Editar

Compartir a través de


Preguntas más frecuentes (P+F) sobre Network Watcher

Este artículo responde a algunas de las preguntas frecuentes sobre Azure Network Watcher.

General

¿Qué es Network Watcher?

Network Watcher proporciona un conjunto de herramientas para supervisar. diagnosticar, ver métricas y habilitar o deshabilitar registros para recursos IaaS (Infraestructura como servicio), lo que incluye máquinas virtuales, redes virtuales, puerta de enlace de aplicación, equilibradores de carga y otros recursos en una red virtual de Azure. No es una solución para supervisar la infraestructura de PaaS (plataforma como servicio) u obtener análisis web/móviles.

¿Qué herramientas proporciona Network Watcher?

Network Watcher proporciona tres conjuntos principales de funcionalidades:

  • Supervisión
    • Vista de la topología muestra los recursos de la red virtual y las relaciones entre ellos.
    • Connection Monitor le permite supervisar la conectividad y la latencia entre puntos de conexión dentro y fuera de Azure.
  • Herramientas de diagnóstico de red
    • Comprobación del flujo de IP permite detectar incidencias en el filtrado del tráfico a nivel de máquina virtual.
    • Diagnóstico de NSG le permite detectar incidencias en el filtrado de tráfico a nivel de máquina virtual, conjunto de escalado de máquinas virtuales o puerta de enlace de aplicación.
    • Próximo salto le ayuda a comprobar las rutas de tráfico y a detectar problemas de enrutamiento.
    • Solucionar problemas de conexión habilita una comprobación de conectividad y latencia que se realiza una única vez entre una máquina virtual y un host de Bastion, puerta de enlace de aplicación u otra máquina virtual.
    • Captura de paquetes le permite capturar el tráfico de su máquina virtual.
    • Solución de problemas de VPN ejecuta varias comprobaciones de diagnóstico en las puertas de enlace de VPN y las conexiones para facilitar la depuración de problemas.
  • Traffic

Para información más detallada, consulte la Información general de Network Watcher.

¿Cómo son los precios de Network Watcher?

Consulte Precios de Network Watcher para más detalles sobre el precio de los distintos componentes de Network Watcher.

¿En qué regiones está admitido y disponible Network Watcher ahora?

Consulte Regiones de Network Watcher para saber las regiones que admiten Network Watcher.

¿Qué permisos se necesitan para usar Network Watcher?

Consulte Permisos de Azure RBAC requeridos para usar Network Watcher para una lista detallada de los permisos de cada capacidad de Network Watcher.

¿Cómo puedo habilitar Network Watcher?

El servicio Network Watcher se habilita automáticamente en cada suscripción. Debe activar manualmente Network Watcher si deshabilitó la activación automática de Network Watcher. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

¿Qué es el modelo de implementación de Network Watcher?

El recurso primario de Network Watcher se implementa con una instancia única en todas las regiones. Formato de nomenclatura predeterminado: NetworkWatcher_RegionName. Ejemplo: NetworkWatcher_centralus es el recurso de Network Watcher para la región "Central US" (Centro de EE. UU.). Puede personalizar el nombre de la instancia de Network Watcher mediante PowerShell o la API de REST.

¿Por qué Azure permite una única instancia de Network Watcher por región?

Network Watcher solo necesita ser habilitado una vez por región y suscripción para que funcionen sus características. Network Watcher se habilita en una región al crear una instancia de Network Watcher en esa misma región.

¿Cómo puedo administrar el recurso Network Watcher?

El recurso Network Watcher representa el servicio back-end para Network Watcher, que está totalmente administrado por Azure. Sin embargo, puede crear o eliminar el recurso Network Watcher para habilitarlo o deshabilitarlo en una región determinada. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

¿Puedo trasladar mi instancia de Network Watcher de una región a otra?

No, no se admite el traslado del recurso Network Watcher o cualquiera de sus recursos secundarios entre regiones. Para obtener más información, vea Compatibilidad con la operación de traslado para recursos de red.

¿Puedo trasladar mi instancia de Network Watcher de un grupo de recursos a otro?

Sí, se admite el traslado de recurso de Network Watcher entre grupos de recursos. Para obtener más información, vea Compatibilidad con la operación de traslado para recursos de red.

¿Qué es NetworkWatcherRG?

NetworkWatcherRG es un grupo de recursos que se crea automáticamente para los recursos de Network Watcher. Por ejemplo, los recursos instancias regionales de Network Watcher y registro de flujo de grupo de seguridad de red se crean en el grupo de recursos NetworkWatcherRG. Puede personalizar el nombre del grupo de recursos de Network Watcher mediante PowerShell, la CLI de Azure o la API de REST.

¿Almacena Network Watcher los datos de los clientes?

Azure Network Watcher no almacena los datos de los clientes, excepto para Connection Monitor. El monitor de conexión almacena los datos de los clientes, que Network Watcher almacena automáticamente en una sola región para satisfacer los requisitos de residencia de datos en la región.

¿Cuáles son los límites de recursos en Network Watcher?

