本文提供了有关验证和诊断 Azure 专用终结点连接设置的分步指导。
Azure 专用终结点是一个网络接口,可以通过私密且安全的方式连接到专用链接服务。 此解决方案提供从虚拟网络到 Azure 服务资源的专用连接,帮助保护 Azure 中的工作负荷。 此解决方案可以有效地将这些服务接入虚拟网络。
下面是专用终结点可用的连接方案:
同一区域中的虚拟网络
区域对等互连的虚拟网络
全球对等互连的虚拟网络
基于 VPN 或 Azure ExpressRoute 线路的客户本地连接
诊断连接问题
查看下面的步骤,确保所有一般配置都符合预期,以解决专用终结点的连接问题。
通过浏览资源来查看专用终结点配置。
b. 在左侧窗格中,选择“专用终结点”。
c. 筛选并选择要诊断的专用终结点。
d. 查看虚拟网络和 DNS 信息。
验证连接状态是否为“已批准”。
确保 VM 已连接到托管专用终结点的虚拟网络。
检查是否分配了 FQDN 信息(复制)和专用 IP 地址。
使用 Azure Monitor 查看是否有数据在流动。
a. 在“专用终结点”资源中,选择“指标”。
选择 Bytes In 或 Bytes Out。
查看在尝试连接到专用终结点时是否有数据在流动。 预计延迟大约为 10 分钟。
使用 Azure 网络观察程序中的“VM 连接故障排除”。
a. 选择客户端 VM。
b. 选择“连接故障排除”,然后选择“出站连接”选项卡。
c. 选择“使用网络观察程序进行详细的连接跟踪”。
d. 选择“按 FQDN 进行测试”。
从专用终结点资源中粘贴FQDN。
提供一个端口。 通常,对于 Azure 存储或 Azure Cosmos DB,请使用 443;对于 SQL,请使用 1336。
e. 选择“测试”,验证测试结果。
测试结果中的 DNS 解析必须包含分配给专用终结点的同一专用 IP 地址。
a. 如果 DNS 设置不正确,请执行以下步骤:
如果使用专用区域:
确保客户端 VM 虚拟网络与专用区域相关联。
检查是否存在专用 DNS 区域记录。 如果不存在,请创建它。
如果使用自定义 DNS:
- 检查你的自定义 DNS 设置,并验证 DNS 配置是否正确。 有关指南,请参阅专用终结点概述:DNS 配置。
b. 如果连接由于网络安全组 (NSG) 或用户定义的路由而失败:
- 检查 NSG 出站规则,并创建相应的出站规则来允许流量。
源虚拟机应将到专用终结点 IP 下一跃点的路由作为网络接口的有效路由中的 InterfaceEndpoints。
a. 如果在源 VM 中找不到专用终结点路径,请检查是否
源 VM 和专用终结点属于同一个虚拟网络。 如果是,则需联系支持部门。
源 VM 和专用终结点是否属于直接彼此对等互连的不同虚拟网络。 如果是,则需联系支持部门。
源 VM 和专用终结点是否属于不直接彼此对等互连的不同虚拟网络,然后检查虚拟网络之间是否有 IP 连接。
如果连接的验证结果符合预期,则连接问题可能与应用层的其他方面(例如机密、令牌和密码)相关。
- 在这种情况下,请检查与专用终结点关联的专用链接资源的配置。 有关详细信息,请参阅 Azure 专用链接故障排除指南
在提交支持票证之前,最好是先缩小问题范围。
a. 如果源是从本地连接到 Azure 中存在问题的专用终结点,请执行以下操作:
尝试从本地连接到另一台虚拟机。 检查是否具有从本地到虚拟网络的 IP 连接。
尝试从虚拟网络中的虚拟机连接到专用终结点。
b. 如果源为 Azure 且专用终结点位于不同的虚拟网络中,则:
尝试从其他源连接到专用终结点。 通过从其他源进行连接,可以隔离任何特定于虚拟机的问题。
尝试连接到与专用终结点属于同一虚拟网络的任何虚拟机。
如果专用终结点链接到已链接到负载均衡器的专用链接服务,请检查后端池是否报告正常。 修复负载均衡器运行状况将修复连接到专用终结点时出现的问题。
您可以导航至以下位置查看相关资源、指标和见解的可视化关系图或资源视图:
Azure Monitor
网络
专用终结点
资源视图
如果问题仍未解决,并且连接问题仍然存在,请联系 Azure 支持团队。