Sådan fungerer Azure Network Watcher

  • 5 minutter

Network Watcher bliver automatisk tilgængelig, når du opretter et virtuelt netværk i et Azure-område i dit abonnement. Du kan få adgang til Network Watcher direkte på Azure Portal ved at skrive Network Watcher-Search bar.

Skærmbillede, der viser, hvordan du søger efter Network Watcher på Azure Portal.

Netværkstopologiværktøj

Topologifunktionen i Azure Network Watcher giver dig mulighed for at få vist alle følgende ressourcer i et virtuelt netværk. Herunder de ressourcer, der er knyttet til ressourcer i et virtuelt netværk, og relationerne mellem ressourcerne.

  • Undernet
  • Netværksgrænseflader
  • Netværkssikkerhedsgrupper
  • Justering af belastning
  • Tilstandstest for belastningsjustering
  • Offentlige IP-adresser
  • Virtuel netværks-peering
  • Gateways til virtuelle netværk
  • VPN-gatewayforbindelser
  • Virtuelle maskiner
  • Virtual Machine Scale Sets

Alle ressourcer, der returneres i en topologi, har følgende egenskaber:

  • Navn: Navnet på ressourcen.
  • Id: Ressourcens URI.
  • Placering: Det Azure-område, som ressourcen befinder sig i.
  • tilknytninger: En liste over tilknytninger til det objekt, der refereres til. Hver tilknytning har følgende egenskaber:
    • AssociationType: Refererer til relationen mellem det underordnede objekt og det overordnede objekt. Gyldige værdier er Contains og Associated.
    • Navn: Navnet på den ressource, der refereres til.
    • ResourceId: URI'en for den ressource, der refereres til i tilknytningen.

Værktøjet Forbindelsesovervågning

Connection Monitor giver samlet overvågning af forbindelser fra ende til anden i Azure Network Watcher. Connection Monitor understøtter både hybridinstallationer og Azure-cloudinstallationer. Du kan bruge værktøjet Forbindelsesovervågning til at måle ventetiden mellem ressourcer. Forbindelsesovervågning kan registrere ændringer, der påvirker forbindelsen, f.eks. ændringer af netværkskonfiguration eller ændringer af NSG-regler. Du kan konfigurere Forbindelsesovervågning til at undersøge VM'er med jævne mellemrum for at søge efter fejl eller ændringer. Forbindelsesovervågning kan diagnosticere problemer og give forklaringer på, hvorfor problemet opstod, og de trin, du kan udføre for at løse et problem.

diagram, der viser, hvordan Connection Monitor interagerer med Azure Virtual Machines, ikke-Azure-værter, slutpunkter og datalagerplaceringer.

Hvis du vil bruge Forbindelsesovervågning til overvågning, skal du installere overvågningsagenter på de værter, du overvåger. Connection Monitor bruger lette eksekverbare filer til at køre forbindelseskontrol, uanset om en vært er placeret i et virtuelt Azure-netværk eller på et lokalt netværk. Med Azure VM'er kan du installere VM'en Network Watcher Agent, også kaldet Network Watcher-udvidelsen. På computere i det lokale miljø kan du aktivere denne funktionalitet ved at installere Log Analytics-agenten.

Bekræft IP-flow

Kontrolværktøjet til IP-flowet bruger en 5-tuple-pakkeparameterbaseret kontrolmekanisme til at registrere, om pakker, der er indgående eller udgående, er tilladt eller nægtet fra en VM. I værktøjet kan du angive en lokal port og en ekstern port, protokollen (TCP eller UDP), den lokale IP, fjern-IP'en, VM'en og VM'ens netværkskort.

Næste hop

Trafik fra en IaaS VM sendes til en destination baseret på de effektive ruter, der er knyttet til en netværksgrænseflade (NIC). Næste hop henter den næste hoptype og IP-adresse for en pakke fra en bestemt VM og et bestemt NIC. Hvis du kender det næste hop, kan du afgøre, om trafikken dirigeres til den ønskede destination, eller om trafikken ikke sendes nogen steder. En forkert konfiguration af ruter, hvor trafikken dirigeres til en placering i det lokale miljø eller til et virtuelt apparat, kan medføre forbindelsesproblemer. Næste hop returnerer også den rutetabel, der er knyttet til det næste hop. Hvis ruten er defineret som en brugerdefineret rute, returneres denne rute. Ellers returnerer næste hop System Route.

Effektive sikkerhedsregler

NSG-filterpakker (Network Security Groups) er baseret på deres kilde- og destinations-IP-adresse og portnumre. Mere end én NSG kan gælde for en IaaS-ressource på et virtuelt Azure-netværk. Ved at tage højde for alle regler, der anvendes på tværs af alle NSGs for en ressource, giver værktøjet Effektive sikkerhedsregler dig mulighed for at bestemme, hvorfor noget trafik kan blive nægtet eller tilladt.

Pakkehentning

Pakkehentning er en udvidelse af en virtuel maskine, der startes eksternt via Network Watcher. Denne funktion letter byrden ved at køre en pakkehentning manuelt på en bestemt virtuel maskine ved hjælp af operativsystemværktøjer eller tredjepartsværktøjer. Pakkehentning kan udløses via portalen, PowerShell, Azure CLI eller REST API. Med Network Watcher kan du konfigurere filtre for hentningssessionen for at sikre, at du registrerer trafik, du vil overvåge. Filtre er baseret på oplysninger om 5-tuple (protokol, lokal IP-adresse, ekstern IP-adresse, lokal port og fjernport). De hentede data gemmes på den lokale disk eller i en lagerblob.

Fejlfinding af forbindelse

Værktøjet til fejlfinding af forbindelse kontrollerer TCP-forbindelsen mellem en kilde og en destinations-VM. Du kan angive destinations-VM'en ved hjælp af et FQDN, en URI eller en IP-adresse. Hvis forbindelsen lykkes, vises oplysninger om kommunikationen, herunder:

  • Ventetiden i millisekunder.
  • Antallet af sendte sondepakker.
  • Antallet af hop i hele ruten til destinationen.

Hvis forbindelsen mislykkes, viser værktøjet oplysninger om fejlen. Du kan muligvis se følgende fejltyper:

  • CPU-: Forbindelsen mislykkedes på grund af en høj CPU-udnyttelse.
  • Hukommelse: Forbindelsen mislykkedes på grund af høj hukommelsesudnyttelse.
  • GuestFirewall: En firewall uden for Azure blokerede forbindelsen.
  • DNSResolution: Destinations-IP-adressen blev ikke fundet.
  • NetworkSecurityRule: En NSG blokerede forbindelsen.
  • UserDefinedRoute: Der er en forkert brugerrute i en routingtabel.

FEJLFINDING AF VPN

Network Watcher giver mulighed for at foretage fejlfinding af gateways og forbindelser. Funktionen kan kaldes via portalen, PowerShell, Azure CLI eller REST API. Når Network Watcher kaldes, diagnosticerer den tilstanden af gatewayen eller forbindelsen og returnerer derefter de relevante resultater. Anmodningen er en transaktion, der har kørt i lang tid. De foreløbige resultater, der returneres, giver et overordnet billede af ressourcens tilstand.

På følgende liste beskrives de værdier, der returneres ved at kalde VPN-fejlfindings-API'en:

  • startTime: Det tidspunkt, hvor fejlfindingen startede.
  • endTime: Det tidspunkt, hvor fejlfindingen sluttede.
  • kode: Denne værdi er UnHealthy, hvis der er en enkelt diagnosticeringsfejl.
  • resultater: En samling resultater, der returneres på forbindelsen eller den virtuelle netværksgateway.
    • id: Fejltypen.
    • oversigt: En oversigt over fejlen.
    • detaljeret: En detaljeret beskrivelse af fejlen.
    • anbefalede handlinger: En samling anbefalede handlinger, der skal udføres.
    • handlingTekst: Tekst, der beskriver, hvilken handling der skal udføres.
    • actionUri-: URI'en til dokumentation, der beskriver, hvilken handling der skal udføres.
    • actionUriText: En kort beskrivelse af handlingsteksten.