Fonctionnement d’Azure Network Watcher

  • 5 minutes

Network Watcher devient automatiquement disponible lorsque vous créez un réseau virtuel dans une région Azure de votre abonnement. Vous pouvez accéder à Network Watcher directement dans le portail Azure en tapant Network Watcher dans la barre Recherche.

Screenshot that shows how to search for Network Watcher in the Azure portal.

Outil Network Watcher Topology

La capacité de topologie d’Azure Network Watcher vous permet d’afficher toutes les ressources suivantes dans un réseau virtuel, y compris les ressources associées à des ressources dans un réseau virtuel et les relations entre ces ressources.

  • Sous-réseaux
  • Interfaces réseau
  • Groupes de sécurité réseau
  • Équilibrage de charge
  • Sondes d’intégrité Load Balancer
  • Adresses IP publiques
  • Peering de réseau virtuel
  • Passerelles de réseau virtuel
  • Connexions de passerelles VPN
  • Machines virtuelles
  • Virtual Machine Scale Sets

Toutes les ressources renvoyées dans une topologie ont les propriétés suivantes :

  • Nom : le nom de la ressource.
  • id : URI de la ressource.
  • Emplacement : région Azure dans laquelle se trouve la ressource.
  • Associations : liste des associations réalisées vis-à-vis de l’objet référencé. Chaque association présente les propriétés suivantes :
    • AssociationType : fait référence à la relation entre l’objet enfant et le parent. Les valeurs valides sont Contains et Associated.
    • name : nom de la ressource référencée.
    • ResourceId : URI de la ressource référencée dans l’association.

Outil Moniteur de connexion

La fonctionnalité Moniteur de connexion permet une vérification unifiée et de bout en bout de la connectivité dans Azure Network Watcher. Le moniteur de connexion prend en charge les déploiements hybrides et cloud Azure. Vous pouvez utiliser l’outil Moniteur de connexion pour mesurer la latence entre les ressources. Le Moniteur de connexion peut détecter les modifications qui affectent la connectivité, comme les modifications de configuration du réseau ou les modifications apportées aux règles de groupe de sécurité réseau. Vous pouvez configurer le moniteur de connexion pour sonder les machines virtuelles à intervalles réguliers afin de rechercher les échecs ou les modifications. Le moniteur de connexion peut diagnostiquer des problèmes et fournir des explications sur la raison de l’incident et les étapes à suivre pour résoudre un problème.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Pour utiliser le Moniteur de connexion pour le monitoring, vous devez installer des agents de monitoring sur les hôtes que vous supervisez. Le moniteur de connexion utilise des fichiers exécutables légers pour exécuter des vérifications de connectivité, qu’un hôte se trouve dans un réseau virtuel Azure ou dans un réseau local. Avec les machines virtuelles Azure, vous installez la machine virtuelle de l’agent Network Watcher, également appelée extension Network Watcher. Pour les ordinateurs locaux, vous pouvez activer cette fonctionnalité en installant l’agent Log Analytics.

Vérification des flux IP

L’outil de vérification des flux IP utilise un mécanisme de vérification basé sur des paramètres de paquet à 5 tuples pour détecter si des paquets entrants ou sortants sont autorisés ou refusés à partir d’une machine virtuelle. Dans l’outil, vous pouvez spécifier un port local et un port distant, le protocole (TCP ou UDP), l’IP locale, l’IP distante, la machine virtuelle et la carte réseau de la machine virtuelle.

Tronçon suivant

Le trafic à partir d’une machine virtuelle IaaS est envoyé vers une destination en fonction des itinéraires effectifs associés à une interface réseau (NIC). Le tronçon suivant obtient le type de tronçon suivant et l’adresse IP d’un paquet à partir d’une machine virtuelle et d’une carte réseau spécifiques. Le fait de connaître le tronçon suivant permet de déterminer si le trafic est redirigé vers la destination appropriée, ou si le trafic n’est envoyé nulle part. Une configuration incorrecte des itinéraires, dans laquelle le trafic est dirigé vers un emplacement local ou vers une appliance virtuelle, peut entraîner des problèmes de connectivité. Le tronçon suivant renvoie également la table d’itinéraires associée au tronçon suivant. Si la route est définie en tant que route définie par l’utilisateur, cette route est renvoyée. Dans le cas contraire, le tronçon suivant retourne System Route.

Règles de sécurité effectives

Les groupes de sécurité réseau (NSG) filtrent les paquets en fonction des adresses IP et numéros de port source et de destination. Plusieurs groupes de sécurité réseau peuvent s’appliquer à une ressource IaaS sur un réseau virtuel Azure. En prenant en compte toutes les règles appliquées parmi tous les groupes de sécurité réseau pour une ressource, l’outil Règles de sécurité effectives vous permet de déterminer la raison pour laquelle un certain trafic peut être refusé ou autorisé.

Capture de paquets

La capture de paquets est une extension de machine virtuelle qui est démarrée à distance par le biais de Network Watcher. Cette fonctionnalité facilite l’exécution manuelle d’une capture de paquets sur une machine virtuelle spécifique à l’aide des outils du système d’exploitation ou d’utilitaires tiers. La capture de paquets peut être déclenchée par le biais du portail, de PowerShell, d’Azure CLI ou de l’API REST. Network Watcher vous permet de configurer des filtres pour la session de capture afin de vous assurer que vous capturez le trafic que vous souhaitez analyser. Ces filtres reposent sur des informations à 5 tuples (protocole, adresse IP locale, adresse IP distante, port local et port distant). Les données capturées sont stockées sur le disque local ou dans un objet blob de stockage.

Résolution des problèmes de connexion

L’outil de résolution des problèmes de connexion vérifie la connectivité TCP entre une machine virtuelle source et une machine virtuelle de destination. Vous pouvez spécifier la machine virtuelle de destination avec un FQDN, un URI ou une adresse IP. Si la connexion réussit, des informations sur la communication apparaissent, notamment :

  • La latence, exprimée en millisecondes.
  • Le nombre de paquets de sondage envoyés.
  • Le nombre de tronçons dans la route complète vers la destination.

Si la connexion échoue, l’outil affiche les détails de l’erreur. Vous pouvez voir les types d’erreur suivants :

  • CPU : la connexion a échoué en raison d’une utilisation élevée du processeur.
  • Memory : la connexion a échoué en raison d’une utilisation élevée de la mémoire.
  • GuestFirewall : un pare-feu en dehors d’Azure a bloqué la connexion.
  • DNSResolution : l’adresse IP de destination n’a pas pu être résolue.
  • NetworkSecurityRule : un groupe de sécurité réseau a bloqué la connexion.
  • UserDefinedRoute : il y a une route utilisateur incorrecte dans une table de routage.

Résolution des problèmes de VPN

Network Watcher permet de résoudre les problèmes des connexions et des passerelles. La fonctionnalité peut être appelée par le biais du portail, de PowerShell, d’Azure CLI ou de l’API REST. Quand il est appelé, Network Watcher diagnostique l’intégrité de la passerelle ou de la connexion, puis retourne les résultats appropriés. La demande est une transaction dont l’exécution dure longtemps. Les résultats préliminaires retournés donnent une vue d’ensemble de l’intégrité de la ressource.

La liste suivante décrit les valeurs retournées par un appel à l’API de résolution des problèmes de VPN :

  • startTime : heure de démarrage de la résolution des problèmes.
  • endTime : heure de fin de la résolution des problèmes.
  • code : cette valeur est UnHealthy en cas d’échec d’un diagnostic unique.
  • Résultats : collection de résultats retournés sur la connexion ou la passerelle de réseau virtuel.
    • ID : type d’erreur.
    • summary : résumé de l’erreur.
    • detailed : description détaillée de l’erreur.
    • recommendedActions : collection d’actions recommandées à effectuer.
    • actionText : texte qui décrit l’action à effectuer.
    • actionUri : URI de la documentation qui décrit l’action à effectuer.
    • actionUriText : brève description du texte de l’action.