Jak Azure Network Watcher funguje

  • 5 min

Network Watcher se automaticky zpřístupní při vytváření virtuální sítě v oblasti Azure ve vašem předplatném. Ke službě Network Watcher se dostanete přímo v Azure portálu zadáním Network Watcher do vyhledávacího pole Hledání.

snímek obrazovky, který ukazuje, jak na webu Azure Portal vyhledat Službu Network Watcher

Nástroj topologie pro sledování sítě

Funkce topologie služby Azure Network Watcher umožňuje zobrazit všechny následující prostředky ve virtuální síti. Včetně prostředků přidružených k prostředkům ve virtuální síti a vztahů mezi prostředky.

  • Podsítí
  • Síťová rozhraní
  • Skupiny zabezpečení sítě
  • Nástroj pro vyrovnávání zatížení
  • Sondy stavu vyrovnávače zatížení
  • Veřejné IP adresy
  • Propojování virtuálních sítí
  • Brány virtuální sítě
  • Připojení brány VPN
  • Virtuální počítače
  • Škálovací sady virtuálních počítačů

Všechny prostředky vrácené v topologii mají následující vlastnosti:

  • Název: Název prostředku.
  • ID: URI prostředku.
  • umístění: Oblast Azure, ve které je prostředek.
  • Asociace: Seznam asociací k odkazovanému objektu. Každé přidružení má následující vlastnosti:
    • AssociationType: Odkazuje na vztah mezi objektem potomka a objektem rodiče. Platné hodnoty jsou Contains a Associated.
    • Název: Název odkazovaného prostředku.
    • ResourceId: Identifikátor URI prostředku odkazovaného v přidružení.

Nástroj Monitorování připojení

Monitorování připojení poskytuje jednotné komplexní monitorování připojení ve službě Azure Network Watcher. Monitorování připojení podporuje hybridní i cloudová nasazení Azure. Pomocí nástroje Monitorování připojení můžete měřit latenci mezi prostředky. Monitorování připojení může detekovat změny, které mají vliv na připojení, například změny konfigurace sítě nebo úpravy pravidel NSG. Monitorování připojení můžete nakonfigurovat tak, aby kontroloval virtuální počítače v pravidelných intervalech a vyhledával chyby nebo změny. Monitorování připojení může diagnostikovat problémy a poskytnout vysvětlení, proč k problému došlo, a kroky, které můžete provést k vyřešení problému.

diagram, který ukazuje, jak monitorování připojení komunikuje s virtuálními počítači Azure, hostiteli mimo Azure, koncovými body a umístěními úložiště dat.

Pro monitorování pomocí Connection Monitor je potřeba nainstalovat monitorovací agenty na hostitele, které sledujete. Monitorování připojení používá ke spouštění kontrol připojení odlehčené spustitelné soubory, ať už se hostitel nachází ve virtuální síti Azure nebo v místní síti. S virtuálními počítači Azure můžete nainstalovat agenta Network Watcher ve virtuálním počítači, označovaného také jako rozšíření Network Watcher. U místních počítačů můžete tuto funkci povolit instalací agenta Log Analytics.

Ověření toku protokolu IP

Nástroj pro ověření toku protokolu IP používá ověřovací mechanismus založený na pětičlenných parametrech paketů k detekci, zda jsou pakety příchozí nebo odchozí z virtuálního stroje povolené nebo zakázané. V nástroji můžete zadat místní a vzdálený port, protokol (TCP nebo UDP), místní IP adresu, vzdálenou IP adresu, virtuální počítač a síťový adaptér virtuálního počítače.

Další skok

Provoz z virtuálního počítače IaaS se odesílá do cíle na základě efektivních tras přidružených k síťovému rozhraní (NIC). Další hop získá typ a IP adresu paketu z konkrétního virtuálního počítače a NIC. Znalost dalšího kroku vám pomůže určit, jestli se provoz směruje do zamýšleného cíle, nebo jestli se neodesílá nikam. Nesprávná konfigurace tras, kdy se provoz směruje do místního umístění nebo do virtuálního zařízení, může vést k problémům s připojením. Další skok také vrátí směrovací tabulku přidruženou k dalšímu skoku. Pokud je trasa definovaná jako trasa definovaná uživatelem, vrátí se tato trasa. V opačném případě vrátí další skok System Route.

Platná pravidla zabezpečení

Skupiny zabezpečení sítě (NSG) filtrují pakety na základě jejich zdrojové a cílové IP adresy a čísel portů. Více než jedna NSG (skupina zabezpečení sítě) se může vztahovat na prostředek IaaS ve virtuální síti Azure. Když vezmete v úvahu všechna pravidla napříč všemi skupinami zabezpečení sítě pro prostředek, nástroj Efektivních pravidel zabezpečení vám umožní přesně určit, proč může být nějaký provoz odepřen nebo povolen.

Zachytávání paketů

Zachytávání paketů je rozšíření virtuálního počítače, které se vzdáleně spouští prostřednictvím služby Network Watcher. Tato funkce usnadňuje ruční spouštění zachytávání paketů na konkrétním virtuálním počítači pomocí nástrojů operačního systému nebo nástrojů třetích stran. Zachytávání paketů se dá aktivovat prostřednictvím portálu, PowerShellu, Azure CLI nebo rozhraní REST API. Network Watcher umožňuje nakonfigurovat filtry pro relaci zachytávání, abyste měli jistotu, že zachytíte provoz, který chcete monitorovat. Filtry jsou založeny na 5-tici (protokol, místní IP adresa, vzdálená IP adresa, místní port a vzdálený port). Zachycená data jsou uložená na místním disku nebo v úložišti typu blob.

Řešení potíží s připojením

Nástroj pro řešení potíží s připojením zkontroluje připojení TCP mezi zdrojem a cílovým virtuálním počítačem. Můžete určit cílový virtuální počítač pomocí FQDN, URI nebo IP adresy. Pokud je připojení úspěšné, zobrazí se informace o komunikaci, včetně:

  • Latence v milisekundách.
  • Počet odeslaných paketů sondy.
  • Počet skoků v celé trase do cíle.

Pokud připojení není úspěšné, nástroj zobrazí podrobnosti o chybě. Může se zobrazit následující typy chyb:

  • procesoru: Připojení selhalo kvůli vysokému využití procesoru.
  • paměti: Připojení selhalo kvůli vysokému zatížení paměti.
  • GuestFirewall: Připojení zablokovala brána firewall mimo Azure.
  • DNSResolution: Cílovou IP adresu nešlo přeložit.
  • NetworkSecurityRule: Připojení bylo zablokováno skupinou zabezpečení sítě (NSG).
  • userDefinedRoute: Ve směrovací tabulce je nesprávná trasa uživatele.

Řešení potíží se sítí VPN

Network Watcher poskytuje možnost řešit potíže s bránami a připojeními. Funkci můžete volat prostřednictvím portálu, PowerShellu, Azure CLI nebo rozhraní REST API. Při zavolání služba Network Watcher diagnostikuje stav brány nebo připojení a vrátí odpovídající výsledky. Tento požadavek představuje dlouhotrvající transakci. Předběžné výsledky, které byly vráceny, poskytují celkový přehled o stavu zdroje.

Následující seznam popisuje hodnoty vrácené voláním rozhraní API pro řešení potíží se sítí VPN:

  • startTime: Čas spuštění řešení potíží.
  • endTime: Čas kdy bylo ukončeno řešení potíží.
  • kód: Tato hodnota je UnHealthy, pokud dojde k selhání jedné diagnostiky.
  • výsledky: Kolekce výsledků získaných při připojení nebo bráně virtuální sítě.
    • id : Typ chyby.
    • souhrn: Přehled chyby.
    • podrobný: Podrobný popis chyby.
    • recommendedActions: Kolekce doporučených akcí, které je potřeba provést.
    • actionText: Text, který popisuje, jakou akci provést.
    • actionUri: Identifikátor URI pro dokumentaci, která popisuje, jaká akce se má provést.
    • actionUriText: Krátký popis textu akce.