通过

诊断虚拟机网络路由问题 - Azure CLI

  • 项目

本文首先部署虚拟机 (VM),然后检查其与 IP 地址和 URL 的通信。 确定通信失败的原因以及解决方法。

如果没有 Azure 试用版订阅,请在开始前创建 Azure 试用版订阅

先决条件

  • 如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI

    • 如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录

    • 出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展

    • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade

  • 本文需要 Azure CLI 版本 2.0 或更高版本。

  • 本文中的 Azure CLI 命令已格式化,适合在 Bash Shell 中运行。

    注意

    在可以在由世纪互联运营的 Microsoft Azure 中使用 Azure CLI 之前,请先运行 az cloud set -n AzureChinaCloud 来更改云环境。 若要切换回 Azure 公有云,请再次运行 az cloud set -n AzureCloud

创建 VM

在创建 VM 之前,必须创建该 VM 所属的资源组。 使用 az group create 创建资源组。 以下示例在“chinaeast”位置创建名为“myResourceGroup”的资源组:

az group create --name myResourceGroup --location chinaeast

使用 az vm create 创建 VM。 如果默认密钥位置中尚不存在 SSH 密钥,该命令会创建它们。 若要使用特定的一组密钥,请使用 --ssh-key-value 选项。 以下示例创建名为 myVm 的 VM :

az vm create \
  --resource-group myResourceGroup \
  --name myVm \
  --image Ubuntu2204 \
  --generate-ssh-keys

创建 VM 需要几分钟时间。 在创建好 VM 且 Azure CLI 返回输出之前,请勿继续执行剩余的步骤。

测试网络通信

若要通过网络观察程序测试网络通信,必须先在要测试的 VM 所在区域中启用网络观察程序,然后使用网络观察程序的“下一个跃点”功能来测试通信。

启用网络观察程序

如果已在“中国东部”区域启用网络观察程序,请跳到使用下一跃点。 使用 az network watcher configure 命令在“中国东部”区域中创建网络观察程序:

az network watcher configure \
  --resource-group NetworkWatcherRG \
  --locations chinaeast \
  --enabled

使用下一个跃点

Azure 自动创建到默认目标的路由。 可以创建自定义路由来覆盖默认路由。 有时,自定义路由可能会导致通信故障。 要测试来自 VM 的路由,请使用 az network watcher show-next-hop 确定流量发送到特定地址时的下一个路由跃点。

测试从 VM 发往 www.bing.com 的某个 IP 地址的出站通信:

az network watcher show-next-hop \
  --dest-ip 13.107.21.200 \
  --resource-group myResourceGroup \
  --source-ip 10.0.0.4 \
  --vm myVm \
  --nic myVmVMNic \
  --out table

数秒钟后,输出结果指示 nextHopType 为“Internet”,routeTableId 为“系统路由” 。 此结果指示存在通往目标的有效路由。

测试从 VM 发往 172.31.0.100 的出站通信:

az network watcher show-next-hop \
  --dest-ip 172.31.0.100 \
  --resource-group myResourceGroup \
  --source-ip 10.0.0.4 \
  --vm myVm \
  --nic myVmVMNic \
  --out table

输出结果指示“nextHopType”为“无”,“routeTableId”仍为“系统路由” 。 此结果指示,虽然存在有效的通往目标的系统路由,但是没有将流量路由到目标的下一跃点。

查看路由详细信息

若要进一步分析路由情况,请使用 az network nic show-effective-route-table 命令查看网络接口的有效路由:

az network nic show-effective-route-table \
  --resource-group myResourceGroup \
  --name myVmVMNic

返回的输出中包含以下文本:

{
  "additionalProperties": {
    "disableBgpRoutePropagation": false
  },
  "addressPrefix": [
    "0.0.0.0/0"
  ],
  "name": null,
  "nextHopIpAddress": [],
  "nextHopType": "Internet",
  "source": "Default",
  "state": "Active"
},

使用 az network watcher show-next-hop 命令测试在使用下一跃点中发送到的 13.107.21.200 的出站通信时,地址前缀为 0.0.0.0/0** 的路由用于将流量路由到该地址,因为该输出中没有其他路由包含该地址 。 默认情况下,未在另一路由的地址前缀中指定的所有地址都会路由到 Internet。

但是,使用 az network watcher show-next-hop 命令测试发送到 172.31.0.100 的出站通信时,结果显示没有下一跃点类型。 返回的输出中包含以下文本:

{
  "additionalProperties": {
    "disableBgpRoutePropagation": false
      },
  "addressPrefix": [
    "172.16.0.0/12"
  ],
  "name": null,
  "nextHopIpAddress": [],
  "nextHopType": "None",
  "source": "Default",
  "state": "Active"
},

az network watcher nic show-effective-route-table 命令的输出结果中可以看到,虽然有一个到 172.16.0.0/12 前缀的默认路由(其中包括地址 172.31.0.100),但“nextHopType”为“无” 。 Azure 会创建到 172.16.0.0/12 的默认路由,但不会无故指定下一个跃点类型。 在特定情况下,例如在已将 172.16.0.0/12 地址范围添加到虚拟网络的地址空间的情况下,Azure 会将路由的“nextHopType”更改为“虚拟网络”。 此时进行检查会将“nextHopType”显示为“虚拟网络” 。

清理资源

如果不再需要资源组及其包含的所有资源,可以使用 az group delete 将其删除:

az group delete --name myResourceGroup --yes

后续步骤

本文介绍了如何创建 VM 并根据该 VM 诊断网络路由问题。 同时说明了 Azure 可以创建多个默认路由,并且还测试了到两个不同目标的路由。 详细了解 Azure 中的路由,以及如何创建自定义路由

对于出站 VM 连接,还可以使用网络观察程序的连接故障排除功能来确定延迟、VM 和终结点之间获得允许的和被拒绝的网络流量。 可以使用网络观察程序的连接监视器功能监视 VM 和终结点(例如 IP 地址或 URL)之间在某段时间的通信情况。 有关详细信息,请参阅监视网络连接