Condividi tramite

Risoluzione dei problemi dello stato della sonda di integrità del bilanciamento del carico di Azure

Sommario

Questo articolo aiuta a risolvere i problemi di stato del probe di integrità di Azure Load Balancer in modo che i back-end delle macchine virtuali possano rispondere correttamente e rimanere nella rotazione del bilanciamento del carico.

Sintomo: le macchine virtuali dietro il Load Balancer non rispondono ai probe di integrità

Affinché i server back-end partecipino al set di bilanciamento del carico, devono superare il controllo del probe. Per ulteriori informazioni sulle sonde di integrità, vedere Comprendere le sonde del bilanciatore di carico.

Le macchine virtuali del pool back-end Load Balancer potrebbero non rispondere ai probe a causa di uno dei motivi seguenti:

  • Il back-end del pool di macchine virtuali del Load Balancer non è sano
  • La VM del pool back-end del Load Balancer non è in ascolto sulla porta di probe.
  • Il firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end Load Balancer
  • Altre configurazioni errate in Load Balancer

Causa 1: La macchina virtuale nel pool back-end del Load Balancer è non sana

Convalida e risoluzione

Per risolvere questo problema, accedere alle macchine virtuali partecipanti e verificare se lo stato della macchina virtuale è integro e può rispondere a PsPing o TCPing da un'altra macchina virtuale nel pool. Se la macchina virtuale non è integra o non è in grado di rispondere al probe, è necessario correggere il problema e ripristinare lo stato integro della macchina virtuale prima di poter partecipare al bilanciamento del carico.

Causa 2: La macchina virtuale nel pool back-end del Load Balancer non è in ascolto sulla porta della sonda

Se la macchina virtuale è integra, ma non risponde alla sonda, è possibile che la macchina virtuale partecipante non abbia aperto la porta della sonda o che non sia in ascolto su tale porta.

Convalida e risoluzione

  1. Accedi alla macchina virtuale di back-end.
  2. Aprire un prompt dei comandi ed eseguire il comando seguente per convalidare che sia presente un'applicazione in ascolto sulla porta probe: netstat -an
  3. Se lo stato della porta non è elencato come LISTENING, configurare la porta corretta.
  4. In alternativa, selezionare un'altra porta elencata come LISTENING e aggiornare la configurazione del servizio di bilanciamento del carico di conseguenza.

Causa 3: Firewall o un gruppo di sicurezza di rete blocca la porta nelle macchine virtuali del pool back-end del servizio di bilanciamento del carico

Se il firewall della VM blocca la porta probe, oppure se uno o più gruppi di sicurezza di rete configurati sulla subnet o sulla VM non consentono al probe di raggiungere la porta, la VM non è in grado di rispondere al probe di integrità.

Convalida e risoluzione

  1. Se il firewall è abilitato, verificare se è configurato per permettere la porta del probe. In caso contrario, configurare il firewall per consentire il traffico sulla porta di sondaggio e riprovare.
  • Verificare che il firewall della macchina virtuale non blocchi il traffico probe proveniente dall'indirizzo IP 168.63.129.16
  • È possibile controllare le porte di ascolto eseguendo netstat -a da un prompt dei comandi di Windows o netstat -l da un terminale Linux
  • È possibile eseguire query sui profili firewall per verificare se i criteri bloccano il traffico in ingresso eseguendo netsh advfirewall show allprofiles | more da un prompt dei comandi di Windows o sudo iptables -L da un terminale Linux per visualizzare tutte le regole del firewall configurate.
  • Per ulteriori dettagli sulla risoluzione dei problemi del firewall per le macchine virtuali di Azure, vedere Il firewall del sistema operativo guest della VM Azure blocca il traffico in ingresso.
  1. Dall'elenco dei gruppi di sicurezza di rete verificare se il traffico in ingresso o in uscita sulla porta probe presenta interferenze.
  2. Controllare inoltre se una regola Deny All dei gruppi di sicurezza di rete sul NIC della macchina virtuale o sulla subnet ha priorità superiore alla regola predefinita che consente sonde LB e traffico (i gruppi di sicurezza di rete devono consentire l'IP del Load Balancer 168.63.129.16).
  3. Se una di queste regole blocca il traffico di sonda, rimuovere e riconfigurare le regole per permettere il traffico di sonda.
  4. Verificare se la macchina virtuale ha iniziato a rispondere ai controlli di integrità.

Causa 4: Altre configurazioni errate in Load Balancer

Se tutte le cause precedenti sembrano essere convalidate e risolte correttamente e la macchina virtuale back-end non risponde ancora alla sonda di integrità, eseguire un test manuale della connettività e raccogliere alcune tracce per analizzare la connettività.

Convalida e risoluzione

  1. Usare Psping da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta alla porta probe (ad esempio: .\psping.exe -t 10.0.0.4:3389) e registrare i risultati.
  2. Usare TCPing da una delle altre macchine virtuali all'interno della rete virtuale per testare la risposta della porta probe (ad esempio: .\tcping.exe 10.0.0.4 3389) e registrare i risultati.
  3. Se non viene ricevuta alcuna risposta in questi test ping,
    • Eseguire una traccia Netsh simultanea sulla VM di destinazione del pool back-end e un'altra macchina virtuale di test nella stessa rete virtuale. A questo punto, eseguire un test PsPing per qualche tempo, raccogliere alcune tracce di rete e quindi arrestare il test.
    • Analizzare l'acquisizione di rete e verificare se sono presenti pacchetti sia in ingresso che in uscita correlati alla query ping.
      • Se non vengono osservati pacchetti in ingresso nella macchina virtuale del pool back-end, è possibile che vi sia una configurazione errata nei gruppi di sicurezza di rete o nelle route definite dall'utente (UDR) che potrebbe bloccare il traffico.
      • Se non vengono osservati pacchetti in uscita nella macchina virtuale del pool back-end, è necessario verificare la presenza di eventuali problemi non correlati, ad esempio l'applicazione che blocca la porta probe.
    • Verificare se i pacchetti probe vengono forzati in un'altra destinazione (possibilmente tramite le impostazioni UDR) prima di raggiungere il bilanciatore del carico. Ciò può causare che il traffico non raggiunga mai la macchina virtuale back-end.
  4. Modificare il tipo di sonda (ad esempio, da HTTP a TCP) e configurare la porta corrispondente nei gruppi di sicurezza di rete e nei firewall delle ACL per verificare se il problema riguarda la configurazione di risposta della sonda. Per ulteriori informazioni sulla configurazione della sonda di controllo dell'integrità, vedere Configurazione della sonda di controllo dell'integrità per il bilanciamento del carico degli endpoint.
  • Last updated on