمل المسارات الفعالة كل من المسارات النظام (الافتراضية) ومسارات معرفة من المستخدم (UDR).
    • تعرف أي مسار له الأسبقية لبادئة الوجهة. ستظهر المسارات غير المفضلة كـ "غير صالحة".
    • إذا كان مسار نظام (افتراضي) يتجاوز المسار المحدد من قبل المستخدم، انظر حل المسارات المفقودة أو غير الصحيحة.
  4. تحقق من قواعد مجموعة أمان الشبكة:
    • تأكد من وجود قواعد السماح الصريحة لحركة المرور الواردة والصادرة.
    • انتبه بشكل خاص إلى أولوية واتجاه القاعدة.
    • اختر واجهة LAN وتحقق من القواعد الأمنية الفعالة. تأكد من أن جميع قواعد NSG المرتبطة تسمح بحركة المرور المتوقعة.
    • إذا كانت هناك قاعدة NSG تمنع حركة المرور، انظر حل حجب حركة المرور المتعلقة بـ NSG.
  5. تحقق من حالة تحويل IP على واجهة الشبكة المحلية (LAN) في vSocket. يجب أن يكون هذا الإعداد مفعلاً للسماح للشبكة المحلية LAN في vSocket بتلقي الحركة الموجهة إلى وجهات أخرى.
  6. قم بتشغيل التقاطات PCAP على الشبكة المحلية LAN عبر واجهة المدير في vSocket أثناء إنشاء حركة مرور نشطة. تابع مع الخطوات التالية لتحليلها.

تحليل لقطات PCAP الداخلية

  1. راجع لقطات الحزم المأخوذة من واجهة LAN في vSocket.
  2. تأكد من سلوك التوجيه التالي في Azure:

    • عندما تغادر حركة المرور واجهة LAN في vSocket، سيكون MAC الوجهة هو الموجه الافتراضي في Azure (12:34:56:78:9a:bc). يحدث هذا لأن Azure يوجه كل الحركة عبر الموجه الافتراضي الداخلي حتى عندما تكون الأجهزة في نفس الشبكة الفرعية.

    • تظهر عادة الحزم العائدة MAC المصدر للجهاز الافتراضي الداخلي (VM). Azure يزيل MAC الموجه قبل تسليم الحزمة إلى vSocket.

على خلاف الشبكات التقليدية في طبقة-2، لا تسمح Azure بالتواصل المباشر بين المضيفين داخل الشبكة الفرعية. تمر كل حركة المرور عبر الموجه الافتراضي في Azure. يمكن أن تجعل هذا السلوك لقطات الحزم تبدو غير متماثلة.

استكشاف توجيه إلى الشبكات الفرعية غير الأصلية

إذا كانت الحركة لا يمكنها الوصول إلى الموارد في الشبكات الفرعية غير الأصلية:

  1. اتبع الخطوات المشروحة في استكشاف الحركة التي لا تصل إلى الموارد الداخلية.
  2. تحقق من وجود الشبكة الفرعية غير الأصلية في CMA. تأكد من أن البوابة محددة لأول عنوان IP متاح في الشبكة الفرعية الأصلية LAN.
  3. تأكد من ظهور الشبكة الفرعية غير الأصلية في جدول توجيه الشبكة المحلية في vSocket

استكشاف توجيه بين شبكات VNet

عند التوجيه بين شبكات VNets المتصلة، تحقق مما يلي:

  1. تأكد من أن اتصال الشبكة VNET وجداول التوجيه محددة كما هو مشروح في كيفية استخدام vSocket في بيئة شبكات VNets متعددة في Azure
  2. اتبع الخطوات المشروحة في استكشاف الحركة التي لا تصل إلى الموارد الداخلية.
  3. تحقق من وجود الشبكة الفرعية الوجهة (في شبكة VNet المتفرعة) في CMA. تأكد من أن البوابة محددة لأول عنوان IP متاح في الشبكة الفرعية الأصلية LAN.
  4. تحقق من المسارات الفعالة على واجهة LAN في vSocket. يجب أن تشمل الشبكة الفرعية الوجهة مع إعداد نقطة النقل التالية إلى اتصال VNET.
  5. تحقق من المسارات الفعالة على واجهة الجهاز الافتراضي الداخلي (VM). يجب أن تشمل الشبكة الفرعية الأصلية بإعداد نقطة النقل التالية إلى اتصال VNET، وكذلك مسار 0.0.0.0/0 بإعداد نقطة النقل التالية إلى عنوان LAN IP، أو في نشر HA، إلى عنوان IP العائم.

استكشاف مشاكل توجيه HA

في عمليات نشر HA، تحقق مما يلي:

  1. انتقل إلى واجهة LAN في vSocket MASTER، إعدادات > إعدادات عناوين IP، و تأكد من أن الIP العائم مكون كعنوان IP ثانوي.
  2. تأكد من أن جدول التوجيه LAN في vSocket يتضمن العنوان IP العائم كمسار 0.0.0.0/0 نقطة النقل التالية. إذا لم يكن، انظر حل مشاكل IP العائم في HA.
  3. تأكد من أنه أثناء تجاوز الفشل، يتم نقل IP العائم إلى vSocket MASTER الجديد كما هو متوقع أثناء تغييرات الدور.

لمزيد من المعلومات حول استكشاف بيئات HA، انظر استكشاف أخطاء vSocket في Azure HA

حل المشكلات التي تم اكتشافها

تطبيق الحل المناسب بناءً على السبب الجذري المحدد أثناء استكشاف الأخطاء وإصلاحها.

حل المسارات المفقودة أو غير الصحيحة

  1. قم بإنشاء أو تحديث المسارات المعرفة من قبل المستخدم في جدول التوجيه LAN لتجاوز طرق نظام Azure عندما يكون ذلك مطلوبًا.
  2. قم بربط جدول المسار بالشبكة الفرعية الصحيحة.
  3. اختر واجهة LAN، ثم انتقل إلى المساعدة > المسارات الفعالة. تحقق من أن المسار المتوقع أصبح مفضلًا الآن.

حل حجب حركة المرور المتعلقة بـ NSG

  1. أضف قواعد السماح الصريحة للبرتوكولات، والمنافذ، وبادئات المصدر/الوجهة المطلوبة.
  2. تأكد من أن قواعد السماح لها أولوية أعلى من قواعد المنع.
  3. اختبر تدفق حركة المرور بعد تحديثات القواعد.
  4. اختر واجهة LAN، ثم انتقل إلى المساعدة > القواعد الأمنية الفعالة. تحقق من أن قواعد السماح المتوقعة الآن مفضلة.

حل مشاكل IP العائم في HA

  1. اتبع الخطوات من استكشاف أخطاء vSocket في Azure HA لحل تكليف IP العائم إلى vSocket MASTER.
  2. قم بتحديث جدول التوجيه LAN إذا لزم الأمر للإشارة إلى نقطة النقل التالية كـ IP العائم.
  3. قم بإجراء اختبار تجاوز الفشل المتحكم للتحقق من السلوك.

رفع القضايا إلى دعم كاتو

تصعيد إلى دعم Cato إذا بقي سلوك التوجيه غير متسق بعد التحقق من التكوين. قدم المعلومات التالية لتسريع تحليل السبب الجذري.

  • وصف الطوبولوجيا الداخلية.
  • لقطات من جداول توجيه الشبكات الفرعية.
  • لقطات من المسارات الفعالة.
  • قواعد مجموعة أمان الشبكة الواردة والصادرة.
  • تأكيد حالة تحويل IP على واجهة الشبكة المحلية (LAN) في vSocket.
  • لقطات الحزم من vSocket والأجهزة الافتراضية المتأثرة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات