Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con el aumento de las cargas de trabajo sofisticadas y de alto rendimiento en Azure, resulta crítico aumentar la visibilidad y el control sobre el estado operativo de las redes complejas que ejecutan estas cargas de trabajo. Estas redes complejas se implementan mediante grupos de seguridad de red, firewalls, rutas definidas por el usuario y recursos proporcionados por Azure. Las configuraciones complejas dificultan la solución de problemas de conectividad.
La característica de solución de problemas de conexión de Azure Network Watcher ayuda a reducir la cantidad de tiempo para diagnosticar y solucionar problemas de conectividad de red. Los resultados devueltos pueden proporcionar información sobre la causa principal del problema de conectividad y si se debe a un problema de configuración de plataforma o usuario.
La solución de problemas de conexión reduce el tiempo medio de resolución (MTTR) al proporcionar un método completo para realizar todas las comprobaciones principales de conexión con el fin de detectar problemas relacionados con grupos de seguridad de red, rutas definidas por el usuario y puertos bloqueados. Ofrece los siguientes resultados con información práctica en la que se proporciona una guía paso a paso o la documentación correspondiente para una resolución más rápida:
- Prueba de conectividad con diferentes tipos de destino (VM, URI, FQDN o dirección IP)
- Problemas de configuración que afectan a la accesibilidad
- Latencia (mínima, máximo y promedio entre el origen y el destino)
- Vista de topología gráfica de origen a destino
- Número de pruebas con errores durante la comprobación de problemas de conexión
Experiencia sin agente (versión preliminar)
La solución de problemas de conexión ahora admite una experiencia sin agente (actualmente en versión preliminar). Ya no es necesario instalar la extensión de máquina virtual del agente de Network Watcher en las máquinas virtuales para ejecutar pruebas de conectividad. Las características y la funcionalidad pueden cambiar antes de la disponibilidad general.
Anteriormente, las pruebas de conectividad con la solución de problemas de conexión requerían que la máquina virtual de origen tuviera instalada la extensión de máquina virtual del agente de Network Watcher. Esta extensión era necesaria para ejecutar pruebas desde la máquina virtual.
Novedades
Con la actualización sin agente (versión preliminar), ahora puede ejecutar pruebas de conectividad entre recursos de Azure sin instalar ningún agente de diagnóstico o extensión de máquina virtual. Esto simplifica la configuración, reduce la sobrecarga operativa y permite una solución de problemas más rápida directamente desde Azure Portal.
- No se requiere ninguna instalación del agente: las pruebas de conectividad se pueden iniciar sin implementar ni actualizar la extensión de máquina virtual del agente de Network Watcher en las máquinas virtuales Windows o Linux.
- Experiencia simplificada: todos los diagnósticos se realizan mediante las API de la plataforma Azure, lo que hace que el proceso sea sencillo y eficaz.
Tipos de origen y destino admitidos
La solución de problemas de conexión proporciona la capacidad de comprobar las conexiones TCP o ICMP desde cualquiera de estos recursos de Azure:
- Máquinas virtuales
- Conjuntos de escalado de máquinas virtuales
- Instancias de Azure Bastion
- Puertas de enlace de aplicación v2, con la excepción de aquellas inscritas en la Implementación de Puerta de Enlace de Aplicación Privada
La solución de problemas de conexión puede probar las conexiones a cualquiera de estos destinos:
- Máquinas virtuales
- Nombres de dominio completos (FQDN)
- Identificadores de recursos uniformes (URI)
- Direcciones IP
Problemas detectados por la solución de problemas de conexión
La solución de problemas de conexión puede detectar los tipos de problemas siguientes que pueden afectar la conectividad:
- Uso elevado de CPU de la máquina virtual
- Uso elevado de memoria de la máquina virtual
- Reglas de firewall de máquina virtual (invitada) que bloquean el tráfico
- Errores de resolución de DNS
- Rutas faltantes o mal configuradas
- Reglas del grupo de seguridad de red (NSG) que bloquean el tráfico
- Incapacidad de abrir un socket en el puerto de origen especificado
- Entradas faltantes del protocolo de resolución de direcciones para circuitos de Azure Express Route
- Servidores que no escuchan en puertos de destino designados
Respuesta
En la tabla siguiente se muestran las propiedades devueltas después de ejecutar la solución de problemas de conexión.
| Propiedad | Descripción |
|---|---|
| EstadoDeConexión | Estado de la comprobación de conectividad. Los resultados posibles son Reachable y Unreachable. |
| LatenciaPromedioEnMs | Promedio de latencia durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| LatenciaMínimaEnMs | Latencia mínima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| MaxLatencyInMs | Latencia máxima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible). |
| SondeosEnviados | Número de sondeos enviados durante la comprobación. El valor máximo es 100. |
| PruebasFallidas | Número de sondeos que fallaron durante la comprobación. El valor máximo es 100. |
| Lúpulo | Ruta salto por salto desde el origen al destino. |
| Lúpulo[].Tipo | Tipo de recurso. Los valores posibles son Origen, VirtualAppliance, VnetLocal e Internet. |
| Hops[].Id | Identificador único del salto. |
| Hops[].Address | Dirección IP del salto. |
| Hops[].ResourceId | Id. de recurso del salto si el salto es un recurso de Azure. Si se trata de un recurso de Internet, ResourceID es Internet. |
| Hops[].NextHopIds | Identificador único del siguiente salto. |
| Hops[].Issues | Una recopilación de los problemas encontrados durante la comprobación del salto. Si no hubiera ningún problema, el valor está en blanco. |
| Hops[].Issues[].Origin | Salto actual donde se produjo el problema. Los valores posibles son: Entrante: el problema se encuentra en el vínculo entre el salto anterior y el salto actual. Saliente: el problema se encuentra en el vinculo entre el salto actual y el próximo salto. Local: el problema se encuentra en el salto actual. |
| Hops[].Issues[].Severity | La gravedad del problema detectado. Los valores posibles son Error y Advertencia. |
| Hops[].Issues[].Type | Tipo del problema detectado. Los valores posibles son: CPU Memoria guestFirewall DNSResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Detalles relacionados con el problema detectado. |
| Hops[].Issues[].Context[].key | Clave del par clave-valor devuelta. |
| Hops[].Issues[].Context[].value | Valor del par clave-valor devuelto. |
| NextHopAnalysis.NextHopType | Tipo del próximo salto. Los valores posibles son: HyperNetGateway Internet Ninguno VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Dirección IP del próximo salto. |
| Identificador de recurso de la tabla de rutas asociada a la ruta que se va a devolver. Si la ruta devuelta no se corresponde a ninguna ruta creada por el usuario, este campo será la cadena Ruta del sistema. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Perfil de diagnóstico de configuración de red. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Origen del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Destino del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Puerto de destino del tráfico. Los valores posibles son: * y un único puerto en el rango (0 - 65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Protocolo que se va a comprobar. Los valores posibles son: *, TCP y UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | La dirección del tráfico. Los valores posibles son: Saliente y Entrante. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Resultado del grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Lista de resultados de diagnóstico de grupos de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | ID de recurso del NIC o de la subred a la cual se aplica el grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Regla de seguridad de red coincidente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. MatchedRule.Action | El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Nombre de la regla de seguridad de red coincidente. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.EvaluatedSecurityGroups[]. NetworkSecurityGroupId | Id. del grupo de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Lista de resultados de evaluación de reglas de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[]. NetworkSecurityGroupResult.RulesEvaluationResult[]. DestinationMatched (DestinoEmparejado) | Valor que indica si el destino coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | Valor que indica si coincide con el puerto de destino. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Nombre de la regla de seguridad de red. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | Valor que indica si el protocolo coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | Valor que indica si el origen coincide. Valores booleanos. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | Valor que indica si el puerto de origen coincide. Valores booleanos. |
| AnálisisDeReglasDeSeguridadDeDestino | Igual que el formato SourceSecurityRuleAnalysis. |
| SourcePortStatus | Determina si el puerto en el origen es accesible o no. Los valores posibles son: Desconocido Accesible Inestable Sin Conexión Tiempo de espera |
| EstadoDelPuertoDeDestino | Determina si el puerto en el destino es accesible o no. Los valores posibles son: Desconocido Accesible Inestable Sin Conexión Tiempo de espera |
En el siguiente ejemplo se muestra un problema encontrado en un salto.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Tipo de error
El diagnóstico de conexiones devuelve tipos de error relacionados con la conexión. En la siguiente tabla se proporciona una lista de los posibles tipos de errores devueltos.
| Tipo | Descripción |
|---|---|
| Unidad Central de Procesamiento (CPU) | Alta utilización de CPU. |
| Memoria | Alta utilización de memoria. |
| GuestFirewall | El tráfico se bloquea debido a una configuración de firewall de máquina virtual. Un ping de TCP es un caso de uso único en el que, si no hay ninguna regla permitida, el propio firewall responde a la solicitud de ping TCP del cliente aunque el ping TCP no llegue a la dirección IP o FQDN de destino. Este evento no se registra. Si hay una regla de red que permite el acceso a la dirección IP o FQDN de destino, la solicitud de ping llega al servidor de destino y su respuesta se retransmite de nuevo al cliente. Este evento se registra en el registro de reglas de red. |
| DNSResolution | Error en la resolución DNS para la dirección de destino. |
| ReglaDeSeguridadDeRed | El tráfico es bloqueado por una regla de grupo de seguridad de red (la regla de seguridad es devuelta). |
| RutaDefinidaPorElUsuario | El tráfico se interrumpe debido a una ruta definida por el usuario o del sistema. |
Paso siguiente
Para obtener información sobre cómo usar la solución de problemas de conexión para probar y solucionar problemas de conexiones, continúe con lo siguiente: