Risolvere i problemi di una rete con gli strumenti di monitoraggio e diagnostica di Network Watcher
Azure Network Watcher include diversi strumenti che è possibile usare per monitorare le reti virtuali e le macchine virtuali. Per usare Network Watcher in modo efficace, è essenziale comprendere tutte le opzioni disponibili e lo scopo di ognuno degli strumenti.
In un'azienda di ingegneria si vuole aiutare il personale a scegliere lo strumento di Network Watcher più appropriato per le diverse attività di risoluzione dei problemi. Il personale deve conoscere tutte le opzioni disponibili e i tipi di problemi che i diversi strumenti sono in grado di risolvere.
In questa unità si esamineranno le categorie di strumenti di Network Watcher, gli strumenti di ogni categoria e la modalità di applicazione di ognuno di essi tramite esempi di casi d'uso.
Che cos'è Network Watcher?
Network Watcher è un servizio di Azure che riunisce in una posizione centrale una serie di strumenti per diagnosticare l'integrità delle reti di Azure. Gli strumenti di Network Watcher sono divisi in tre categorie:
- Strumenti di monitoraggio
- Strumenti di diagnostica di rete
- Strumenti di registrazione del traffico
Con i suoi strumenti per il monitoraggio e la diagnosi dei problemi, Network Watcher costituisce un hub centralizzato per identificare anomalie di rete, picchi di utilizzo della CPU, problemi di connettività, perdite di memoria e altri problemi prima che si ripercuotano sulle attività dell'azienda.
Strumenti di monitoraggio di Network Watcher
Network Watcher offre tre strumenti di monitoraggio:
- Topologia
- Monitoraggio connessione
- Monitoraggio prestazioni rete
Verranno ora esaminate le caratteristiche di ognuno di questi strumenti.
Che cos'è lo strumento Topologia?
Lo strumento Topologia genera una visualizzazione grafica di della rete virtuale di Azure, delle relative risorse e interconnessioni e del modo in cui interagiscono.
Si supponga di dover risolvere i problemi di una rete virtuale creata dai colleghi. A meno di non aver preso parte al processo di creazione della rete, è possibile che non si conoscano tutti gli aspetti dell'infrastruttura. Lo strumento Topologia può essere usato per visualizzare e comprendere l'infrastruttura presa in esame prima di procedere alla risoluzione dei problemi.
Per esaminare la topologia di una rete di Azure si usa il portale di Azure. Nel portale di Azure:
Accedere al portale di Azure e quindi cercare e selezionare Network Watcher.
Nel menu di Network Watcher, in Monitoraggio selezionare Topologia.
Selezionare una sottoscrizione, il gruppo di risorse di una rete virtuale e quindi la rete virtuale stessa.
Nota
Per generare la topologia è necessaria l'istanza di Network Watcher nella stessa area geografica della rete virtuale.
Di seguito è riportato un esempio di una topologia generata per una rete virtuale denominata MyVNet.
Che cos'è lo strumento Monitoraggio connessione?
Lo strumento Monitoraggio connessione consente di verificare che le connessioni tra le risorse di Azure siano funzionanti. Usare questo strumento per verificare che due macchine virtuali possano comunicare in caso di necessità.
Questo strumento consente anche di misurare la latenza tra le risorse. Può rilevare le modifiche che influiranno sulla connettività, ad esempio quelle apportate alla configurazione di rete o le modifiche alle regole dei gruppi di sicurezza di rete. Può verificare le macchine virtuali a intervalli regolari in modo da rilevare eventuali errori o modifiche.
Se si riscontra un problema, Monitoraggio connessione indica il motivo per cui si è verificato e come risolverlo. Oltre a monitorare le macchine virtuali, Monitoraggio connessione può esaminare un indirizzo IP o un nome di dominio completo (FQDN).
Che cos'è lo strumento Monitoraggio prestazioni rete?
Lo strumento Monitoraggio prestazioni rete consente di tenere traccia e inviare avvisi in caso di perdite di pacchetti e latenza nel tempo. Offre una vista centralizzata sulla rete.
Quando si decide di monitorare le connessioni ibride con Monitoraggio prestazioni rete, verificare che l'area di lavoro associata si trovi in un'area supportata.
Monitoraggio prestazioni rete consente di monitorare la connettività da endpoint a endpoint:
- Tra rami e data center
- Tra reti virtuali
- Per le connessioni tra l'ambiente locale e il cloud
- Per i circuiti ExpressRoute
Strumenti di diagnostica di Network Watcher
Network Watcher include gli strumenti di diagnostica seguenti:
- Verifica flusso IP
- Diagnostica del gruppo di sicurezza di rete
- Hop successivo
- Regole di sicurezza valide
- Acquisizione pacchetti
- Risoluzione dei problemi di connessione
- Risoluzione dei problemi della rete VPN
Di seguito verranno esaminati i diversi strumenti per scoprire in che modo possono contribuire alla risoluzione dei problemi.
