針對 Azure 私人端點連線問題進行疑難排解
本文提供逐步指引,以驗證和診斷 Azure 私人端點連線能力設定。
Azure 私人端點是一種網路介面,其可以私人且安全的方式連線至私人連結服務。 此解決方案可協助您保護 Azure 中的工作負載,方法是從虛擬網路提供 Azure 服務資源的私人連線能力。 此解決方案有效地將這些服務帶入至您的虛擬網路。
以下是可與私人端點搭配使用的連線能力案例:
來自相同區域的虛擬網路
區域對等互連的虛擬網路
全域對等互連的虛擬網路
透過 VPN 或 Azure ExpressRoute 線路的客戶內部部署
診斷連線問題
檢閱這些步驟以確定所有一般設定都如預期一般,來解決私人端點設定的連線能力問題。
瀏覽資源以檢閱私人端點設定。
a. 前往 Private Link 中心。
b. 在左窗格上,選取 [私人端點]。
c. 篩選並選取您想要診斷的私人端點。
d. 檢閱虛擬網路和 DNS 資訊。
驗證連線狀態是否為 [已核准]。
請確定 VM 可以連線至裝載私人端點的虛擬網路。
檢查是否已指派 FQDN 資訊 (複本) 和私人 IP 位址。
使用 Azure 監視器來查看資料是否正在流動。
a. 在私人端點資源上,選取 [計量]。
選取 [位元組輸入] 或 [位元組輸出]。
查看當您嘗試連線到私人端點時,資料是否正在流動。 預期延遲大約 10 分鐘。
使用來自 Azure 網路監看員的 VM 連線疑難排解。
a. 選取用戶端 VM。
b. 選取 [連線疑難排解],然後選取 [輸出連線] 索引標籤。
c. 選取 [使用網路監看員進行詳細的連線追蹤]。
d. 選取 [依 FQDN 測試]。
從私人端點資源貼上 FQDN。
提供一個連接埠。 通常,將 443 用於 Azure 儲存體或 Azure Cosmos DB,而將 1336 用於 SQL。
e. 選取 [測試],然後驗證測試結果。
測試結果中的 DNS 解析必須具有指派給私人端點的相同私人 IP 位址。
a. 如果 DNS 設定不正確,請遵循下列步驟:
如果您使用私人區域:
確定用戶端 VM 虛擬網路與私人區域相關聯。
查看私人 DNS 區域記錄是否存在。 如果不存在,則加以新增。
如果您使用自訂 DNS:
- 檢閱您的自訂 DNS 設定,並驗證 DNS 設定是否正確。 如需指引,請參閱私人端點概觀:DNS 設定。
b. 如果連線能力由於網路安全性群組 (NSG) 或使用者定義的路由而失敗:
檢閱 NSG 輸出規則,並建立適當的輸出規則以允許流量。
來源虛擬機器應該將私人端點 IP 下一個躍點的路由作為網路介面有效路由中的 InterfaceEndpoints。
a. 如果您在來源 VM 中看不到私人端點路由,請檢查是否發生下列情況:
來源 VM 與私人端點屬於相同的虛擬網路。 如果是,您就必須與支援人員聯繫。
來源 VM 與私人端點屬於直接彼此對等互連的不同虛擬網路。 如果是,您就必須與支援人員聯繫。
來源 VM 與私人端點屬於不是直接彼此對等互連的不同虛擬網路,然後檢查虛擬網路之間的 IP 連線能力。
如果連線已驗證結果,則連線問題可能與應用程式層的秘密、權杖和密碼等其他層面有關。
- 在此情況下,請檢閱與私人端點相關聯的私人連結資源設定。 如需詳細資訊,請參閱 Azure Private Link 疑難排解指南
在提出支援票證之前,最好先縮小範圍。
a. 如果來源是內部部署,且連線至 Azure 中的私人端點時發生問題,則請:
嘗試從內部部署連線到另一部虛擬機器。 檢查您是否具有從內部部署到虛擬網路的 IP 連線能力。
嘗試從虛擬網路中的虛擬機器連線至私人端點。
b. 如果來源是 Azure,且私人端點位於不同的虛擬網路中,則請:
嘗試從不同來源連線至私人端點。 透過從不同來源連線,您可以隔離任何虛擬機器特定問題。
嘗試連線至任何虛擬機器,其必須屬於該私人端點的相同虛擬網路。
如果私人端點連結至 Private Link 服務,後者又連結至負載平衡器,請檢查後端集區是否回報狀況良好。 修正負載平衡器健康情況會修正連線到私人端點時發生的問題。
您可以查看相關資源、計量和深入解析的視覺效果圖表或資源檢視,方法是前往:
Azure 監視器
網路
私人端點
資源檢視
如果您的問題仍然無法解決,且連線能力問題仍然存在,請連絡 Azure 支援小組。