Hoe Azure Network Watcher werkt

  • 5 minuten

Network Watcher wordt automatisch beschikbaar wanneer u een virtueel netwerk maakt in een Azure-regio in uw abonnement. U kunt Network Watcher rechtstreeks in de Azure portal openen door Network Watcher in de zoek balk te typen.

Schermopname waarin wordt getoond hoe u kunt zoeken naar Network Watcher in Azure Portal.

Network Watcher topologietool

Met de topologiemogelijkheid van Azure Network Watcher kunt u alle volgende resources in een virtueel netwerk bekijken. Inclusief de resources die zijn gekoppeld aan resources in een virtueel netwerk en de relaties tussen de resources.

  • Subnetten
  • Netwerkinterfaces
  • Netwerkbeveiligingsgroepen
  • Load balancer
  • Gezondheidcontroles van load balancer
  • Openbare IP-adressen
  • Peering van virtuele netwerken
  • Gateways voor virtuele netwerken
  • VPN-gatewayverbindingen
  • Virtuele machines
  • Virtuele machineschaalsets

Alle resources die in een topologie worden geretourneerd, hebben de volgende eigenschappen:

  • Naam: de naam van de bron.
  • id: de URI van de resource.
  • Locatie: de Azure-regio waarin de resource zich bevindt.
  • Koppelingen: een lijst met koppelingen naar het object waarnaar wordt verwezen. Elke koppeling heeft de volgende eigenschappen:
    • AssociationType: verwijst naar de relatie tussen het kindobject en het ouderobject. Geldige waarden zijn Contains en Associated.
    • naam: de naam van de resource waarnaar wordt verwezen.
    • ResourceId: de URI van de resource waarnaar in de koppeling wordt verwezen.

Tool Verbindingsmonitor

Verbindingsmonitor biedt geïntegreerde end-to-end-verbindingsbewaking in Azure Network Watcher. Connection Monitor ondersteunt zowel hybride als Azure-cloudimplementaties. U kunt het hulpprogramma Verbindingsmonitor gebruiken om de latentie tussen resources te meten. Verbindingsmonitor kan wijzigingen detecteren die van invloed zijn op de connectiviteit, zoals wijzigingen in de netwerkconfiguratie of wijzigingen in NSG-regels. U kunt Verbindingsmonitor zo configureren dat vm's regelmatig worden getest om te zoeken naar fouten of wijzigingen. Verbindingsmonitor kan problemen vaststellen en uitleg geven over waarom het probleem is opgetreden en de stappen die u kunt uitvoeren om een probleem op te lossen.

diagram dat laat zien hoe Verbindingsmonitor communiceert met virtuele Azure-machines, niet-Azure-hosts, eindpunten en locaties voor gegevensopslag.

Als u Verbindingsmonitor wilt gebruiken voor bewaking, moet u bewakingsagents installeren op de hosts die u bewaakt. Verbindingsmonitor maakt gebruik van lichtgewicht uitvoerbare bestanden om connectiviteitscontroles uit te voeren, ongeacht of een host zich in een virtueel Azure-netwerk of in een on-premises netwerk bevindt. Met Azure-VM's kunt u de NETWORK Watcher Agent-VM installeren, ook wel de Network Watcher-extensie genoemd. Voor on-premises computers kunt u deze functionaliteit inschakelen door de Log Analytics-agent te installeren.

IP-stroom controleren

Het IP-stroomverificatiehulpmiddel gebruikt een verificatiemechanisme op basis van een 5-tuple om te detecteren of binnenkomende of uitgaande pakketten van een virtuele machine zijn toegestaan of geweigerd. In het hulpprogramma kunt u een lokale en externe poort, het protocol (TCP of UDP), het lokale IP-adres, het externe IP-adres, de virtuele machine en de netwerkadapter van de VM opgeven.

Volgende hop

Verkeer van een IaaS-VM wordt verzonden naar een bestemming op basis van de effectieve routes die zijn gekoppeld aan een netwerkinterface (NIC). De volgende hop haalt het hoptype en IP-adres van een pakket op van een specifieke VM en NIC. Als u de volgende hop kent, kunt u bepalen of verkeer wordt omgeleid naar de beoogde bestemming of of het verkeer nergens wordt verzonden. Een onjuiste configuratie van routes, waarbij verkeer wordt omgeleid naar een on-premises locatie of naar een virtueel apparaat, kan leiden tot verbindingsproblemen. Volgende hop retourneert ook de routetabel die is gekoppeld aan de volgende hop. Als de route is gedefinieerd als een door de gebruiker gedefinieerde route, wordt die route geretourneerd. Anders retourneert de volgende hop System Route.

Effectieve beveiligingsregels

Netwerkbeveiligingsgroepen (NSG's) filteren pakketten op basis van hun bron- en doel-IP-adres en poortnummers. Meer dan één NSG kan worden toegepast op een IaaS-resource in een virtueel Azure-netwerk. Door rekening te houden met alle regels die worden toegepast op alle NSG's voor een resource, kunt u met het hulpprogramma Effectieve beveiligingsregels bepalen waarom bepaalde verkeer mogelijk wordt geweigerd of toegestaan.

Pakketopvang

Pakketopname is een extensie voor virtuele machines die extern wordt gestart via Network Watcher. Deze mogelijkheid vereenvoudigt de belasting van het handmatig uitvoeren van een pakketopname op een specifieke virtuele machine met behulp van hulpprogramma's van besturingssystemen of hulpprogramma's van derden. Pakketopname kan worden geactiveerd via de portal, PowerShell, de Azure CLI of REST API. Met Network Watcher kunt u filters voor de opnamesessie configureren om ervoor te zorgen dat u verkeer vastlegt dat u wilt bewaken. Filters zijn gebaseerd op gegevens van 5 tuples (protocol, lokaal IP-adres, extern IP-adres, lokale poort en externe poort). De vastgelegde gegevens worden opgeslagen op de lokale schijf of in een opslagblob.

Verbindingsproblemen oplossen

Het hulpprogramma voor het oplossen van verbindingsproblemen controleert de TCP-verbinding tussen een bron- en doel-VM. U kunt de doel-VM opgeven met behulp van een FQDN, een URI of een IP-adres. Als de verbinding tot stand is gebracht, wordt informatie over de communicatie weergegeven, waaronder:

  • De latentie in milliseconden.
  • Het aantal verzonden testpakketten.
  • Het aantal hops in de volledige route naar de bestemming.

Als de verbinding mislukt, worden in het hulpprogramma details over de fout weergegeven. Mogelijk ziet u de volgende fouttypen:

  • CPU-: de verbinding is mislukt vanwege een hoog CPU-gebruik.
  • geheugen: de verbinding is mislukt vanwege een hoog geheugengebruik.
  • GuestFirewall: een firewall buiten Azure heeft de verbinding geblokkeerd.
  • DNSResolution-: Het doel-IP-adres kon niet worden omgezet.
  • NetworkSecurityRule-: een NSG heeft de verbinding geblokkeerd.
  • UserDefinedRoute: er is een onjuiste gebruikersroute in een routeringstabel.

Problemen met VPN oplossen

Network Watcher biedt de mogelijkheid om problemen met gateways en verbindingen op te lossen. De mogelijkheid kan worden aangeroepen via de portal, PowerShell, de Azure CLI of REST API. Wanneer deze wordt aangeroepen, diagnosticeert Network Watcher de status van de gateway of verbinding en retourneert deze de juiste resultaten. De aanvraag is een langlopende transactie. De voorlopige resultaten die worden geretourneerd, geven een algemeen beeld van de status van de resource.

In de volgende lijst worden de waarden beschreven die worden geretourneerd door de VPN-probleemoplossings-API aan te roepen:

  • startTime: het tijdstip waarop de probleemoplossing is gestart.
  • endTime: het tijdstip waarop de probleemoplossing is beëindigd.
  • code: Deze waarde is UnHealthy als er één diagnosefout is.
  • resultaten: een verzameling resultaten die worden geretourneerd op de verbinding of de gateway van het virtuele netwerk.
    • id: het fouttype.
    • samenvatting: een samenvatting van de fout.
    • gedetailleerde: Een gedetailleerde beschrijving van de fout.
    • recommendedActions: een verzameling aanbevolen acties die moeten worden uitgevoerd.
    • actionText: Tekst die beschrijft welke actie moet worden ondernomen.
    • actionUri: de URI voor documentatie waarin wordt beschreven welke actie moet worden ondernomen.
    • actionUriText: een korte beschrijving van de actietekst.