Che cos'è lo strumento Verifica flusso IP?
Lo strumento di verifica del flusso IP indica se i pacchetti verso una specifica macchina virtuale sono consentiti o rifiutati. Se un gruppo di sicurezza di rete rifiuta un pacchetto, lo strumento indicherà il nome del gruppo in modo da poter risolvere il problema.
Questo strumento usa un meccanismo di verifica basato sui parametri dei pacchetti a 5 tuple per rilevare se i pacchetti in ingresso o in uscita sono consentiti o rifiutati da una macchina virtuale. All'interno dello strumento è possibile specificare una porta locale e remota, il protocollo TCP o UDP, l'IP locale, l'IP remoto, la macchina virtuale e la scheda di rete della macchina virtuale.
Che cos'è lo strumento di diagnostica NSG?
Lo strumento di diagnostica del gruppo di sicurezza di rete (NSG) offre informazioni dettagliate per comprendere ed eseguire il debug della configurazione di sicurezza della rete.
Per una determinata coppia di origine e destinazione, lo strumento mostra i gruppi di sicurezza di rete che verranno attraversati, le regole che verranno applicate in ogni gruppo di sicurezza di rete e lo stato finale di consenso/negazione per il flusso. Comprendere quali flussi di traffico saranno consentiti o negati nella Rete virtuale di Microsoft Azure, è possibile determinare se le regole del gruppo di sicurezza di rete sono configurate correttamente.
Che cos'è lo strumento Hop successivo?
Quando una macchina virtuale invia un pacchetto a una destinazione, potrebbero essere presenti più hop durante il percorso. Ad esempio, se la destinazione è una macchina virtuale in una rete virtuale diversa, l'hop successivo potrebbe essere il gateway della rete virtuale che instrada il pacchetto alla macchina virtuale di destinazione.
Con lo strumento Hop successivo è possibile determinare in che modo un pacchetto passa da una macchina virtuale a una qualsiasi destinazione. Si specificano la macchina virtuale di origine, la scheda di rete di origine, l'indirizzo IP di origine e l'indirizzo IP di destinazione. Lo strumento determina quindi la route del pacchetto. È possibile usare questo strumento per diagnosticare i problemi causati da tabelle di routing non corrette.
Che cos'è lo strumento Regole di sicurezza valide?
Lo strumento Regole di sicurezza valide di Network Watcher visualizza tutte le regole del gruppo di sicurezza di rete valide applicate a un'interfaccia di rete.
I gruppi di sicurezza di rete (NSG) vengono usati nelle reti di Azure per filtrare i pacchetti in base ai relativi numeri di porta e indirizzi IP di origine e destinazione. I gruppi di sicurezza di rete sono fondamentali per la sicurezza, perché aiutano a controllare in modo scrupoloso la superficie di attacco delle macchine virtuali a cui gli utenti possono accedere. Tenere tuttavia presente che una regola del gruppo di sicurezza di rete configurata erroneamente potrebbe impedire la legittima comunicazione. Di conseguenza, i gruppi di sicurezza di rete sono una causa frequente di problemi di rete.
Se, ad esempio, due macchine virtuali non riescono a comunicare perché una regola del gruppo di sicurezza di rete le blocca, può essere difficile diagnosticare quale regola stia causando il problema. Lo strumento Regole di sicurezza valide di Network Watcher potrà essere usato per visualizzare tutte le regole del gruppo di sicurezza di rete valide, consentendo di diagnosticare quale regola causa il problema specifico.
Per usare lo strumento, è necessario scegliere una macchina virtuale e la relativa scheda di rete. Lo strumento visualizza tutte le regole del gruppo di sicurezza di rete che si applicano a tale scheda. È facile determinare quale regola comporti il blocco visualizzando questo elenco.
È anche possibile usare lo strumento per individuare le vulnerabilità della macchina virtuale causate da porte aperte non necessarie.
Che cos'è lo strumento Acquisizione pacchetti?
Lo strumento di acquisizione pacchetti consente di registrare tutti i pacchetti inviati da e verso una macchina virtuale. Quando è abilitato, è possibile esaminare i dati acquisiti per raccogliere le statistiche sul traffico di rete o diagnosticare eventuali anomalie, ad esempio il traffico di rete imprevisto in una rete virtuale privata.
