Solução de Problemas de Roteamento com vSockets Azure

Visão geral

Este artigo aborda problemas relacionados ao roteamento envolvendo vSockets implantados em Redes Virtuais Microsoft Azure (VNets). Ele se concentra em como o modelo de rede definido por software do Azure afeta o fluxo de tráfego entre interfaces LAN do vSocket, sub-redes, VNets emparelhadas e redes externas. Compreensões incorretas sobre rotas do sistema Azure, rotas efetivas ou comportamento de encaminhamento IP podem resultar em roteamento assimétrico, pacotes descartados ou recursos inacessíveis.

Sintomas

Problemas de roteamento com vSockets Azure normalmente apresentam-se por meio dos seguintes sintomas observáveis:

  • O tráfego não alcança VMs internas, seja na mesma sub-rede que a LAN ou em uma sub-rede ou VNET diferente.
  • O tráfego de saída de recursos internos não chega ao seu destino.
  • Implantações de alta disponibilidade (HA) falham ao rotear tráfego através do vSocket ativo.

Causas possíveis

  • Rotas do sistema Azure sobrepondo caminhos de tráfego esperados.
  • Rotas definidas pelo usuário ausentes ou mal configuradas.
  • Encaminhamento IP desativado na interface de rede LAN do vSocket.
  • Configuração incorreta de IP flutuante em implantações HA.
  • Regras de Grupo de Segurança de Rede (NSG) bloqueando tráfego de entrada ou saída.
  • Má interpretação do comportamento de roteamento intra-sub-rede do Azure.

Solução de Problemas

IMPORTANTE: Antes de resolver problemas, verifique todos os pré-requisitos para implantação de vSocket Azure. Consulte Implantando vSockets Azure do Marketplace.

Use as etapas abaixo para isolar problemas de roteamento por sintoma. 

Definindo a Topologia Interna

Para entender melhor o fluxo de pacotes e o comportamento de roteamento dentro do Azure, primeiro defina a topologia de rede entre VNet(s) Azure, a interface LAN do vSocket, e sub-redes internas e VMs.

Consulte o diagrama de topologia abaixo para orientações.

Solução de Problemas de Tráfego Não Alcançando Recursos Internos

  1. Verifique se as sub-redes internas estão corretamente definidas no CMA em Configuração do Site > Redes. Sub-redes não nativas devem ter o gateway definido para o primeiro endereço IP disponível da sub-rede LAN (nativa).
  2. Revise a tabela de roteamento LAN:
    • Confirme que uma rota 0.0.0.0/0 está configurada com o próximo salto definido para o endereço IP LAN ou, em implantação HA, para o endereço IP Flutuante.
    • Se apenas prefixos específicos devem ser alcançáveis via vSocket, defina rotas explícitas para esses prefixos com a mesma configuração de próximo salto.
    • Verifique se todas as sub-redes internas necessárias estão presentes na tabela de roteamento.
    • Se rotas ou sub-redes estiverem ausentes, consulte Resolvendo rotas ausentes ou incorretas
  3. Verifique as rotas efetivas para a interface LAN.
    • Selecione a interface LAN, depois navegue para Ajuda > Rotas efetivas.
    • Rotas efetivas incluem tanto rotas de sistema (padrão) quanto rotas definidas pelo usuário (UDR).
    • Identifique qual rota tem precedência para o prefixo de destino. Rotas não preferidas aparecerão como "inválidas".
    • Se uma rota de sistema (padrão) sobrepuser a rota definida pelo usuário, consulte Resolvendo rotas ausentes ou incorretas
  4. Valide regras do Grupo de Segurança de Rede:
    • Confirme que existam regras explícitas de permissão para tráfego de entrada e saída.
    • Preste atenção especial à prioridade e à direção da regra.
    • Selecione a interface LAN e verifique as regras de segurança efetivas. Certifique-se de que todas as regras de NSG associadas permitem o tráfego esperado.
    • Se uma regra de NSG estiver bloqueando tráfego, consulte Resolvendo bloqueios de tráfego relacionados a NSG
  5. Verifique o status do encaminhamento IP na interface de rede LAN do vSocket. Esta configuração deve estar ativada para permitir que a LAN do vSocket receba tráfego destinado a outros destinos.
  6. Execute capturas PCAP na LAN via vSocket WebUI enquanto gera tráfego ativo. Prossiga com as próximas etapas para analisá-los.

Analisando Capturas PCAP Internas

  1. Revise as capturas de pacotes retiradas da LAN do vSocket.
  2. Confirme o seguinte comportamento de roteamento do Azure:

    • Quando o tráfego sai da interface LAN do vSocket, o destino MAC será o roteador virtual do Azure (12:34:56:78:9a:bc). Isso ocorre porque o Azure roteia todo o tráfego através de seu roteador virtual interno, mesmo quando os dispositivos estão na mesma sub-rede.

    • Pacotes de retorno tipicamente mostram a fonte MAC da VM interna. O Azure remove o MAC do roteador antes de entregar o pacote ao vSocket.

Ao contrário das redes tradicionais de Camada-2, o Azure não permite comunicação direta de host para host dentro de uma sub-rede. Todo o tráfego passa pelo roteador virtual do Azure. Esse comportamento pode fazer capturas de pacotes parecerem assimétricas.

Solução de Problemas de Roteamento para Sub-redes Não Nativas

Se o tráfego não puder alcançar recursos em sub-redes não nativas:

  1. Siga as etapas explicadas em Solução de Problemas de Tráfego Não Alcançando Recursos Internos.
  2. Verifique se a sub-rede não nativa existe no CMA. Certifique-se de que o gateway esteja definido para o primeiro endereço IP disponível da sub-rede LAN (nativa).
  3. Confirme que a sub-rede não nativa apareça na tabela de roteamento LAN do vSocket.

Solução de Problemas de Roteamento VNet-para-VNet

Ao rotear entre VNets emparelhadas, verifique o seguinte:

  1. Certifique-se de que o emparelhamento do VNET e as tabelas de rotas estejam configuradas conforme explicado em Como Usar um vSocket no Ambiente com Múltiplos VNets Azure
  2. Siga as etapas explicadas em Solução de Problemas de Tráfego Não Alcançando Recursos Internos.
  3. Verifique se a sub-rede de destino (no VNet de conexão) existe no CMA. Certifique-se de que o gateway esteja definido para o primeiro endereço IP disponível da sub-rede LAN (nativa).
  4. Verifique as rotas efetivas na interface LAN do vSocket. Deve incluir a sub-rede de destino com o próximo salto definido para o emparelhamento de VNET.
  5. Verifique as rotas efetivas na interface da VM interna. Deve incluir a sub-rede nativa com o próximo salto definido para o emparelhamento de VNET, assim como uma rota 0.0.0.0/0 com o próximo salto definido para o endereço IP LAN ou, em implantação HA, para o endereço IP Flutuante.

Solução de Problemas de Roteamento HA

Em implantações HA, verifique o seguinte:

  1. Navegue para a interface LAN do vSocket MASTER, Configurações > Configurações de IP, e confirme que o IP flutuante está configurado como um endereço IP Secundário.
  2. Certifique-se de que a tabela de roteamento LAN no vSocket inclui o IP flutuante como o próximo salto da rota 0.0.0.0/0. Se não, veja Resolvendo problemas de IP flutuante HA
  3. Certifique-se de que durante a mudança de função, o IP flutuante seja migrado para o novo vSocket MASTER, conforme esperado durante alterações de função.

Para mais informações sobre resolução de problemas de ambientes HA, consulte Resolução de Problemas de vSocket HA Azure

Resolvendo Problemas Descobertos

Aplicar a resolução apropriada baseada na causa raiz identificada durante a solução de problemas.

Resolvendo Rotas Ausentes ou Incorretas

  1. Crie ou atualize rotas definidas pelo usuário na tabela de roteamento LAN para sobrepor rotas do sistema Azure quando necessário.
  2. Associe a tabela de rotas com a sub-rede correta.
  3. Selecione a interface LAN, depois navegue para Ajuda > Rotas efetivas. Revalide se o caminho esperado agora é preferido.

Resolvendo Bloqueios de Tráfego Relacionados a NSG

  1. Adicione regras explícitas de permissão para os protocolos, portas e prefixos de fonte/destino necessários.
  2. Certifique-se de que regras de permissão tenham maior prioridade do que regras de negação.
  3. Reteste o fluxo de tráfego após atualizações de regras.
  4. Selecione a interface LAN, depois navegue para Ajuda > Regras de segurança efetivas. Revalide se as regras de permissão esperadas agora são preferidas.

Resolvendo Problemas de IP Flutuante HA

  1. Siga as etapas de Resolução de Problemas de vSocket HA Azure para resolver a atribuição de endereço IP flutuante ao vSocket MASTER.
  2. Atualize a tabela de roteamento LAN, se necessário, para referenciar o próximo salto como o IP Flutuante.
  3. Realize testes controlados de failover para validar comportamento.

Elevando Casos para Suporte Cato

Escalone para Suporte Cato se o comportamento de roteamento permanecer inconsistente após validação de configuração. Forneça as seguintes informações para acelerar a análise da causa raiz.

  • Descrição da topologia interna.
  • Capturas de tela de tabelas de roteamento de sub-rede.
  • Capturas de tela de rotas efetivas.
  • Regras de entrada e saída do Grupo de Segurança de Rede.
  • Confirmação do status de encaminhamento IP na interface LAN do vSocket.
  • Capturas de pacotes do vSocket e das VMs afetadas.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário