Azure vSocket을 사용한 라우팅 문제 해결

개요

이 문서는 Microsoft Azure Virtual Networks(VNets)에 배치된 vSocket 관련 라우팅 관련 문제를 포함합니다. Azure의 소프트웨어 정의 네트워킹 모델이 vSocket LAN 인터페이스, 서브넷, 피어링된 VNet 및 외부 네트워크 간의 트래픽 흐름에 어떤 영향을 미치는지에 초점을 맞춥니다. Azure 시스템 라우트, 효과적 라우트 또는 IP 전달 동작에 대한 오해는 비대칭 라우팅, 패킷 손실 또는 리소스에 접근할 수 없는 문제를 초래할 수 있습니다.

증상

Azure vSocket과 관련된 라우팅 문제는 일반적으로 다음과 같은 관찰 가능한 증상으로 나타납니다.

  • 트래픽이 동일한 서브넷의 LAN이나 다른 서브넷 또는 VNET의 내부 VM에 도달하지 못합니다.
  • 내부 리소스로부터의 아웃바운드 트래픽이 목적지에 도달하지 않습니다.
  • 고가용성(HA) 배포가 활성을 통해 트래픽을 라우팅하는 데 실패합니다.

가능한 원인

  • Azure 시스템 라우트가 예상 트래픽 경로를 덮어쓰다는 것입니다.
  • 사용자 정의 라우트가 누락되었거나 잘못 구성되었습니다.
  • IP 전달이 vSocket LAN 네트워크 인터페이스에서 비활성화되었습니다.
  • HA 배포에서 올바르지 않은 플로팅 IP 구성입니다.
  • 네트워크 보안 그룹(NSG) 규칙이 인바운드 또는 아웃바운드 트래픽을 차단합니다.
  • Azure의 서브넷 내 라우팅 동작에 대한 오해입니다.

문제 해결

중요: 문제 해결 전에 Azure vSocket 배포의 모든 사전 조건을 확인하세요. Marketplace에서 Azure vSocket 배포를 참조하십시오.

아래 단계에 따라 증상별로 라우팅 문제를 고립시키세요. 

내부 토폴로지 정의

Azure 내에서 패킷 흐름과 라우팅 동작을 더 잘 이해하기 위해 먼저 Azure VNet과 vSocket LAN 인터페이스, 내부 서브넷 및 VM 간의 네트워크 토폴로지를 정의합니다.

지도 아래의 토폴로지 다이어그램을 참조하세요.

내부 리소스로의 트래픽이 도달하지 않는 문제를 해결

  1. CMA의 사이트 구성 > 네트워크에서 내부 서브넷이 올바르게 정의되어 있는지 확인하세요. 비네이티브 서브넷은 LAN(네이티브) 서브넷의 첫 번째 사용 가능한 IP 주소로 게이트웨이를 설정해야 합니다.
  2. LAN 라우팅 테이블을 검토하세요:
    • 0.0.0.0/0 라우트가 LAN IP 주소 또는 HA 배포 시 플로팅 IP 주소로 다음 홉을 설정하여 구성되어 있는지 확인하세요.
    • 특정 접두사가 vSocket을 통해 도달 가능해야 하는 경우 동일한 다음 홉 구성을 사용하여 해당 접두사를 위한 명시적 라우트를 정의합니다.
    • 필요한 모든 내부 서브넷이 라우팅 테이블에 존재하는지 확인합니다.
    • 라우트 또는 서브넷이 누락된 경우 누락되거나 잘못된 라우트 해소를 참조하세요.
  3. LAN 인터페이스의 유효 라우트를 확인합니다.
    • LAN 인터페이스를 선택한 다음 도움말 > 유효 라우트로 이동합니다.
    • 유효 라우트에는 시스템(기본) 라우트와 사용자 정의 라우트(UDR)가 모두 포함됩니다.
    • 목적지 접두사에 대한 우선 순위가 있는 라우트를 식별합니다. 비선호 라우트는 "invalid"로 표시됩니다.
    • 시스템(기본) 라우트가 사용자 정의 라우트를 덮어쓰는 경우 누락되거나 잘못된 라우트 해소를 참조하세요.
  4. 네트워크 보안 그룹 규칙을 검증하세요:
    • 인바운드 및 아웃바운드 트래픽을 위한 명시적 허용 규칙이 존재하는지 확인합니다.
    • 규칙 우선 순위와 방향에 특별한 주의를 기울이세요.
    • LAN 인터페이스를 선택하고 유효 보안 규칙을 확인하세요. 모든 관련된 NSG 규칙이 예상되는 트래픽을 허용하는지 확인하세요.
    • NSG 규칙이 트래픽을 차단하는 경우 NSG 관련 트래픽 블록 해소를 참조하세요.
  5. vSocket LAN 네트워크 인터페이스에서 IP 전달 상태를 확인하세요. vSocket LAN이 다른 목적지로 향하는 트래픽을 수신할 수 있도록 이 설정은 활성화되어야 합니다.
  6. vSocket WebUI를 통해 활성 트래픽을 생성하는 동안 PCAP 캡처를 LAN에서 실행하세요. 다음 단계로 계속 진행하여 이를 분석하세요.

내부 PCAP 캡처 분석

  1. vSocket의 LAN에서 가져온 패킷 캡처를 검토하세요.
  2. 다음과 같은 Azure 라우팅 동작을 확인하세요:

    • 트래픽이 vSocket LAN 인터페이스를 떠날 때 목적지 MACAzure 가상 라우터(12:34:56:78:9a:bc)가 됩니다. 트래픽이 같은 서브넷에 있는 장치들일지라도, Azure는 모든 트래픽을 내부 가상 라우터를 통해 라우팅하기 때문에 발생합니다.