Lo strumento di acquisizione pacchetti è un'estensione macchina virtuale avviata da remoto tramite Network Watcher. Si avvia automaticamente quando si avvia una sessione di acquisizione pacchetti.
Tenere presente che è previsto un limite al numero di sessioni di acquisizione pacchetti consentite per ogni area. Il limite di utilizzo predefinito è di 100 sessioni di acquisizione pacchetti per area e il limite complessivo è pari a 10.000. Questi limiti riguardano solo il numero di sessioni, non di acquisizioni salvate. È possibile salvare i pacchetti acquisiti in Archiviazione di Azure o localmente nel computer in uso.
Acquisizione pacchetti ha una dipendenza dall'estensione macchina virtuale per l'agente Network Watcher installata nella macchina virtuale. Per collegamenti a istruzioni che illustrano in dettaglio l'installazione dell'estensione nelle macchine virtuali Windows e Linux, vedere la sezione "Altre informazioni" alla fine di questo modulo.
Che cos'è lo strumento Risoluzione dei problemi di connessione?
Lo strumento Risoluzione dei problemi di connessione può essere usato per controllare la connettività TCP tra una macchina virtuale di origine e una di destinazione. Si può specificare la macchina virtuale di destinazione usando un nome di dominio completo, un URI o un indirizzo IP.
Se la connessione ha esito positivo, vengono visualizzate le informazioni relative alla comunicazione, tra cui:
- Latenza in millisecondi.
- Numero di pacchetti probe inviati.
- Numero di hop nella route completa alla destinazione.
Se la connessione ha esito negativo, verranno visualizzati i dettagli dell'errore. I tipi di errore includono:
- CPU. La connessione non è riuscita a causa di un utilizzo elevato della CPU.
- Memoria. La connessione non è riuscita a causa di un utilizzo elevato della memoria.
- GuestFirewall. La connessione è stata bloccata da un firewall esterno ad Azure.
- DNSResolution. Non è stato possibile risolvere l'indirizzo IP di destinazione.
- NetworkSecurityRule. La connessione è stata bloccata da un gruppo di sicurezza di rete.
- UserDefinedRoute. In una tabella di routing è presente una route utente non corretta.
Che cos'è lo strumento Risoluzione dei problemi della rete VPN?
È possibile usare lo strumento Risoluzione dei problemi della rete VPN per diagnosticare i problemi relativi alle connessioni gateway della rete virtuale. Questo strumento esegue la diagnostica per una connessione gateway di rete virtuale e restituisce una diagnosi di integrità.
Quando si avvia lo strumento Risoluzione dei problemi della rete VPN, Network Watcher esegue la diagnostica dell'integrità del gateway o della connessione e restituisce i risultati appropriati. La richiesta è una transazione con esecuzione prolungata.
La tabella seguente mostra esempi dei vari tipi di errore.
| Tipo di errore | Motivo | Log |
|---|---|---|
| NoFault | Non viene rilevato alcun errore. | Sì |
| GatewayNotFound | Non è possibile trovare un gateway o non ne è stato effettuato il provisioning. | No |
| PlannedMaintenance | Un'istanza del gateway è in fase di manutenzione. | No |
| UserDrivenUpdate | È in corso un aggiornamento utente. L'aggiornamento potrebbe essere un'operazione di ridimensionamento. | No |
| VipUnResponsive | L'istanza primaria del gateway non può essere raggiunta a causa di un errore del probe di integrità. | No |
| PlatformInActive | Si è verificato un errore con la piattaforma. | No |
Strumenti di registrazione del traffico
Network Watcher include i due strumenti per il traffico seguenti:
- Log dei flussi
- Analisi del traffico
Che cos'è lo strumento dei log dei flussi?
Il log dei flussi consente di registrare le informazioni sul flusso del traffico IP gestito tramite il gruppo di sicurezza di rete. I log dei flussi archiviano i dati in Archiviazione di Azure. I dati del flusso vengono inviati ad Archiviazione di Azure da cui è possibile accedervi ed esportarli in qualsiasi strumento di visualizzazione, soluzione SIEM (Security Information and Event Management) o sistema di rilevamento delle intrusioni (IDS) preferito. È possibile usare questi dati per analizzare i modelli di traffico e risolvere i problemi di connettività.
I casi d'uso dei log dei flussi possono essere classificati in due tipi. Monitoraggio della rete e monitoraggio e ottimizzazione dell'utilizzo.
Monitoraggio della rete
- identificare il traffico sconosciuto o indesiderato.
- Monitorare i livelli di traffico e il consumo della larghezza di banda.
- Filtrare i log dei flussi in base all'IP e alla porta per comprendere il comportamento delle applicazioni.
- Esportare i log dei flussi in strumenti di analisi e visualizzazione di propria scelta per configurare dashboard di monitoraggio.
Monitoraggio e ottimizzazione dell'utilizzo
- identificare i principali talker nella rete.
- Combinare con i dati GeoIP per identificare il traffico tra le aree.
- Comprendere la crescita del traffico per una previsione della capacità.
- Usare i dati per rimuovere regole di traffico eccessivamente restrittive.
Che cos'è lo strumento di analisi del traffico?
Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nella rete cloud. Nello specifico, analisi del traffico esamina i log dei flussi dei gruppi di sicurezza di rete di Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:
- Visualizzare l'attività della rete nelle sottoscrizioni di Azure.
- Identificare le aree sensibili.
- Proteggere la rete usando le informazioni per identificare le minacce.
- Ottimizzare la distribuzione di rete per prestazioni e capacità comprendendo i modelli di flusso del traffico tra aree di Azure e Internet.
- Individuare le configurazioni di rete errate che possono causare connessioni non riuscite nella rete.
Scenari di casi d'uso di Azure Network Watcher
Verranno esaminati alcuni scenari di analisi e risoluzione dei problemi tramite gli strumenti di monitoraggio e diagnostica di Azure Network Watcher.
Problemi di connettività in una rete con una singola macchina virtuale
I colleghi hanno distribuito una macchina virtuale in Azure e riscontrano problemi di connettività di rete. Stanno tentando di usare Remote Desktop Protocol (RDP) per connettersi alla macchina virtuale, ma non sono in grado di connettersi.
Per risolvere questo problema, usare lo strumento Verifica flusso IP. Questo strumento consente di specificare una porta locale e remota, il protocollo (TCP/UDP), l'IP locale e l'IP remoto per verificare lo stato della connessione. Consente inoltre di specificare la direzione della connessione (in ingresso o in uscita). Verifica flusso IP esegue un test logico sulle regole applicate nella rete in uso.
In questo caso, usare Verifica flusso IP per specificare l'indirizzo IP della macchina virtuale e la porta RDP 3389. Specificare quindi la porta e l'indirizzo IP della macchina virtuale remota. Scegliere il protocollo TCP, quindi selezionare Controlla.
Si supponga che il risultato mostri che l'accesso è stato negato a causa della regola del gruppo di sicurezza di rete DefaultInboundDenyAll. La soluzione consiste nel modificare la regola del gruppo di sicurezza di rete.
Connessione VPN non funzionante
I colleghi hanno distribuito macchine virtuali in due reti virtuali e non riescono a eseguire la connessione tra loro.
Per risolvere i problemi relativi a una connessione VPN, usare Risoluzione dei problemi della rete VPN di Azure. Questo strumento esegue la diagnostica per una connessione gateway di rete virtuale e restituisce una diagnosi di integrità. È possibile eseguire questo strumento dal portale di Azure, da PowerShell o dall'interfaccia della riga di comando di Azure.
Quando viene eseguito, questo strumento controlla il gateway per individuare problemi comuni e restituisce una diagnosi dell'integrità. Si può anche visualizzare il file di log disponibile per ottenere altre informazioni. La diagnosi indicherà se la connessione VPN funziona. Se la connessione VPN non funziona, Risoluzione dei problemi della rete VPN suggerirà alcuni modi per risolvere il problema.
Si supponga che la diagnosi mostri una mancata corrispondenza della chiave. Per risolvere il problema, riconfigurare il gateway remoto per assicurarsi che le chiavi corrispondano su entrambi i lati della connessione. Le chiavi precondivise fanno distinzione tra maiuscole e minuscole.
Nessun server in ascolto sulle porte di destinazione designate
I colleghi hanno distribuito macchine virtuali in una singola rete virtuale e non riescono a eseguire la connessione tra loro.
Usare lo strumento Risoluzione dei problemi di connessione per risolvere questo problema. In questo strumento si specificano le macchine virtuali locale e remota. Nell'impostazione del probe è possibile scegliere una porta specifica.
Si supponga che i risultati mostrano che il server è non raggiungibile, insieme al messaggio "Traffic blocked due to virtual machine firewall configuration" (Traffico bloccato a causa della configurazione del firewall della macchina virtuale). Nel server remoto disabilitare il firewall e quindi testare nuovamente la connessione.
Si supponga che il server sia ora raggiungibile. Questo risultato indica che le regole del firewall nel server remoto rappresentano il problema e devono essere corrette per consentire la connessione.