Network Watcher tiene los límites siguientes:

Recurso Límite
Instancias de Network Watcher por región por suscripción 1 (una instancia de una región para habilitar el acceso al servicio en la región)
Monitores de conexión por región por suscripción 100
Máximo de grupos de prueba por monitor de conexión 20
Máximo de orígenes y destinos por monitor de conexión 100
Máximo de configuraciones de prueba por monitor de conexión 20
Sesiones de captura de paquetes por región por suscripción 10.000 (solo número de sesiones, sin capturas guardadas)
Operaciones de solución de problemas de VPN por suscripción 1 (número de operaciones a la vez)

Disponibilidad y redundancia del servicio

¿Es resistente a las zonas Network Watcher?

Sí, el servicio Network Watcher es resistente a las zonas de manera predeterminada.

¿Cómo se configura el servicio Network Watcher para que sea resistente a las zonas?

No se necesita configurar nada para habilitar la resistencia de zonas. La resistencia de zonas para los recursos de Network Watcher está disponible de manera predeterminada y la administra el propio servicio.

Network Watcher Agent

¿Por qué es necesario instalar el agente Network Watcher?

El agente Network Watcher es necesario para cualquier función de Network Watcher que genere o intercepte tráfico desde una máquina virtual.

¿Qué características requiere el agente Network Watcher?

La características de captura de paquetes, solución de problemas de conexión y Connection Monitor requieren que la extensión Network Watcher esté presente.

¿Cuál es la última versión del agente de Network Watcher?

La versión más reciente de la extensión Network Watcher es 1.4.3422.1. Para obtener más información, consulte Actualizar la extensión Azure Network Watcher a la versión más reciente.

¿Qué puertos usa el agente de Network Watcher?

  • Linux: el agente de Network Watcher usa puertos disponibles a partir de port 50000 y posteriores hasta que alcanza port 65535.
  • Windows: el agente de Network Watcher usa los puertos con los que responde el sistema operativo cuando se consulta para los puertos disponibles.

¿Con qué direcciones IP se comunica el agente de Network Watcher?

El agente de Network Watcher requiere conectividad TCP saliente para 169.254.169.254 a través de port 80 y 168.63.129.16 a través de port 8037. El agente usa estas direcciones IP para comunicarse con la plataforma Azure.

Monitor de conexión

¿Admite Connection Monitor máquinas virtuales clásicas?

No, Connection Monitor no admite máquinas virtuales clásicas. Para más información, consulte Migración de recursos de IaaS de la implementación clásica a la de Resource Manager.

¿Qué pasa si mi topología no está decorada o falta información en mis saltos?

La topología solo se puede decorar desde fuera de Azure a Azure si el recurso de Azure de destino y el recurso de Connection Monitor están en la misma región.

¿Qué ocurre si en Connection Monitor la creación genera el siguiente error: "No se permite la creación de puntos de conexión diferentes para la misma máquina virtual"?

No se puede usar la misma máquina virtual de Azure con configuraciones diferentes en el mismo monitor de conexión. Por ejemplo, no se admite el uso de la misma VM con filtro y sin filtro en el mismo monitor de conexión.

¿Qué sucede si el motivo del error de la prueba es "No hay nada para mostrar"?

Los problemas que se muestran en el panel de Connection Monitor aparecen durante la detección de la topología o la exploración de saltos. Puede haber casos en los que el umbral establecido para el porcentaje de pérdida o RTT se incumpla, pero no se encuentre ningún problema en los saltos.

Al migrar una instancia de Connection Monitor existente (clásico) a la más reciente, ¿qué ocurre si las pruebas de punto de conexión externo se migran solo con el protocolo TCP?

No hay ninguna selección de protocolo en Connection Monitor (clásico). Las pruebas de Connection Monitor (clásico) solo usan el protocolo TCP. Por eso, durante la migración, creamos una configuración TCP en pruebas en la nueva instancia de Connection Monitor.

¿Existen limitaciones en el uso de Azure Monitor y agentes de Arc con el monitor de conexión?

Actualmente hay un límite regional cuando un punto de conexión usa agentes de Azure Monitor y Arc con el área de trabajo de Log Analytics asociada. Como resultado de esta limitación, el área de trabajo de Log Analytics asociada debe estar en la misma región que el punto de conexión de Arc. Los datos ingeridos en áreas de trabajo individuales se pueden unir para una sola vista, consulte Consulta de datos en áreas de trabajo, aplicaciones y recursos de Log Analytics en Azure Monitor.

Registros de flujos

¿Qué hace el registro de flujo?

Los registros de flujo le permiten registrar información en 5 tuplas sobre el tráfico de IP de Azure que pasa a través del grupo de seguridad de red o la red virtual de Azure. Los registros de flujo sin procesar se escriben en una cuenta de Azure Storage. Desde allí, puede procesarlos, analizarlos, consultarlos o exportarlos según necesite.

¿Los registros de flujo afectan a la latencia o el rendimiento de la red?

Los datos de los registros de flujo se recopilan fuera de la ruta del tráfico de red y, por tanto, no afectan al rendimiento o la latencia de la red. Puede crear o eliminar registros de flujo sin riesgo de que afecte al rendimiento de la red.

