Jak działa usługa Azure Network Watcher

  • 5 min

Usługa Network Watcher staje się automatycznie dostępna podczas tworzenia sieci wirtualnej w regionie świadczenia usługi Azure w ramach subskrypcji. Dostęp do usługi Network Watcher można uzyskać bezpośrednio w portalu Azure, wpisując Network Watcher w pasku wyszukiwania.

Zrzut ekranu przedstawiający sposób wyszukiwania usługi Network Watcher w witrynie Azure Portal.

Narzędzie topologii Network Watcher

Funkcja topologii usługi Azure Network Watcher umożliwia wyświetlanie wszystkich następujących zasobów w sieci wirtualnej. W tym zasoby skojarzone z zasobami w sieci wirtualnej i relacje między zasobami.

  • Podsieci
  • Interfejsy sieciowe
  • Sieciowe grupy zabezpieczeń
  • Moduł równoważenia obciążenia
  • Sondy kondycji modułu równoważenia obciążenia
  • Publiczne adresy IP
  • Peering sieci wirtualnych
  • Bramy sieci wirtualnej
  • Połączenia bram VPN
  • Maszyny wirtualne
  • Zestawy skalowania maszyn wirtualnych

Wszystkie zasoby zwrócone w topologii mają następujące właściwości:

  • Nazwa: nazwa zasobu.
  • Id: URI zasobu.
  • lokalizacja: region świadczenia usługi Azure, w którym znajduje się zasób.
  • Skojarzenia: lista skojarzeń z obiektem, do którego się odnosi. Każde skojarzenie ma następujące właściwości:
    • AssociationType: odwołuje się do relacji między obiektem podrzędnym a obiektem nadrzędnym. Prawidłowe wartości to Contains i Associated.
    • Nazwa: nazwa przywoływnego zasobu.
    • ResourceId: URI zasobu, do którego odwołuje się skojarzenie.

Narzędzie do monitorowania połączeń

Monitor połączeń zapewnia ujednolicone, kompleksowe monitorowanie połączeń w usłudze Azure Network Watcher. Monitor połączeń obsługuje wdrożenia hybrydowe i wdrożenia w chmurze platformy Azure. Możesz użyć narzędzia Monitor połączeń, aby zmierzyć opóźnienie między zasobami. Monitor połączeń może wykrywać zmiany wpływające na łączność, takie jak zmiany konfiguracji sieci lub modyfikacje reguł grupy zabezpieczeń sieciowych (NSG). Monitor połączeń można skonfigurować do sondowania maszyn wirtualnych w regularnych odstępach czasu, aby wyszukać błędy lub zmiany. Monitor połączeń może zdiagnozować problemy i podać wyjaśnienia dotyczące przyczyny wystąpienia problemu oraz czynności, które można wykonać, aby rozwiązać problem.

Diagram przedstawiający sposób interakcji monitora połączeń z usługą Azure Virtual Machines, hostami spoza platformy Azure, punktami końcowymi i lokalizacjami przechowywania danych.

Aby użyć monitora połączeń do monitorowania, należy zainstalować agentów monitorowania na monitorujących hostach. Monitor połączeń używa lekkich plików wykonywalnych do przeprowadzania kontroli łączności, czy hosta znajduje się w sieci wirtualnej platformy Azure, czy w sieci lokalnej. Za pomocą maszyn wirtualnych platformy Azure możesz zainstalować maszynę wirtualną agenta usługi Network Watcher, znaną również jako rozszerzenie usługi Network Watcher. W przypadku komputerów lokalnych można włączyć tę funkcję, instalując agenta usługi Log Analytics.

Weryfikacja przepływu danych IP

Narzędzie weryfikacji przepływu IP używa mechanizmu weryfikacji opartego na 5-krotce parametrów pakietu w celu sprawdzania, czy pakiety przychodzące lub wychodzące są dopuszczalne lub odrzucane z maszyny wirtualnej. W narzędziu można określić port lokalny i zdalny, protokół (TCP lub UDP), lokalny adres IP, zdalny adres IP, maszynę wirtualną i kartę sieciową maszyny wirtualnej.

Następny skok

Ruch sieciowy z maszyny wirtualnej IaaS jest wysyłany do miejsca docelowego na podstawie efektywnych tras skojarzonych z interfejsem sieciowym (NIC). Kolejny skok określa typ następnego skoku oraz adres IP pakietu z określonej maszyny wirtualnej (VM) i interfejsu sieciowego (NIC). Znajomość następnego przeskoku pomaga określić, czy ruch jest kierowany do zamierzonego miejsca docelowego, czy ruch jest wysyłany donikąd. Niewłaściwa konfiguracja tras, w których ruch jest kierowany do lokalizacji lokalnej lub do urządzenia wirtualnego, może prowadzić do problemów z łącznością. Następny przeskok zwraca również tabelę tras skojarzoną z następnym przeskokiem. Jeśli trasa jest zdefiniowana jako trasa zdefiniowana przez użytkownika, ta trasa jest zwracana. W przeciwnym razie następny przeskok zwraca System Route.

Obowiązujące reguły zabezpieczeń

Sieciowe grupy zabezpieczeń filtrują pakiety na podstawie ich źródłowego i docelowego adresu IP oraz numerów portów. Więcej niż jedna sieciowa grupa zabezpieczeń może mieć zastosowanie do zasobu IaaS w sieci wirtualnej platformy Azure. Uwzględniając wszystkie reguły stosowane we wszystkich NSG dla zasobu, narzędzie Efektywne Reguły Zabezpieczeń umożliwia określenie, dlaczego dany ruch może zostać dozwolony lub odrzucony.

Przechwytywanie pakietów

Przechwytywanie pakietów to rozszerzenie maszyny wirtualnej, które jest zdalnie uruchamiane za pośrednictwem usługi Network Watcher. Ta funkcja ułatwia ręczne uruchamianie przechwytywania pakietów na określonej maszynie wirtualnej przy użyciu narzędzi systemu operacyjnego lub narzędzi innych firm. Przechwytywanie pakietów można wyzwolić za pośrednictwem portalu, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Usługa Network Watcher umożliwia skonfigurowanie filtrów dla sesji przechwytywania w celu zapewnienia przechwycenia ruchu, który chcesz monitorować. Filtry są oparte na pięciokrotce (protokół, lokalny adres IP, zdalny adres IP, port lokalny i port zdalny). Przechwycone dane są przechowywane na dysku lokalnym lub w blobie magazynowym.

Rozwiązywanie problemów z połączeniem

Narzędzie do rozwiązywania problemów z połączeniem sprawdza łączność TCP między źródłową i docelową maszyną wirtualną. Docelową maszynę wirtualną można określić przy użyciu nazwy FQDN, identyfikatora URI lub adresu IP. Jeśli połączenie zakończy się pomyślnie, pojawią się informacje o komunikacji, w tym:

  • Opóźnienie w milisekundach.
  • Liczba wysłanych pakietów sondy.
  • Liczba przeskoków w pełnej trasie do miejsca docelowego.

Jeśli połączenie nie powiedzie się, narzędzie wyświetli szczegółowe informacje o błędzie. Mogą pojawić się następujące typy błędów:

  • CPU: Połączenie nie powiodło się z powodu wysokiego wykorzystania CPU.
  • pamięci: połączenie nie powiodło się z powodu dużego obciążenia pamięci.
  • GuestFirewall: zapora poza platformą Azure zablokowała połączenie.
  • DNSResolution: Nie można było rozpoznać docelowego adresu IP.
  • NetworkSecurityRule: Grupa zabezpieczeń sieciowych zablokowała połączenie.
  • UserDefinedRoute: w tabeli routingu znajduje się nieprawidłowa trasa użytkownika.

Rozwiązywanie problemów z siecią VPN

Usługa Network Watcher umożliwia rozwiązywanie problemów z bramami i połączeniami. Możliwość można wywołać za pośrednictwem portalu, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Po wywołaniu usługa Network Watcher diagnozuje kondycję bramy lub połączenia, a następnie zwraca odpowiednie wyniki. Żądanie jest długotrwałą transakcją. Zwrócone wstępne wyniki dają ogólny obraz kondycji zasobu.

Poniższa lista zawiera opis wartości zwracanych przez wywołanie interfejsu API rozwiązywania problemów z siecią VPN:

  • startTime: czas rozpoczęcia rozwiązywania problemów.
  • endTime: czas, kiedy zakończono rozwiązywanie problemów.
  • kod: ta wartość jest UnHealthy w przypadku wystąpienia pojedynczego niepowodzenia diagnostycznego.
  • wyniki: zbiór wyników zwracanych przez połączenie lub bramę sieci wirtualnej.
    • identyfikator: typ błędu.
    • podsumowanie: podsumowanie błędu.
    • szczegółowo: szczegółowy opis błędu.
    • zalecaneDziałania: zbiór zalecanych działań do podjęcia.
    • actionText: tekst opisujący akcję do wykonania.
    • actionUri: URI dokumentacji opisujący, co należy zrobić.
    • actionUriText: krótki opis tekstu akcji.