Solucionar problemas de status da investigação de integridade do Azure Load Balancer

Esta página fornece informações para solução de problemas comuns da investigação de integridade do Azure Load Balancer.

Sintoma: as VMs por trás do Load Balancer não estão respondendo às investigações de integridade

Para que os servidores back-end participem do conjunto de balanceadores de carga, eles devem passar na verificação de investigação. Para saber mais sobre investigações de integridade, confira Noções básicas sobre investigações do Load Balancer. 

As VMs do pool de back-end do Load Balancer podem não estar respondendo às investigações devido a algum destes motivos:

• A VM do pool de back-end do Load Balancer não está em estado íntegro
• A VM do pool de back-end do Load Balancer não está escutando na porta de investigação
• O firewall, ou o grupo de segurança de rede, está bloqueando a porta nas VMs do pool de back-end do Load Balancer
• Outras configurações incorretas no Load Balancer

Causa 1: A VM do pool de back-end do Load Balancer não está em estado íntegro

Validação e resolução

Para resolver esse problema, faça logon nas VMs participantes e verifique se a VM está em estado íntegro e pode responder a PsPing ou TCPing de outra VM no pool. Se a VM não estiver em estado íntegro ou não puder responder à investigação, você deverá retificar o problema e colocar a VM de volta em estado íntegro para que ela possa participar do balanceamento de carga.

Causa 2: a VM do pool de back-end do Load Balancer não está escutando na porta de investigação

Se a VM estiver íntegra, mas não estiver respondendo à investigação, é possível que a porta de investigação não esteja aberta na VM participante ou que a VM não esteja escutando nessa porta.

Validação e resolução

1. Entre na VM de back-end.
2. Abra um prompt de comando e execute o seguinte comando para verificar se existe um aplicativo escutando na porta de investigação: netstat -an
3. Se o estado da porta não estiver listado como LISTENING, configure a porta correta.
4. Como alternativa, selecione outra porta que esteja listada como LISTENING e atualize adequadamente a configuração do balanceador de carga.

Causa 3: O firewall, ou um grupo de segurança de rede, está bloqueando a porta nas VMs do pool de back-end do balanceador de carga

Se o firewall da VM estiver bloqueando a porta de investigação ou se um ou mais grupos de segurança de rede configurados na sub-rede ou na VM não estiverem permitindo que a investigação alcance a porta, a VM não poderá responder à investigação de integridade.

Validação e resolução

1. Se o firewall estiver habilitado, verifique se ele está configurado para permitir a porta de investigação. Caso contrário, configure o firewall para permitir o tráfego na porta de investigação e teste novamente.

• Verifique se o firewall da VM não está bloqueando o tráfego de investigação proveniente do endereço IP 168.63.129.16
• Você pode verificar portas de escuta executando netstat -a no prompt de comando do Windows ou netstat -l em um terminal Linux
• Você pode consultar seus perfis de firewall para verificar se suas políticas estão bloqueando o tráfego de entrada executando netsh advfirewall show allprofiles | more de um prompt de comandos Windows ou sudo iptables -L de um terminal Linux para ver todas as regras de firewall configuradas.
• Para mais detalhes sobre como solucionar problemas de firewall para VMs do Azure, confira O firewall do SO convidado da VM do Azure está bloqueando o tráfego de entrada.

2. Na lista de grupos de segurança de rede, verifique se o tráfego de entrada ou saída na porta de investigação tem interferência.
3. Verifique também se uma regra dos grupos de segurança de rede Negar Tudo na NIC da VM ou da sub-rede tem uma prioridade mais alta do que a regra padrão que permite investigações e tráfego do LB (grupos de segurança de rede devem permitir o IP 168.63.129.16 do Load Balancer).
4. Se qualquer uma dessas regras estiver bloqueando o tráfego de investigação, remova e reconfigure as regras para permitir o tráfego de investigação. 
5. Agora, verifique se a VM começou a responder às investigações de integridade.

Causa 4: Outras configurações incorretas no Load Balancer

Se todas as causas anteriores parecerem ter sido validadas e resolvidas corretamente e a VM de back-end ainda não responder à investigação de integridade, teste manualmente a conectividade e colete alguns rastreamentos para entender a conectividade.

Validação e resolução

1. Use Psping em uma das VMs na VNet para testar a resposta da porta de investigação (exemplo:.\psping.exe -t 10.0.0.4:3389) e registrar resultados.
2. Use TCPing em uma das VMs na VNet para testar a resposta da porta de investigação (exemplo: .\tcping.exe 10.0.0.4 3389) e registrar resultados.
3. Se nenhuma resposta for recebida nesses testes de ping
   • Execute um rastreamento Netsh simultâneo na VM do pool de back-end de destino e na outra VM de teste da mesma VNet. Agora, execute um teste PsPing por algum tempo, colete alguns rastreamentos de rede e interrompa o teste.
   • Analise a captura de rede e verifique se há pacotes de entrada e saída relacionados à consulta de ping.
     • Se não forem observados pacotes de entrada na VM do pool de back-end, possivelmente, há uma configuração incorreta de UDR ou grupos de segurança de rede bloqueando o tráfego.
     • Se não forem observados pacotes de saída na VM do pool de back-end, será preciso verificar se há problemas não relacionados na VM (por exemplo, um aplicativo bloqueando a porta de investigação).
   • Verifique se os pacotes de investigação estão sendo forçados para outro destino (possivelmente por meio de configurações UDR) antes de chegarem ao Load Balancer. Isso pode fazer com que o tráfego nunca chegue à VM de back-end.
4. Altere o tipo de investigação (por exemplo, HTTP para TCP) e configure a porta correspondente nas ACLs dos grupos de segurança de rede e no firewall a fim de verificar se o problema é com a configuração da resposta de investigação. Para saber mais sobre a configuração da investigação de integridade, confira Endpoint Load Balancing health probe configuration (Configuração da investigação de integridade no balanceamento de carga do ponto de extremidade).

Próximas etapas

Se as etapas anteriores não resolverem o problema, abra um tíquete de suporte.