¿Cuál es la diferencia entre los registros de flujo de NSG y los diagnósticos de NSG?

Los registros de flujo de grupo de seguridad de red registran el tráfico que atraviesa un grupo de seguridad de red. Por otro lado, los diagnósticos de NSG devuelven todos los grupos de seguridad de red que el tráfico atraviesa y las reglas de cada grupo de seguridad de red que se aplican a este tráfico. Use diagnósticos de NSG para comprobar que las reglas del grupo de seguridad de red se aplican según lo previsto.

¿Puedo registrar el tráfico que usa los protocolos ESP y AH mediante los registros de flujo de grupo de seguridad de red?

No, los registros de flujo de grupo de seguridad de red no admiten los protocolos ESP y AH.

¿Se puede registrar el tráfico ICMP mediante los registros de flujo?

No, los registros de flujo de grupo de seguridad de red y los registros de flujo de red virtual no admiten el protocolo ICMP.

¿Puedo eliminar un grupo de seguridad de red que tenga habilitado el registro de flujo?

Sí. El recurso de registro de flujo asociado también se eliminará. Los datos del registro de flujo se conservan en la cuenta de almacenamiento durante el período de retención configurado en el registro de flujo.

¿Puedo mover un grupo de seguridad de red que tiene un registro de flujo habilitado a otro grupo de recursos o suscripción?

Sí, pero debe eliminar el recurso de registro de flujo asociado. Después de migrar el grupo de seguridad de red, puede volver a crear los registros de flujo para habilitar el registro de flujo en él.

¿Puedo usar una cuenta de almacenamiento en una suscripción diferente del grupo de seguridad de red o la red virtual para la que está habilitado el registro de flujo?

Sí, puede usar una cuenta de almacenamiento de una suscripción diferente siempre que esta suscripción esté en la misma región del grupo de seguridad de red y asociada al mismo inquilino de Microsoft Entra del grupo de seguridad de red o la suscripción de la red virtual.

¿Cómo se usan los registros de flujo de grupo de seguridad de red en una cuenta de almacenamiento con un firewall?

Para usar una cuenta de almacenamiento tras un firewall, debe crear una excepción para que los Servicios de confianza de Microsoft accedan a la cuenta de almacenamiento:

  1. Vaya a la cuenta de almacenamiento introduciendo el nombre de la cuenta de almacenamiento en el cuadro de búsqueda en la parte superior del portal.
  2. En Seguridad y redes, seleccione Redes, y después Firewalls y redes de virtuales.
  3. En Acceso de red pública seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas. Entonces, en Excepciones, marque la casilla junto a Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.
  4. Para habilitar los registros de flujo de grupo de seguridad de red, cree un registro de flujo para su grupo de seguridad de red de destino con la cuenta de almacenamiento anterior. Para obtener más información, consulte Crear un registro de flujo.

Puede comprobar los registros de almacenamiento tras unos minutos. Debería ver una marca de tiempo actualizada o un nuevo archivo JSON creado.

¿Por qué veo algunos errores 403 en los registros de actividad de la cuenta de almacenamiento?

Network Watcher tiene un mecanismo de reserva integrado que usa al conectarse a una cuenta de almacenamiento detrás de un firewall (firewall habilitado). Intenta conectarse a la cuenta de almacenamiento mediante una clave y, si se produce un error, cambia a un token. En este caso, se registra un error 403 en el registro de actividad de la cuenta de almacenamiento.

¿Puede Network Watcher enviar datos de registros de flujo de grupo de seguridad de red a una cuenta de almacenamiento habilitada con un punto de conexión privado?

Sí, Network Watcher admite el envío de datos de registros de flujo de grupo de seguridad de red a una cuenta de almacenamiento habilitada con un punto de conexión privado.

¿Cómo se usan los registros de flujo de grupo de seguridad de red en una cuenta de almacenamiento con un punto de conexión de servicio?

Los registros de flujo de grupo de seguridad de red son compatibles con los puntos de conexión de servicio sin necesidad de ninguna configuración adicional. Para más información, consulte Habilitación de un punto de conexión de servicio.

¿Cuál es la diferencia entre la versión 1 y la versión 2 de los registros de flujo?

La versión 2 de los registros de flujo introduce el concepto de estado del flujo y almacena información sobre los bytes y los paquetes transmitidos. Para más información, consulte Formato de registros de flujo de grupo de seguridad de red.

¿Puedo crear un registro de flujo para un grupo de seguridad de red que tenga un bloqueo de solo lectura?

No, un bloqueo de solo lectura en un grupo de seguridad de red impide la creación del registro de flujo de grupo de seguridad de red correspondiente.

¿Puedo crear un registro de flujo para un grupo de seguridad de red que tiene un bloqueo que no puede eliminar?

Sí, un bloqueo que impide la eliminación en el grupo de seguridad de red no impide la creación o modificación del registro de flujo de grupo de seguridad de red correspondiente.

¿Se pueden automatizar los registros de flujo de grupo de seguridad de red?

Sí, los registros de flujo de grupo de seguridad de red se pueden automatizar mediante plantillas de Azure Resource Manager (plantillas de ARM). Para más información, consulte Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM).