Résoudre les problèmes de connectivité d’Azure Private Endpoint

Cet article fournit des instructions pas à pas pour valider et diagnostiquer votre configuration de connectivité de point de terminaison privé Azure.

Azure Private Endpoint est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service de liaisons privées. Cette solution vous aide à sécuriser vos charges de travail dans Azure en fournissant une connectivité privée à vos ressources de service Azure à partir de votre réseau virtuel, ce qui revient à placer ces services sur votre réseau virtuel.

Voici les scénarios de connectivité disponibles avec les points de terminaison privés :

  • Réseau virtuel de la même région

  • réseaux virtuels avec peering régional ;

  • réseaux virtuels avec peering mondial ;

  • Circuits Azure ExpressRoute ou client local via VPN

Diagnostiquer les problèmes de connectivité

Passez en revue ces étapes pour vous assurer que toutes les configurations habituelles sont telles que prévu, afin de résoudre les problèmes de connectivité liés à votre configuration de point de terminaison privé.

  1. Passez en revue la configuration du point de terminaison privé en parcourant la ressource.

    a. Accédez au Centre Private Link.

    Capture d’écran du Centre Private Link.

    b. Dans le volet gauche, sélectionnez Points de terminaison privés.

    Capture d’écran des points de terminaison privés.

    c. Filtrez et sélectionnez le point de terminaison privé que vous souhaitez diagnostiquer.

    d. Passez en revue les informations relatives au réseau virtuel et au système DNS.

    • Vérifiez que l’état de la connexion indique Approuvée.

    • Vérifiez que la machine virtuelle dispose d’une connectivité au réseau virtuel qui héberge les points de terminaison privés.

    • Vérifiez que les informations de nom de domaine complet (copie) et d’adresse IP privée sont affectées.

      Capture d’écran de la configuration du DNS et du réseau virtuel.

  2. Utilisez Azure Monitor pour vérifier que les données sont transmises.

    a. Sur la ressource de point de terminaison privé, sélectionnez Métriques.

    • Sélectionnez Octets entrants ou Octets sortants.

    • Vérifiez que les données sont transmises lors de la tentative de connexion au point de terminaison privé. Prévoyez un retard d’environ 10 minutes.

    Capture d’écran de la vérification du moniteur de point de terminaison privé.

  3. Utilisez la résolution des problèmes de connexion de machine virtuelle à partir d’Azure Network Watcher.

    a. Sélectionnez la machine virtuelle cliente.

    b. Sélectionnez Résoudre les problèmes de connexion, puis l’onglet Connexions sortantes.

    Capture d’écran de Network Watcher : tester des connexions sortantes.

    c. Sélectionnez Utiliser Network Watcher pour le suivi détaillé des connexions.

    Capture d’écran de Network Watcher : résolution des problèmes de connexion.

    d. Sélectionnez Tester par nom de domaine complet.

    • Collez le nom de domaine complet à partir de la ressource Private Endpoint.

    • Spécifiez un port. En général, utilisez 443 pour Azure Storage ou Azure Cosmos DB, et 1336 pour SQL.

    e. Sélectionnez Test et validez les résultats des tests.

    Capture d’écran de Network Watcher : résultats de test.

  4. La résolution DNS des résultats des tests doit avoir la même adresse IP privée assignée au point de terminaison privé.

    a. Si les paramètres DNS sont incorrects, procédez comme suit :

    • Si vous utilisez une zone privée :

      • Vérifiez que le réseau virtuel de machine virtuelle client est associé à la zone privée.

      • Vérifiez que l'enregistrement de la zone DNS privée existe. Si ce n’est pas le cas, créez-le.

    • Si vous utilisez un DNS personnalisé :

    b. Si la connectivité est défaillante en raison de groupes de sécurité du réseau (NSG) ou d’itinéraires définis par l'utilisateur :

    • Passez en revue les règles de trafic sortant du groupe de sécurité réseau et créez des règles de trafic sortant appropriées pour autoriser le trafic.

      Capture d’écran des règles de trafic sortant du groupe de sécurité réseau.

  5. L’itinéraire du tronçon suivant de l’adresse IP du point de terminaison privé de la machine virtuelle source doit être InterfaceEndpoints dans les itinéraires effectifs de l’interface réseau.

    a. Si vous ne voyez pas l’itinéraire du point de terminaison privé sur la machine virtuelle source, vérifiez si

    • La machine virtuelle source et le point de terminaison privé font partie du même réseau virtuel. vous devez contacter le support.

    • La machine virtuelle source et le point de terminaison privé font partie de différents réseaux virtuels qui sont directement appairés les uns avec les autres. vous devez contacter le support.

    • Si la machine virtuelle source et le point de terminaison privé font partie de différents réseaux virtuels qui ne sont directement appairés les uns avec les autres, vérifiez la connectivité IP entre les réseaux virtuels.

  6. Si la connexion a des résultats validés, le problème de connectivité est peut-être lié à d’autres aspects tels que les secrets, les jetons et les mots de passe au niveau de la couche application.

  7. Il est toujours judicieux d’affiner le problème avant de déclencher le ticket de support.

    a. En cas de problème de connexion de la source locale à un point de terminaison privé dans Azure, effectuez ce qui suit :

    • Essayez de vous connecter à une autre machine virtuelle locale. Vérifiez que vous disposez localement d’une connectivité IP au réseau virtuel.

    • Essayez de vous connecter à partir d’une machine virtuelle du réseau virtuel au point de terminaison privé.

    b. Si la source est Azure et que le point de terminaison privé se trouve dans un autre réseau virtuel, effectuez ce qui suit :

    • Essayez de vous connecter au point de terminaison privé à partir d’une autre source. En vous connectant à partir d’une autre source, vous pouvez isoler tous les problèmes spécifiques à une machine virtuelle.

    • Essayez de vous connecter à n’importe quelle machine virtuelle faisant partie du même réseau virtuel que le point de terminaison privé.

  8. Si le point de terminaison privé est lié à un Service Private Link qui est lié à un équilibreur de charge, vérifiez si le pool backend est signalé comme sain. La correction de l’état de santé de l’équilibreur de charge résout le problème de la connexion au point de terminaison privé.

    • Vous pouvez voir un diagramme visuel ou un affichage des ressources des ressources, métriques et insights associés en accédant à :

      • Azure Monitor

      • Réseaux

      • Instances Private Endpoint

      • Affichage des ressources

Si votre problème n’est toujours pas résolu et que les difficultés de connectivité persistent, contactez l’équipe Support Azure.

Étapes suivantes