Network Watcher 모니터링 및 진단 도구를 사용하여 네트워크 문제 해결
Azure Network Watcher에는 가상 네트워크 및 VM(가상 머신)을 모니터링하는 데 사용할 수 있는 여러 도구가 포함되어 있습니다. Network Watcher를 효과적으로 활용하려면 사용 가능한 모든 옵션과 각 도구의 용도를 이해하는 것이 필수적입니다.
소속된 엔지니어링 회사의 담당자가 각 문제 해결 작업에 적합한 Network Watcher 도구를 선택하도록 지원하고 싶습니다. 담당자는 사용 가능한 모든 옵션과 각 도구로 어떤 문제를 해결할 수 있는지 이해해야 합니다.
여기서는 Network Watcher 도구 범주, 각 범주의 도구, 예제 사용 사례에서 각 도구를 적용하는 방법을 살펴보겠습니다.
Network Watcher란?
Network Watcher는 Azure 네트워크의 상태를 진단하는 도구들을 중앙의 한곳에서 통합하는 Azure 서비스입니다. Network Watcher 도구는 다음과 같은 세 가지 범주로 구분됩니다.
- 모니터링 도구
- 네트워크 진단 도구
- 트래픽 로깅 도구
Network Watcher는 문제를 모니터링하고 진단하는 도구를 사용하여 네트워크 결함, CPU 사용량 급증, 연결 문제, 메모리 누수 및 기타 문제가 비즈니스에 영향을 미치기 전에 식별하도록 해주는 중앙 허브를 제공합니다.
Network Watcher 모니터링 도구
Network Watcher는 다음과 같은 세 가지 모니터링 도구를 제공합니다.
- 토폴로지
- 연결 모니터
- 네트워크 성능 모니터
이러한 각 도구를 살펴보겠습니다.
토폴로지 도구란?
토폴로지 도구는 Azure Virtual Network, 해당 리소스, 해당 상호 연결 및 서로의 관계에 대한 그래픽 표시를 생성합니다.
동료가 만든 가상 네트워크의 문제를 해결해야 한다고 가정합니다. 이 경우 네트워크 만들기 프로세스에 관여하지 않았다면, 인프라의 모든 측면에 대해 알지 못할 수 있습니다. 토폴로지 도구를 사용하면 문제 해결을 시작하기 전에 처리 중인 인프라를 시각화하고 이해할 수 있습니다.
Azure Portal을 사용하여 Azure 네트워크의 토폴로지를 볼 수 있습니다. Azure Portal에서 다음을 수행합니다.
Azure Portal에 로그인한 다음, Network Watcher를 검색하여 선택합니다.
Network Watcher 메뉴의 모니터링에서 토폴로지를 선택합니다.
가상 네트워크의 리소스 그룹인 구독을 선택한 다음, 가상 네트워크 자체를 선택합니다.
참고
토폴로지를 생성하려면 가상 네트워크와 동일한 지리적 지역에 있는 Network Watcher 인스턴스가 필요합니다.
MyVNet이라는 가상 네트워크용으로 생성된 다음 토폴로지를 예로 들어보겠습니다.
연결 모니터 도구란?
연결 모니터 도구를 사용하면 Azure 리소스가 연결되는지 확인할 수 있습니다. 이 도구를 사용하여 원하는 경우 두 VM을 통신하게 만들 수 있는지 확인합니다.
또한 이 도구는 리소스 간의 대기 시간을 측정합니다. 네트워크 구성 또는 NSG(네트워크 보안 그룹) 규칙의 변경 사항과 같이 연결에 영향을 주는 변경 사항을 파악할 수 있습니다. 정기적 간격으로 VM을 프로브하여 오류 또는 변경 사항을 찾을 수 있습니다.
문제가 발생하는 경우 연결 모니터에서 문제의 발생 이유와 해결 방법을 알려줍니다. 연결 모니터는 VM 모니터링과 함께, IP 주소 또는 FQDN(정규화된 도메인 이름)을 검사할 수 있습니다.
네트워크 성능 모니터 도구란?
네트워크 성능 모니터 도구는 시간에 따른 대기 시간 및 패킷 드롭을 추적하고 경고하는 기능을 제공합니다. 이 도구를 사용하면 네트워크를 한곳에서 확인할 수 있습니다.
네트워크 성능 모니터를 사용하여 하이브리드 연결을 모니터링하려는 경우 연결된 작업 영역이 지원되는 지역에 있는지 확인합니다.
네트워크 성능 모니터를 사용하여 엔드포인트 간 연결을 모니터링할 수 있습니다.
- 분기와 데이터 센터 사이
- 가상 네트워크 사이
- 온-프레미스와 클라우드 간의 연결
- Azure ExpressRoute 회로
Network Watcher 진단 도구
Network Watcher는 다음의 진단 도구를 포함합니다.
- IP 흐름 확인
- NSG 진단
- 다음 홉
- 유효한 보안 규칙
- 패킷 캡처
- 연결 문제 해결
- VPN 문제 해결
각 도구를 검토하고 문제 해결에 도움이 되는 방법을 알아보세요.
IP 흐름 확인 도구란?
IP 흐름 확인 도구는 특정 가상 머신에 패킷이 허용되거나 거부되는지 표시합니다. 네트워크 보안 그룹에서 패킷을 거부하면 도구에서 문제를 해결할 수 있도록 해당 그룹의 이름을 표시합니다.
이 도구는 5-튜플 패킷 매개 변수 기반 확인 메커니즘을 사용하여 인바운드 또는 아웃바운드 패킷이 VM에서 허용되거나 거부되는지를 검색합니다. 도구 내에서 로컬 및 원격 포트, 프로토콜(TCP 또는 UDP), 로컬 IP, 원격 IP, VM 및 VM의 네트워크 어댑터를 지정합니다.
NSG 진단 도구란?
NSG(네트워크 보안 그룹) 진단 도구는 네트워크의 보안 구성을 이해하고 디버그하는 데 도움이 되는 구체적인 정보를 제공합니다.
지정된 원본-대상 쌍에 대해 이 도구는 이동할 NSG, 각 NSG에 적용될 규칙 및 흐름에 대한 최종 허용/거부 상태를 보여줍니다. Azure Virtual Network에서 허용되거나 거부되는 트래픽 흐름을 이해하면 NSG 규칙이 올바르게 구성되었는지 확인할 수 있습니다.
다음 홉 도구란?
VM이 대상에 패킷을 보내는 경우 해당 과정에서 여러 홉을 사용할 수 있습니다. 예를 들어, 대상이 다른 가상 네트워크의 VM인 경우 다음 홉은 패킷을 대상 VM으로 라우팅하는 가상 네트워크 게이트웨이일 수 있습니다.
다음 홉 도구를 사용하여 VM에서 임의의 대상으로 패킷을 가져오는 방법을 결정할 수 있습니다. 원본 VM, 원본 네트워크 어댑터, 원본 IP 주소 및 대상 IP 주소를 지정합니다. 그러면 이 도구는 패킷의 경로를 결정합니다. 이 도구를 사용하여 잘못된 라우팅 테이블로 인한 문제를 진단할 수 있습니다.
유효한 보안 규칙 도구란?
Network Watcher의 유효한 보안 규칙 도구는 네트워크 인터페이스에 적용되는 모든 유효한 NSG 규칙을 표시합니다.
NSG(네트워크 보안 그룹)는 Azure 네트워크에서 패킷의 원본 및 대상 IP 주소와 포트 번호에 따라 패킷을 필터링하는 데 사용됩니다. NSG는 사용자가 액세스할 수 있는 VM의 노출 영역을 신중하게 제어하도록 지원하므로 보안에 매우 중요합니다. 잘못 구성된 NSG 규칙은 합법적인 통신을 막을 수 있다는 점에 유의하세요. 결과적으로 NSG는 네트워크 문제의 잦은 원인이 됩니다.
예를 들어 NSG 규칙이 차단하여 두 VM이 통신할 수 없는 경우 어떤 규칙이 문제를 일으키는지 진단하기 어려울 수 있습니다. Network Watcher의 유효한 보안 규칙 도구를 사용하면 모든 유효한 NSG 규칙을 표시하고 특정 문제를 일으킨 규칙을 진단하는 데 도움이 됩니다.
이 도구를 사용하려면 VM 및 해당 네트워크 어댑터를 선택합니다. 이 도구는 해당 어댑터에 적용되는 모든 NSG 규칙을 표시합니다. 이 목록을 보고 차단 규칙을 쉽게 확인할 수 있습니다.
이 도구를 사용하여 불필요하게 열린 포트 때문에 생긴 VM에 대한 취약성을 발견할 수도 있습니다.
패킷 캡처 도구란?
패킷 캡처 도구는 VM과 주고받은 모든 패킷을 기록합니다. 사용 설정되면 캡처된 패킷을 검토하여 네트워크 트래픽에 대한 통계를 수집하거나 프라이빗 가상 네트워크의 예기치 않은 네트워크 트래픽과 같은 비정상 문제를 진단합니다.
패킷 캡처 도구는 Network Watcher를 통해 원격으로 시작되는 가상 머신 확장입니다. 패킷 캡처 세션을 시작할 때 자동으로 시작됩니다.
지역별로 허용되는 패킷 캡처 세션의 수에는 제한이 있다는 점에 유의하세요. 기본 사용 제한은 지역당 100개의 패킷 캡처 세션이며, 전체 제한은 1만개입니다. 이러한 제한은 저장된 캡처가 아닌 세션의 수에만 적용됩니다. Azure 스토리지에서나 컴퓨터에서 로컬로 캡처한 패킷을 저장할 수 있습니다.
패킷 캡처는 VM에 설치된 Network Watcher 에이전트 VM 확장에 대해 종속성이 있습니다. Windows 및 Linux VM에 확장을 설치하는 방법을 자세히 설명하는 지침 링크는 이 모듈의 끝에 있는 “자세한 정보” 섹션을 참조하세요.
연결 문제 해결 도구란?
연결 문제 해결 도구를 사용하여 원본 및 대상 VM 간의 TCP 연결을 확인합니다. FQDN, URI 또는 IP 주소를 사용하여 대상 VM을 지정할 수 있습니다.
연결에 성공하면 다음과 같은 통신 정보가 나타납니다.
- 대기 시간(밀리초).
- 전송된 프로브 패킷 수.
- 대상에 대한 전체 경로의 홉 수.
연결에 실패하면 오류에 대한 세부 정보가 표시됩니다. 오류 유형에는 다음이 포함됩니다.
- CPU. 높은 CPU 사용률 때문에 연결에 실패했습니다.
- 메모리. 메모리 사용률이 높아 연결에 실패했습니다.
- GuestFirewall. Azure 외부의 방화벽이 연결을 차단했습니다.
- DNSResolution. 대상 IP 주소를 확인할 수 없습니다.
- NetworkSecurityRule. NSG에 의해 연결이 차단되었습니다.
- UserDefinedRoute. 라우팅 테이블에 잘못된 사용자 경로가 있습니다.
VPN 문제 해결 도구란?
VPN 문제 해결 도구를 사용하여 가상 네트워크 게이트웨이 연결 문제를 진단할 수 있습니다. 이 도구는 가상 네트워크 게이트웨이 연결에서 진단을 실행하고 상태 진단을 반환합니다.
VPN 문제 해결 도구를 시작하면 Network Watcher가 게이트웨이 또는 연결의 상태를 진단하고 적절한 결과를 반환합니다. 요청은 장기 실행 트랜잭션입니다.
다음 표에는 다양한 오류 유형의 예가 나와 있습니다.
| 오류 유형 | 이유 | 로그 |
|---|---|---|
| NoFault | 오류가 발견되지 않았습니다. | 예 |
| GatewayNotFound | 게이트웨이가 찾을 수 없거나 프로비저닝되지 않았습니다. | 아니요 |
| PlannedMaintenance | 게이트웨이 인스턴스가 유지 관리 중입니다. | 아니요 |
| UserDrivenUpdate | 사용자 업데이트를 진행 중입니다. 업데이트는 크기 조정 작업일 수 있습니다. | 아니요 |
| VipUnResponsive | 게이트웨이의 주 인스턴스가 상태 프로브 실패로 인해 연결할 수 없을 때 발생합니다. | 아니요 |
| PlatformInActive | 플랫폼에 문제가 있습니다. | 아니요 |
트래픽 로깅 도구
Network Watcher에는 다음과 같은 두 가지 트래픽 도구가 포함되어 있습니다.
- 흐름 로그
- 트래픽 분석
흐름 로그 도구란 무엇인가요?
흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그는 Azure Storage에 데이터를 저장합니다. 흐름 데이터는 액세스할 수 있는 Azure Storage로 전송되며 원하는 시각화 도구, SIEM(보안 정보 및 이벤트 관리) 솔루션 또는 IDS(침입 탐지 시스템)로 내보낼 수 있습니다. 이 데이터를 사용하여 트래픽 패턴을 분석하고 연결 문제를 해결할 수 있습니다.
흐름 로그 사용 사례는 두 가지 형식으로 분류할 수 있습니다. 네트워크 모니터링 및 사용 모니터링 및 최적화.
네트워크 모니터링
- 알 수 없거나 원치 않는 트래픽을 식별합니다.
- 트래픽 수준과 대역폭 사용량을 모니터링합니다.
- IP와 포트로 흐름 로그를 필터링하여 애플리케이션 동작을 이해합니다.
- 모니터링 대시보드를 설정하려면 선택한 분석 및 시각화 도구로 흐름 로그를 내보냅니다.
사용량 모니터링 및 최적화
- 네트워크에서 상위 토커를 식별합니다.
- GeoIP 데이터와 결합하여 하위 지역 간 트래픽을 식별합니다.
- 용량 예측을 위한 트래픽 증가를 이해합니다.
- 데이터를 사용하여 지나치게 제한적인 트래픽 규칙을 제거합니다.
트래픽 분석 도구란?
트래픽 분석은 클라우드 네트워크에서 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. 특히 트래픽 분석은 Azure Network Watcher NSG 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 트래픽 분석을 사용하면 다음과 같은 작업을 수행할 수 있습니다.
- Azure 구독에서 네트워크 활동을 시각화합니다.
- 핫스폿을 식별합니다.
- 정보를 사용하여 위협을 식별하여 네트워크를 보호하세요.
- Azure 지역과 인터넷의 트래픽 흐름 패턴을 이해하여 성능과 용량에 맞게 네트워크 배포를 최적화합니다.
- 네트워크에서 연결 실패로 이어질 수 있는 네트워크 구성 오류를 정확히 찾아냅니다.
Azure Network Watcher 사용 사례 시나리오
Azure Network Watcher 모니터링 및 진단을 사용하여 조사하고 문제를 해결할 수 있는 몇 가지 시나리오를 살펴보겠습니다.
단일 VM 네트워크에 연결 문제가 있습니다.
동료가 Azure에 VM을 배포했는데 네트워크 연결에 문제가 있습니다. 동료가 RDP(원격 데스크톱 프로토콜)를 사용하여 가상 머신에 연결하려고 했지만 연결할 수 없습니다.
이 문제를 해결하려면 IP 흐름 확인 도구를 사용합니다. 이 도구를 사용하면 로컬 및 원격 포트, 프로토콜(TCP/UDP), 로컬 IP 및 원격 IP를 지정하여 연결 상태를 확인할 수 있습니다. 또한 연결 방향(인바운드 또는 아웃바운드)을 지정할 수 있습니다. IP 흐름 확인은 네트워크에서 적용되는 규칙에 대해 논리 테스트를 실행합니다.
이 경우 IP 흐름 확인을 사용하여 VM IP 주소 및 RDP 포트 3389를 지정합니다. 그런 다음, 원격 VM의 IP 주소와 포트를 지정합니다. TCP 프로토콜을 선택하고 확인을 선택합니다.
NSG 규칙 DefaultInboundDenyAll 때문에 액세스가 거부되었음을 보여 주는 결과가 있다고 가정합니다. 해결책은 NSG 규칙을 변경하는 것입니다.
VPN 연결이 작동하지 않음
동료가 두 가상 네트워크에서 VM을 배포했는데 둘 사이를 연결할 수 없습니다.
VPN 연결 문제를 해결하려면 Azure VPN 문제 해결을 사용합니다. 이 도구는 가상 네트워크 게이트웨이 연결에서 진단을 실행하고 상태 진단을 반환합니다. Azure Portal, PowerShell 또는 Azure CLI에서 이 도구를 실행할 수 있습니다.
도구를 실행하면 게이트웨이에서 일반적인 문제를 확인하고 상태 진단을 반환합니다. 또한 로그 파일에서 자세한 내용을 확인할 수 있습니다. 진단에서 VPN 연결이 되는지를 표시합니다. VPN 연결이 되지 않는 경우 VPN 문제 해결에서 문제를 해결하는 방법을 제안합니다.
진단에서 키 불일치를 표시한다고 가정합니다. 이 문제를 해결하려면 키가 양쪽 말단에서 일치하도록 원격 게이트웨이를 다시 구성합니다. 미리 공유한 키는 대/소문자를 구분합니다.
지정된 대상 포트에서 수신 대기 중인 서버가 없음
동료가 단일 가상 네트워크에서 VM을 배포했는데 둘 사이를 연결할 수 없습니다.
연결 문제 해결 도구를 사용하여 이 문제를 해결할 수 있습니다. 이 도구에서는 로컬 및 원격 VM을 지정합니다. 프로브 설정에서 특정 포트를 선택할 수 있습니다.
결과에 "가상 머신 방화벽 구성으로 인해 트래픽이 차단됨"이라는 메시지와 함께 원격 서버에 연결할 수 없음이 표시된다고 가정해보겠습니다. 원격 서버에서 방화벽을 사용하지 않도록 설정하고 다시 연결을 테스트합니다.
이제 서버에 연결할 수 있다고 가정합니다. 이 결과는 원격 서버에 대한 방화벽 규칙이 문제이며 연결을 허용하도록 수정되어야 함을 나타냅니다.