Jak działa usługa Azure Network Watcher

  • 5 min

Usługa Network Watcher staje się automatycznie dostępna podczas tworzenia sieci wirtualnej w regionie świadczenia usługi Azure w ramach subskrypcji. Dostęp do usługi Network Watcher można uzyskać bezpośrednio w witrynie Azure Portal, wpisując ciąg Network Watcher na pasku wyszukiwania .

Screenshot that shows how to search for Network Watcher in the Azure portal.

Narzędzie topologii usługi Network Watcher

Funkcja topologii usługi Azure Network Watcher umożliwia wyświetlanie wszystkich następujących zasobów w sieci wirtualnej. W tym zasoby skojarzone z zasobami w sieci wirtualnej i relacje między zasobami.

  • Podsieci
  • Interfejsy sieciowe
  • Sieciowe grupy zabezpieczeń
  • Moduł równoważenia obciążenia
  • Sondy kondycji modułu równoważenia obciążenia
  • Publiczne adresy IP
  • Komunikacja równorzędna sieci wirtualnej
  • Bramy sieci wirtualnej
  • Połączenia bramy sieci VPN
  • Maszyny wirtualne
  • Virtual Machine Scale Sets

Wszystkie zasoby zwrócone w topologii mają następujące właściwości:

  • Nazwa: nazwa zasobu.
  • Identyfikator: identyfikator URI zasobu.
  • Lokalizacja: region świadczenia usługi Azure, w którym znajduje się zasób.
  • Skojarzenia: lista skojarzeń z obiektem, do których odwołuje się odwołanie. Każde skojarzenie ma następujące właściwości:
    • AssociationType: odwołuje się do relacji między obiektem podrzędnym a elementem nadrzędnym. Prawidłowe wartości to Contains i Associated.
    • Nazwa: nazwa przywołynego zasobu.
    • ResourceId: identyfikator URI zasobu, do których odwołuje się skojarzenie.

narzędzie monitora Połączenie ion

Monitor połączenia zapewnia ujednolicone funkcje monitorowania połączeń w usłudze Azure Network Watcher. Monitor Połączenie ion obsługuje wdrożenia hybrydowe i w chmurze platformy Azure. Za pomocą narzędzia monitora Połączenie ion można zmierzyć opóźnienie między zasobami. Połączenie ion Monitor może wykrywać zmiany wpływające na łączność, takie jak zmiany konfiguracji sieci lub modyfikacje reguł sieciowej grupy zabezpieczeń. Monitor Połączenie ion można skonfigurować do sondowania maszyn wirtualnych w regularnych odstępach czasu w celu wyszukiwania błędów lub zmian. Połączenie ion Monitor może zdiagnozować problemy i podać wyjaśnienia dotyczące przyczyny wystąpienia problemu oraz czynności, które można wykonać, aby rozwiązać problem.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Aby użyć monitora Połączenie ion do monitorowania, należy zainstalować agentów monitorowania na monitorujących hostach. monitor Połączenie ion używa lekkich plików wykonywalnych do przeprowadzania kontroli łączności, czy hosta znajduje się w sieci wirtualnej platformy Azure, czy w sieci lokalnej. Za pomocą maszyn wirtualnych platformy Azure możesz zainstalować maszynę wirtualną agenta usługi Network Watcher, znaną również jako rozszerzenie usługi Network Watcher. W przypadku komputerów lokalnych można włączyć tę funkcję, instalując agenta usługi Log Analytics.

Weryfikacja przepływu adresów IP

Narzędzie weryfikacji przepływu adresów IP używa mechanizmu weryfikacji opartego na parametrach pakietu 5 krotki w celu wykrywania, czy pakiety przychodzące lub wychodzące są dozwolone lub odrzucane z maszyny wirtualnej. W narzędziu można określić port lokalny i zdalny, protokół (TCP lub UDP), lokalny adres IP, zdalny adres IP, maszynę wirtualną i kartę sieciową maszyny wirtualnej.

Narzędzie Następny przeskok

Ruch z maszyny wirtualnej IaaS jest wysyłany do miejsca docelowego na podstawie obowiązujących tras skojarzonych z interfejsem sieciowym (NIC). Następny przeskok pobiera typ następnego przeskoku i adres IP pakietu z określonej maszyny wirtualnej i karty sieciowej. Znajomość następnego przeskoku pomaga określić, czy ruch jest kierowany do zamierzonego miejsca docelowego, czy też ruch jest wysyłany nigdzie. Niewłaściwa konfiguracja tras, w których ruch jest kierowany do lokalizacji lokalnej lub do urządzenia wirtualnego, może prowadzić do problemów z łącznością. Następny przeskok zwraca również tabelę tras skojarzona z następnym przeskokiem. Jeśli trasa jest zdefiniowana jako trasa zdefiniowana przez użytkownika, ta trasa jest zwracana. W przeciwnym razie następny przeskok zwraca wartość System Route.

Obowiązujące reguły zabezpieczeń

Sieciowe grupy zabezpieczeń filtrują pakiety na podstawie ich źródłowego i docelowego adresu IP oraz numerów portów. Więcej niż jedna sieciowa grupa zabezpieczeń może mieć zastosowanie do zasobu IaaS w sieci wirtualnej platformy Azure. Biorąc pod uwagę wszystkie reguły stosowane we wszystkich sieciowych grupach zabezpieczeń dla zasobu, narzędzie Obowiązujące reguły zabezpieczeń umożliwia określenie, dlaczego jakiś ruch może zostać odrzucony lub dozwolony.

Przechwytywanie pakietów

Przechwytywanie pakietów to rozszerzenie maszyny wirtualnej, które jest zdalnie uruchamiane za pośrednictwem usługi Network Watcher. Ta funkcja ułatwia ręczne uruchamianie przechwytywania pakietów na określonej maszynie wirtualnej przy użyciu narzędzi systemu operacyjnego lub narzędzi innych firm. Przechwytywanie pakietów można wyzwolić za pośrednictwem portalu, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Usługa Network Watcher umożliwia skonfigurowanie filtrów dla sesji przechwytywania w celu zapewnienia przechwycenia ruchu, który chcesz monitorować. Filtry są oparte na 5 krotkach (protokół, lokalny adres IP, zdalny adres IP, port lokalny i port zdalny) informacje. Przechwycone dane są przechowywane na dysku lokalnym lub w obiekcie blob magazynu.

Rozwiązywanie problemów z połączeniami

Narzędzie do rozwiązywania problemów z połączeniem sprawdza łączność TCP między źródłową i docelową maszyną wirtualną. Docelową maszynę wirtualną można określić przy użyciu nazwy FQDN, identyfikatora URI lub adresu IP. Jeśli połączenie zakończy się pomyślnie, pojawią się informacje o komunikacji, w tym:

  • Opóźnienie w milisekundach.
  • Liczba wysłanych pakietów sondowania.
  • Liczba przeskoków na pełnej trasie do miejsca docelowego.

Jeśli połączenie nie powiedzie się, narzędzie wyświetli szczegółowe informacje o błędzie. Mogą pojawić się następujące typy błędów:

  • Procesor CPU: Połączenie nie powiodło się z powodu wysokiego wykorzystania procesora CPU.
  • Pamięć: połączenie nie powiodło się z powodu wysokiego wykorzystania pamięci.
  • GuestFirewall: Zapora poza platformą Azure zablokowała połączenie.
  • DNSResolution: nie można rozpoznać docelowego adresu IP.
  • NetworkSecurityRule: sieciowa grupa zabezpieczeń zablokowała połączenie.
  • UserDefinedRoute: w tabeli routingu znajduje się nieprawidłowa trasa użytkownika.

Rozwiązywanie problemów z siecią VPN

Usługa Network Watcher umożliwia rozwiązywanie problemów z bramami i połączeniami. Możliwość można wywołać za pośrednictwem portalu, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Po wywołaniu usługa Network Watcher diagnozuje kondycję bramy lub połączenia, a następnie zwraca odpowiednie wyniki. To żądanie jest długotrwałą transakcją. Zwrócone wstępne wyniki dają ogólny obraz kondycji zasobu.

Poniższa lista zawiera opis wartości zwracanych przez wywołanie interfejsu API rozwiązywania problemów z siecią VPN:

  • startTime: czas rozpoczęcia rozwiązywania problemów.
  • endTime: godzina zakończenia rozwiązywania problemów.
  • code: Ta wartość jest UnHealthy taka, jeśli występuje pojedynczy błąd diagnostyki.
  • wyniki: kolekcja wyników zwróconych w połączeniu lub bramie sieci wirtualnej.
    • id: typ błędu.
    • podsumowanie: podsumowanie błędu.
    • szczegółowe: szczegółowy opis błędu.
    • recommendedActions: kolekcja zalecanych akcji do wykonania.
    • actionText: tekst opisujący akcję do wykonania.
    • actionUri: identyfikator URI dokumentacji opisujący akcję do wykonania.
    • actionUriText: krótki opis tekstu akcji.