    • 반환 패킷은 일반적으로 내부 VM소스 MAC을 표시합니다. Azure는 패킷을 vSocket에 전달하기 전에 라우터 MAC을 제거합니다.

기존의 Layer-2 네트워크와 달리 Azure는 서브넷 내에서 직접적으로 호스트 간 통신을 허용하지 않습니다. 모든 트래픽은 Azure 가상 라우터를 통해 전달됩니다. 이 동작은 패킷 캡처를 비대칭으로 나타나게 할 수 있습니다.

비네이티브 서브넷으로의 라우팅 문제 해결

트래픽이 비네이티브 서브넷의 리소스에 도달할 수없는 경우:

  1. 내부 리소스로의 트래픽이 도달하지 않는 문제 해결에 설명된 단계를 따르세요.
  2. CMA에 비네이티브 서브넷이 존재하는지 확인하세요. 게이트웨이가 LAN(네이티브) 서브넷의 첫 번째 사용 가능한 IP 주소로 설정되어 있는지 확인하세요.
  3. 비네이티브 서브넷이 vSocket LAN 라우팅 테이블에 나타나는지 확인하세요.

VNet-to-VNet 라우팅 문제 해결

피어링된 VNet 간의 라우팅 시, 다음을 확인하세요:

  1. VNET 피어링 및 라우트 테이블이 Azure 다중 VNet 환경에서 vSocket 사용 방법에 설명된 대로 구성되어 있는지 확인하세요.
  2. 내부 리소스로의 트래픽이 도달하지 않는 문제 해결에 설명된 단계를 따르세요.
  3. CMA에 목적지 서브넷(스포크 VNet 내)이 존재하는지 확인하세요. 게이트웨이가 LAN(네이티브) 서브넷의 첫 번째 사용 가능한 IP 주소로 설정되어 있는지 확인하세요.
  4. vSocket의 LAN 인터페이스에서 유효 라우트를 확인하세요. 다음 홉을 VNET 피어링으로 설정하여 목적지 서브넷을 포함해야 합니다.
  5. 내부 VM의 인터페이스에서 유효 라우트를 확인하세요. 다음 홉을 VNET 피어링으로 설정한 네이티브 서브넷을 포함하고, LAN IP 주소로 설정된 0.0.0.0/0 라우트도 포함해야 하며, HA 배포 시 플로팅 IP 주소로 설정됩니다.

HA 라우팅 문제 해결

HA 배포 시, 다음을 확인하세요:

  1. MASTER vSocket의 LAN 인터페이스, 설정 > IP 구성으로 이동하여 플로팅 IP가 보조 IP 주소로 구성되어 있는지 확인하세요.
  2. vSocket의 LAN 라우팅 테이블이 다음 홉으로 플로팅 IP를 포함한다는 것을 확인하세요. 그렇지 않다면 HA 플로팅 IP 문제 해결를 참조하세요.
  3. 장애 전환 시, 역할 변경 동안 예상대로 플로팅 IP가 새로운 MASTER vSocket으로 마이그레이션되는지 확인하세요.

HA 환경 문제 해결에 대한 자세한 정보를 원하시면 Azure HA vSocket 문제 해결을 참조하세요.

발견된 문제 해소

문제 해결 동안 식별된 근본 원인에 따라 적절한 해결책을 적용하세요.

누락되거나 잘못된 라우트 해소

  1. 필요할 때 Azure 시스템 라우트를 덮어쓰도록 LAN 라우팅 테이블에 사용자 정의 라우트를 생성하거나 업데이트하세요.
  2. 올바른 서브넷과 라우팅 테이블을 연결하세요.
  3. LAN 인터페이스를 선택한 다음 도움말 > 유효 라우트로 이동합니다. 예상된 경로가 이제 선호되는지 다시 확인하세요.

NSG 관련 트래픽 블록 해소

  1. 필요한 프로토콜, 포트 및 소스/목적지 접두사를 위한 명시적 허용 규칙을 추가합니다.
  2. 허용 규칙이 거부 규칙보다 높은 우선 순위를 가지도록 설정하세요.
  3. 규칙 업데이트 후 트래픽 흐름을 다시 테스트하세요.
  4. LAN 인터페이스를 선택하고 도움말 > 유효 보안 규칙으로 이동합니다. 예상되는 허용 규칙이 이제 선호되는지 다시 확인하세요.

HA 플로팅 IP 문제 해결

  1. Azure HA vSocket 문제 해결의 단계를 따라 MASTER vSocket에의 플로팅 IP 주소 할당을 해결합니다.
  2. 필요할 경우 다음 홉을 플로팅 IP로 참조하도록 LAN 라우팅 테이블을 업데이트합니다.
  3. 행동을 검증하기 위해 제어된 장애 전환 테스트를 수행합니다.

Cato Support로 사례 제출

구성 검증 후에도 라우팅 동작이 일관되지 않다면 Cato Support로 연락하세요. 근본 원인 분석을 가속화하기 위한 다음 정보 제공.

  • 내부 토폴로지 설명.
  • 서브넷 라우팅 테이블의 스크린샷.
  • 유효 라우트의 스크린샷.
  • 네트워크 보안 그룹의 인바운드 및 아웃바운드 규칙.
  • vSocket LAN 인터페이스에서 IP 전달 상태 확인.
  • vSocket에서 패킷 캡처 및 영향을 받은 VM들.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개