Azure vSocketsのルーティング問題のトラブルシューティング

概要

この文書では、Microsoft Azure Virtual Networks (VNets)に展開されたvSocketに関連するルーティング問題を解説します。 Azureのソフトウェア定義ネットワークモデルが、vSocket LANインタフェース、サブネット、ピアVNets、および外部ネットワーク間でのトラフィックフローにどのように影響するかに焦点を当てています。 Azureのシステムルート、有効ルート、またはIP転送の動作を誤解すると、非対称ルーティング、パケットのドロップ、またはリソースにアクセス不可になることがあります。

症状

Azure vSocketsにおけるルーティングの問題は以下の観察可能な症状として現れることが多いです。

  • トラフィックがLANと同じサブネットまたは異なるサブネットやVNETにある内部VMに到達しない。
  • 内部リソースからのアウトバウンドトラフィックが宛先に到達しない。
  • 高可用性(HA)展開がアクティブなvSocketを通じてトラフィックをルートできない。

考えられる原因

  • 期待されるトラフィック経路を上書きするAzureシステムルート。
  • ユーザー定義ルートの欠落または設定ミス。
  • vSocket LANネットワークインタフェースでIP転送が無効。
  • HA展開でのフローティングIP設定の不正確。
  • ネットワークセキュリティグループ(NSG)ルールがインバウンドまたはアウトバウンドトラフィックをブロック。
  • Azureのインタサブネットルーティング動作の誤解。

問題のトラブルシューティング

重要: トラブルシューティングを開始する前に、Azure vSocket展開に必要な全ての事前条件を確認してください。 マーケットプレイスからAzure vSocketsを展開をご参照ください。

以下の手順を使用して、症状によりルーティングの問題を分離します。 

内部接続構成の定義

パケットフローとAzure内でのルーティングの動作をよりよく理解するために、まずAzure VNetや内部サブネットとVM間でネットワーク接続構成を定義します。

以下の接続構成図を参照してください。

内部リソースに到達しないトラフィックのトラブルシューティング

  1. サイト設定>ネットワークで内部サブネットが正しく定義されていることを確認します。 非ネイティブのサブネットは、LAN(ネイティブ)サブネットの最初の利用可能なIPアドレスにゲートウェイを設定する必要があります。
  2. LANルーティングテーブルを確認してください。
    • 0.0.0.0/0のルートがLAN IPアドレス、またはHA展開の場合はフローティングIPアドレスに設定されたネクストホップで構成されていることを確認します。
    • 特定のプレフィックスのみがvSocket経由で到達可能であるべき場合、それらのプレフィックスのために同じネクストホップ構成で明示的なルートを定義してください。
    • 必要な内部サブネットがルーティングテーブルにあることを確認してください。
    • ルートやサブネットが欠落している場合、欠落または不正なルートの解決を参照してください。
  3. LANインタフェースの有効ルートを確認します。
    • LANインタフェースを選択し、ヘルプ>有効ルートに移動します。
    • 有効ルートには、システム(デフォルト)ルートとユーザー定義ルート(UDR)が含まれます。
    • 目的地プレフィックスに対してどのルートが優先されるかを特定します。 優先されないルートは「無効」と表示されます。
    • システム(デフォルト)ルートがユーザー定義ルートを上書きする場合、欠落または不正なルートの解決を参照してください。
  4. ネットワークセキュリティグループルールを確認してください。
    • インバウンドおよびアウトバウンドトラフィックのための明示的な許可ルールが存在することを確認します。
    • ルールの優先度と方向に特に注意を払います。
    • LANインタフェースを選択し、有効なセキュリティルールを確認します。 関連するNSGルールのすべてが期待されるトラフィックを許可することを確認します。
    • NSGルールがトラフィックをブロックしている場合、NSG関連のトラフィックブロックの解決を参照してください。
  5. vSocket LANネットワークインタフェースでのIP転送のステータスを確認します。 この設定は、有効になっている必要があり、vSocket LANが他の宛先に向かうトラフィックを受信することができます。
  6. アクティブなトラフィックを生成する際に、vSocket WebUIを介してLANでPCAPキャプチャを実行します。 それを分析するための次のステップに進みます。

内部PCAPキャプチャの分析

  1. vSocketのLANから取ったパケットキャプチャを確認してください。
  2. 次のAzureルーティング動作を確認します。

    • トラフィックがvSocket LANインタフェースを離れるとき、宛先MACアドレスAzure仮想ルーター(12:34:56:78:9a:bc)になります。 Azureは、デバイスが同じサブネットにある場合でも、すべてのトラフィックを内部仮想ルーターを通じてルーティングするため、これは発生します。

    • 戻ってくるパケットは通常、内部VMソースMACを示します。 AzureはパケットをvSocketに配信する前にルーターMACを削除します。

従来のレイヤー2ネットワークとは異なり、Azureはサブネット内でのホスト間の直接通信を許可していません。 すべてのトラフィックはAzure仮想ルーターを通ります。 この動作により、パケットキャプチャが非対称に見えることがあります。

ネイティブでないサブネットへのルーティングのトラブルシューティング

トラフィックが非ネイティブのサブネット内のリソースに到達できない場合。

  1. 内部リソースに到達しないトラフィックのトラブルシューティングのステップに従います。
  2. 非ネイティブのサブネットがCMAに存在することを確認します。 ゲートウェイがLAN(ネイティブ)サブネットの最初の利用可能なIPアドレスに設定されていることを確認します。
  3. 非ネイティブのサブネットがvSocket LANルーティングテーブルに表示されることを確認します。

VNet間のルーティングのトラブルシューティング

ピアVNets間でルーティングする際に、次のことを確認してください。

  1. VNETピアリングおよびルートテーブルがAzureの複数VNET環境でのvSocketの使用方法で説明されているように設定されていることを確認します。
  2. 内部リソースに到達しないトラフィックのトラブルシューティングのステップに従います。
  3. スポークVNet の宛先サブネットがCMAに存在することを確認します。 ゲートウェイがLAN(ネイティブ)サブネットの最初の利用可能なIPアドレスに設定されていることを確認します。
  4. vSocketのLANインタフェース上の有効ルートを確認します。 VNETピアリングに設定されたネクストホップを持つ宛先サブネットを含める必要があります。
  5. 内部VMのインタフェース上で有効ルートを確認します。 VNETピアリングに設定されたネクストホップを持つネイティブサブネットおよび、ネクストホップがLAN IPアドレス、またはHA展開の場合はフローティングIPアドレスに設定された0.0.0.0/0ルートを含める必要があります。

HAルーティング問題のトラブルシューティング

HA展開では、次のことを確認します。

  1. MASTER vSocketのLANインタフェース、設定>IP構成に移動し、フローティングIPがセカンダリIPアドレスとして構成されていることを確認します。
  2. vSocketのLANルーティングテーブルがフローティングIPを0.0.0.0/0ルートネクストホップとして含めることを確認します。 そうでない場合は、HAフローティングIPの問題の解決を参照してください。
  3. フェイルオーバー時にフローティングIPが役割変更により新しいMASTER vSocketに移動することを確認します。

HA環境のトラブルシューティングに関する詳細は、Azure HA vSocketトラブルシューティングを参照してください。

発見された問題の解決

トラブルシューティング中に特定されたroot causeに基づいて適切な解決策を適用します。

欠落または不正なルートの解決

  1. 必要に応じてAzureシステムルートを上書きするために、LANルーティングテーブルでユーザー定義ルートを作成または更新します。
  2. ルートテーブルを正しいサブネットに関連付けます。
  3. LANインタフェースを選択し、ヘルプ>有効ルートに移動します。 期待される経路が現在優先されていることを再確認します。

NSG関連トラフィックブロックの解決

  1. 必要なプロトコル、ポート、ソース/宛先プレフィックスの明示的な許可ルールを追加します。
  2. 許可ルールが拒否ルールよりも高い優先度を持つことを確認します。
  3. ルール更新後にトラフィックフローを再テストします。
  4. LANインタフェースを選択し、ヘルプ>有効なセキュリティルールに移動します。 期待される許可ルールが現在優先されていることを再確認します。

HAフローティングIPの問題の解決

  1. Azure HA vSocketトラブルシューティングのステップに従い、フローティングIPアドレスをMASTER vSocketに割り当てる問題を解決します。
  2. 必要に応じてLANルーティングテーブルを更新し、ネクストホップをフローティングIPとして参照します。
  3. 動作を確認するための制御されたフェイルオーバー試験を実施します。

Catoサポートへのケースの通知

設定が検証された後でもルーティング動作が一貫していない場合は、Catoサポートにエスカレートしてください。 root cause分析を迅速化するために以下の情報を提供してください。

  • 内部接続構成の説明。
  • サブネットルーティングテーブルのスクリーンショット。
  • 有効ルートのスクリーンショット。
  • ネットワークセキュリティグループのインバウンドおよびアウトバウンドルール。
  • vSocket LANインタフェースでのIP転送ステータスの確認。
  • vSocketおよび影響を受けたVMからのパケットキャプチャ。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント