Información general sobre la solución de problemas de conexión

Con el aumento de las cargas de trabajo sofisticadas y de alto rendimiento en Azure, resulta crítico aumentar la visibilidad y el control sobre el estado operativo de las redes complejas que ejecutan estas cargas de trabajo. Estas redes complejas se implementan mediante grupos de seguridad de red, firewalls, rutas definidas por el usuario y recursos proporcionados por Azure. Las configuraciones complejas dificultan la solución de problemas de conectividad.

La característica de solución de problemas de conexión de Azure Network Watcher ayuda a reducir la cantidad de tiempo para diagnosticar y solucionar problemas de conectividad de red. Los resultados devueltos pueden proporcionar información sobre la causa principal del problema de conectividad y si se debe a un problema de configuración de plataforma o usuario.

La solución de problemas de conexión reduce el tiempo medio de resolución (MTTR) al proporcionar un método completo para realizar todas las comprobaciones principales de conexión con el fin de detectar problemas relacionados con grupos de seguridad de red, rutas definidas por el usuario y puertos bloqueados. Ofrece los siguientes resultados con información práctica en la que se proporciona una guía paso a paso o la documentación correspondiente para una resolución más rápida:

  • Prueba de conectividad con diferentes tipos de destino (VM, URI, FQDN o dirección IP)
  • Problemas de configuración que afectan a la accesibilidad
  • Todas las rutas de acceso de salto a salto desde el origen hasta el destino
  • Latencia de salto a salto
  • Latencia (mínima, máximo y promedio entre el origen y el destino)
  • Vista de topología gráfica de origen a destino
  • Número de sondeos con errores durante la comprobación de la solución de problemas de conexión

Tipos de origen y destino admitidos

La solución de problemas de conexión proporciona la capacidad de comprobar las conexiones TCP o ICMP desde cualquiera de estos recursos de Azure:

  • Máquinas virtuales
  • Conjuntos de escalado de máquinas virtuales
  • Instancias de Azure Bastion
  • Puertas de enlace de aplicaciones (excepto v1)

Importante

La solución de problemas de conexión requiere que la máquina virtual desde la que soluciona el problema tenga la extensión de máquina virtual del agente de Network Watcher instalada. La extensión no es necesaria en la máquina virtual de destino.

La solución de problemas de conexión puede probar las conexiones a cualquiera de estos destinos:

  • Máquinas virtuales
  • Nombres de dominio completos (FQDN)
  • Identificadores de recursos uniformes (URI)
  • Direcciones IP

Problemas detectados por la solución de problemas de conexión

La solución de problemas de conexión puede detectar los tipos de problemas siguientes que pueden afectar la conectividad:

  • Uso elevado de CPU de la máquina virtual
  • Uso elevado de memoria de la máquina virtual
  • Reglas de firewall de máquina virtual (invitada) que bloquean el tráfico
  • Errores de resolución de DNS
  • Rutas faltantes o mal configuradas
  • Reglas del grupo de seguridad de red (NSG) que bloquean el tráfico
  • Incapacidad de abrir un socket en el puerto de origen especificado
  • Entradas faltantes del protocolo de resolución de direcciones para circuitos de Azure Express Route
  • Servidores que no escuchan en puertos de destino designados

Response

En la tabla siguiente se muestran las propiedades devueltas después de ejecutar la solución de problemas de conexión.

Propiedad Descripción
ConnectionStatus Estado de la comprobación de conectividad. Los resultados posibles son Reachable y Unreachable.
AvgLatencyInMs Promedio de latencia durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible).
MinLatencyInMs Latencia mínima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible).
MaxLatencyInMs Latencia máxima durante la comprobación de conectividad en milisegundos. (Solo se muestra si el estado de la comprobación es accesible).
ProbesSent Número de sondeos enviados durante la comprobación. El valor máximo es 100.
ProbesFailed Número de sondeos con error durante la comprobación. El valor máximo es 100.
Hops Ruta salto por salto desde el origen al destino.
Hops[].Type Tipo de recurso. Los valores posibles son Origen, VirtualAppliance, VnetLocal e Internet.
Hops[].Id Identificador único del salto.
Hops[].Address Dirección IP del salto.
Hops[].ResourceId Id. de recurso del salto si el salto es un recurso de Azure. Si se trata de un recurso de Internet, ResourceID es Internet.
Hops[].NextHopIds Identificador único del siguiente salto.
Hops[].Issues Una recopilación de los problemas encontrados durante la comprobación del salto. Si no hubiera ningún problema, el valor está en blanco.
Hops[].Issues[].Origin Salto actual donde se produjo el problema. Los valores posibles son:
Entrante: el problema se encuentra en el vínculo entre el salto anterior y el salto actual.
Saliente: el problema se encuentra en el vinculo entre el salto actual y el próximo salto.
Local: El problema se encuentra en el salto actual.
Hops[].Issues[].Severity La gravedad del problema detectado. Los valores posibles son Error y Advertencia.
Hops[].Issues[].Type Tipo del problema detectado. Los valores posibles son:
CPU
Memoria
GuestFirewall
DNSResolution
NetworkSecurityRule
UserDefinedRoute
Hops[].Issues[].Context Detalles relacionados con el problema detectado.
Hops[].Issues[].Context[].key Clave del par clave-valor devuelta.
Hops[].Issues[].Context[].value Valor del par clave-valor devuelto.
NextHopAnalysis.NextHopType Tipo del próximo salto. Los valores posibles son:
HyperNetGateway
Internet
Ninguno
VirtualAppliance
VirtualNetworkGateway
VnetLocal
NextHopAnalysis.NextHopIpAddress Dirección IP del próximo salto.
Identificador de recurso de la tabla de rutas asociada a la ruta que se va a devolver. Si la ruta devuelta no se corresponde a ninguna ruta creada por el usuario, este campo será la cadena Ruta del sistema.
SourceSecurityRuleAnalysis.Results[].Profile Perfil de diagnóstico de configuración de red.
SourceSecurityRuleAnalysis.Results[].Profile.Source Origen del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio.
SourceSecurityRuleAnalysis.Results[].Profile.Destination Destino del tráfico. Los valores posibles son: *, Dirección IP/CIDR y Etiqueta de servicio.
SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort Puerto de destino del tráfico. Los valores posibles son: * y un único puerto en el rango (0 - 65535).
SourceSecurityRuleAnalysis.Results[].Profile.Protocol Protocolo que se va a comprobar. Los valores posibles son: *, TCP y UDP.
SourceSecurityRuleAnalysis.Results[].Profile.Direction La dirección del tráfico. Los valores posibles son: Saliente y Entrante.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult Resultado del grupo de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] Lista de resultados de diagnóstico de grupos de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo Id.de recurso de la NIC o subred a la que se aplica el grupo de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule Regla de seguridad de red coincidente.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action El tráfico de red está permitido o denegado. Los valores posibles son Permitir y Denegar.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName Nombre de la regla de seguridad de red coincidente.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId Id. del grupo de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] Lista de resultados de evaluación de reglas de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched Valor que indica si el destino coincide. Valores booleanos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched Valor que indica si coincide con el puerto de destino. Valores booleanos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name Nombre de la regla de seguridad de red.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched Valor que indica si el protocolo coincide. Valores booleanos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched Valor que indica si el origen coincide. Valores booleanos.
SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched Valor que indica si el puerto de origen coincide. Valores booleanos.
DestinationSecurityRuleAnalysis Igual que el formato SourceSecurityRuleAnalysis.
SourcePortStatus Determina si el puerto en el origen es accesible o no. Los valores posibles son:
Unknown
Accesible
Inestable
NoConnection
Tiempo de espera
DestinationPortStatus Determina si el puerto en el destino es accesible o no. Los valores posibles son:
Unknown
Accesible
Inestable
NoConnection
Tiempo de espera

En el siguiente ejemplo se muestra un problema encontrado en un salto.

"Issues": [
    {
        "Origin": "Outbound",
        "Severity": "Error",
        "Type": "NetworkSecurityRule",
        "Context": [
            {
                "key": "RuleName",
                "value": "UserRule_Port80"
            }
        ]
    }
]

Tipo de error

La solución de problemas de conexiones devuelve tipos de error sobre la conexión. En la siguiente tabla se proporciona una lista de los posibles tipos de errores devueltos.

Tipo Descripción
CPU Alta utilización de CPU.
Memoria Alta utilización de memoria.
GuestFirewall El tráfico se bloquea debido a una configuración de firewall de máquina virtual.

Un ping de TCP es un caso de uso único en el que, si no hay ninguna regla permitida, el propio firewall responde a la solicitud de ping TCP del cliente aunque el ping TCP no llegue a la dirección IP o FQDN de destino. Este evento no se registra. Si hay una regla de red que permite el acceso a la dirección IP o FQDN de destino, la solicitud de ping llega al servidor de destino y su respuesta se retransmite de nuevo al cliente. Este evento se registra en el registro de reglas de red.
DNSResolution Error en la resolución DNS para la dirección de destino.
NetworkSecurityRule Una regla de grupo de seguridad de red bloquea el tráfico (se devuelve una regla de seguridad).
UserDefinedRoute El tráfico se interrumpe debido a una ruta del sistema o definida por el usuario.

Paso siguiente

Para obtener información sobre cómo usar la solución de problemas de conexión para probar y solucionar problemas de conexiones, continúe con lo siguiente: