仮想ネットワーク内の Azure Data Explorer クラスターのアクセス、インジェスト、操作に関するトラブルシューティング

  • [アーティクル]

警告

仮想ネットワーク インジェクションは、Azure Data Explorer に関して 2025 年 2 月 1 日までに廃止されます。 廃止の詳細については、「Azure Data Explorer の仮想ネットワーク インジェクションの廃止」を参照してください。

このセクションでは、Virtual Network にデプロイされているクラスターの接続、操作、およびクラスター作成に関する問題をトラブルシューティングする方法を学習します。

アクセスの問題

パブリック (cluster.region.kusto.windows.net) またはプライベート (private-cluster.region.kusto.windows.net) エンドポイントを使用してクラスターにアクセスしているときに問題が発生し、それが仮想ネットワークの設定に関するものと思われる場合は、次の手順を行って、その問題をトラブルシューティングします。

TCP 接続を確認する

最初の手順には、Windows または Linux OS を使用した TCP 接続の確認が含まれます。

  1. クラスターに接続しているマシンに、TCping をダウンロードします。

  2. 次のコマンドを使用して、ソース マシンからターゲットに ping を実行します。

    C:\> tcping -t yourcluster.kusto.windows.net 443
** Pinging continuously.  Press control-c to stop **
Probing 1.2.3.4:443/tcp - Port is open - time=100.00ms

テストが成功しなかった場合は、次の手順に進みます。 テストが成功した場合、問題は TCP 接続の問題によるものではありません。 操作の問題に関する説明に移動し、さらにトラブルシューティングを行います。

ネットワーク セキュリティ グループ (NSG) のルールを確認する

クラスターのサブネットに接続されている NSG に、ポート 443 のクライアント マシンの IP からのアクセスを許可する受信規則があることを確認します。

アクセスの問題を防ぐようにルート テーブルが構成されていることを確認する

インターネットへのすべてのトラフィックを強制的にトンネリングしてファイアウォールに戻すようにクラスターのサブネットが構成されている場合 (既定のルート '0.0.0.0/0' を含むルート テーブルを持つサブネット)、マシンの IP アドレスに、次ホップの種類が VirtualNetwork または Internet になっているルートがあることを確認します。 このルートは、非対称ルートの問題を防ぐために必要です。

インジェストの問題

インジェストの問題が発生しており、それが仮想ネットワークの設定に関するものと思われる場合は、次の手順を行います。

インジェストの正常性を確認する

クラスター インジェスト メトリック が正常な状態であることを確認します。

データ ソース リソースのセキュリティ規則を確認する

データソースから処理されたイベントがないことがメトリックに示されている場合 (イベント/ IoT ハブの場合、処理済みイベントのメトリック) には、データソース リソース (イベント ハブまたはストレージ) が、ファイアウォールのルールに基づくクラスター サブネットやサービス エンドポイントからのアクセスを許可していることを確認します。

クラスターのサブネットに構成されているセキュリティ規則を確認する

クラスターのサブネットに NSG、UDR、およびファイアウォール規則が正しく構成されていることを確認します。 さらに、すべての依存エンドポイントのネットワーク接続をテストします。

クラスターの作成と操作の問題

クラスターの作成または操作の問題が発生しており、それが仮想ネットワークのセットアップに関するものと思われる場合は、これらの手順に従って問題のトラブルシューティングを行います。

"DNS サーバー" の構成を確認する

プライベート エンドポイントを設定するには、DNS の構成が必要です。Azure プライベート DNS ゾーンの設定のみがサポートされています。 カスタム DNS サーバーのセットアップはサポートされていません。プライベート エンドポイントの一部として作成されたレコードが Azure プライベート DNS ゾーンに登録されていることを確認してください。

REST API を使用して仮想ネットワークを診断する

ARMClient は、PowerShell を使用して REST API を呼び出すために使用されます。

  1. ARMClient でサインインします

    armclient login

  2. 診断操作を呼び出します

    $subscriptionId = '<subscription id>'
$clusterName = '<name of cluster>'
$resourceGroupName = '<resource group name>'
$apiversion = '2019-11-09'

armclient post "https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Kusto/clusters/$clusterName/diagnoseVirtualNetwork?api-version=$apiversion" - verbose

  3. 応答を確認します

    HTTP/1.1 202 Accepted
...
Azure-AsyncOperation: https://management.azure.com/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09
...

  4. 操作の完了を待ちます

    armclient get https://management.azure.com/subscriptions/$subscriptionId/providers/Microsoft.Kusto/locations/{location}/operationResults/{operation-id}?api-version=2019-11-09

{
  "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
  "name": "{operation-name}",
  "status": "[Running/Failed/Completed]",
  "startTime": "{start-time}",
  "endTime": "{end-time}",
  "properties": {...}
}

    status プロパティに Completed と表示されるまで待ちます。その後、properties フィールドには次のように表示されるはずです。

    {
  "id": "/subscriptions/{subscription-id}/providers/Microsoft.Kusto/locations/{location}/operationresults/{operation-id}",
  "name": "{operation-name}",
  "status": "Completed",
  "startTime": "{start-time}",
  "endTime": "{end-time}",
  "properties": {
    "Findings": [...]
  }
}

Findings プロパティに空の結果が表示された場合は、すべてのネットワーク テストが成功し、接続が切断されていないことを意味します。 送信依存関係 ' {dependencyName}: {port} ' が満たされていません (送信) のエラーが表示された場合には、クラスターは依存サービス エンドポイントに接続できません。 その場合には、次の手順に進みます。

NSG ルールを確認する

ネットワーク セキュリティ グループ規則を構成する」の手順に従って NSG が正しく構成されていることを確認します。

インジェストの問題を防ぐようにルート テーブルが構成されていることを確認する

クラスターのサブネットが、インターネットへのすべてのトラフィックを強制的にトンネリングしてファイアウォールに戻すように構成されている場合 (既定のルート '0.0.0.0/0' を含むルート テーブルを持つサブネット) には、管理 IP アドレスおよび正常性監視 IP アドレスネクスト ホップ型 Internet のルートがあり、ソース アドレスのプレフィックス'management-ip/32' および 'health-monitoring-ip/32' になっていることを確認します。 このルートは、非対称ルートの問題を防ぐために必要です。

ファイアウォール規則を確認する

ファイアウォールにサブネットの送信トラフィックを強制的にトンネリングする場合は、「ファイアウォールを使用した送信トラフィックのセキュリティ保護」の説明に従って、すべての依存関係の FQDN (たとえば、.blob.core.windows.net) がファイアウォール構成で許可されていることを確認してください。

クラスターの一時停止に関する問題

クラスターの一時停止に失敗する場合は、サブスクリプション内のネットワーク リソースにロックがないことを確認します。