Rozwiązywanie problemów z siecią przy użyciu narzędzi do monitorowania i diagnostyki w usłudze Network Watcher

Ukończone

Usługa Azure Network Watcher zawiera kilka narzędzi, których można użyć do monitorowania sieci wirtualnych i maszyn wirtualnych. Aby efektywnie korzystać z usługi Network Watcher, należy poznać wszystkie dostępne opcje i przeznaczenie każdego narzędzia.

W firmie inżynieryjnej chcesz pomóc pracownikom wybrać odpowiednie narzędzie network watcher dla każdego zadania rozwiązywania problemów. Muszą oni znać wszystkie dostępne opcje i rodzaje problemów, które może rozwiązać każde z narzędzi.

Przyjrzyj się kategoriom narzędzi usługi Network Watcher, narzędziom w każdej kategorii i sposobom stosowania poszczególnych narzędzi na podstawie przykładowych przypadków użycia.

Co to jest usługa Network Watcher?

Network Watcher to usługa platformy Azure, która łączy narzędzia w centralnym miejscu, aby umożliwić diagnozowanie kondycji sieci platformy Azure. Narzędzia usługi Network Watcher są podzielone na trzy kategorie:

  • Narzędzia do monitorowania
  • Narzędzia diagnostyczne sieci
  • Narzędzia do rejestrowania ruchu

Dzięki narzędziom do monitorowania i diagnozowania problemów usługa Network Watcher udostępnia centrum do identyfikowania zakłóceń w sieci, skoków obciążenia procesora CPU, problemów z łącznością, przecieków pamięci i innych problemów, zanim wpłyną one na firmę.

Narzędzia do monitorowania w usłudze Network Watcher

Usługa Network Watcher udostępnia trzy narzędzia do monitorowania:

  • Topologia
  • Monitor połączeń
  • Network Performance Monitor

Przyjrzyjmy się każdemu z tych narzędzi.

Co to jest narzędzie Topologia?

Narzędzie Topologia generuje graficzną reprezentację sieci wirtualnej platformy Azure, jej zasobów, połączeń oraz wzajemnych relacji.

Załóżmy, że należy rozwiązać problem z siecią wirtualną utworzoną przez współpracowników. Jeśli nie brałeś udziału w procesie tworzenia sieci, możesz nie wiedzieć o wszystkich aspektach infrastruktury. Za pomocą narzędzia Topologia możesz zwizualizować i zrozumieć daną infrastrukturę przed rozpoczęciem rozwiązywania problemów.

Użyjesz witryny Azure Portal do wyświetlenia topologii sieci platformy Azure. W witrynie Azure Portal:

  1. Zaloguj się do witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Network Watcher.

  2. W menu Network Watcher w obszarze Monitorowanie wybierz pozycję Topologia.

  3. Wybierz subskrypcję, grupę zasobów sieci wirtualnej, a następnie samą sieć wirtualną.

    Uwaga

    Aby wygenerować topologię, musisz mieć wystąpienie usługi Network Watcher w tym samym regionie geograficznym co sieć wirtualna.

    Oto przykład topologii wygenerowanej dla sieci wirtualnej o nazwie MyVNet.

    A diagram that shows a virtual network topology as shown in Network Watcher.

Co to jest narzędzie Monitor połączeń?

Narzędzie Monitor połączeń umożliwia sprawdzanie działania połączeń między zasobami platformy Azure. Użyj tego narzędzia, aby sprawdzić, czy dwie maszyny wirtualne mogą komunikować się, jeśli chcesz.

To narzędzie mierzy również opóźnienie między zasobami. Może przechwytywać zmiany, które będą miały wpływ na łączność, takie jak zmiany w konfiguracji sieci lub zmiany w regułach sieciowej grupy zabezpieczeń. Może ono sondować maszyny wirtualne w regularnych odstępach czasu, aby szukać błędów lub zmian.

Po wystąpieniu problemu narzędzie Monitor połączeń informuje o tym, dlaczego on wystąpił i jak go rozwiązać. Oprócz monitorowania maszyn wirtualnych narzędzie Monitor połączeń może też sprawdzać adresy IP lub w pełni kwalifikowane nazwy domeny (FQDN).

Co to jest narzędzie Network Performance Monitor?

Narzędzie monitor wydajności sieci umożliwia śledzenie i zgłaszanie alertów dotyczących opóźnień i spadków pakietów w czasie. Zapewnia scentralizowany wgląd w sieć.

Jeśli zdecydujesz się monitorować połączenia hybrydowe przy użyciu monitor wydajności sieciowych, sprawdź, czy skojarzony obszar roboczy znajduje się w obsługiwanym regionie.

Narzędzia Network Performance Monitor można używać do monitorowania łączności między punktami końcowymi:

  • Między gałęziami i centrami danych
  • Między sieciami wirtualnymi
  • W przypadku połączeń między środowiskiem lokalnym a chmurą
  • W przypadku obwodów usługi Azure ExpressRoute

Narzędzia diagnostyczne usługi Network Watcher

Usługa Network Watcher obejmuje następujące narzędzia diagnostyczne:

  • Weryfikacja przepływu adresów IP
  • Diagnostyka sieciowej grupy zabezpieczeń
  • Narzędzie Następny przeskok
  • Obowiązujące reguły zabezpieczeń
  • Przechwytywanie pakietów
  • Rozwiązywanie problemów z połączeniami
  • Rozwiązywanie problemów z siecią VPN

Przyjrzyjmy się poszczególnym narzędziom i zobaczmy, jak mogą one pomóc w rozwiązywaniu problemów.

Co to jest narzędzie Weryfikacja przepływu dla adresu IP?

Narzędzie do sprawdzania przepływu adresów IP informuje o tym, czy pakiety są dozwolone, czy blokowane dla określonej maszyny wirtualnej. Jeśli sieciowa grupa zabezpieczeń odrzuca pakiet, narzędzie informuje o nazwie tej grupy, aby można było rozwiązać problem.

To narzędzie stosuje mechanizm weryfikacji oparty na parametrach pakietów 5-tuple w celu wykrywania, czy pakiety przychodzące lub wychodzące są dozwolone lub blokowane dla maszyny wirtualnej. W tym narzędziu użytkownik określa port lokalny i zdalny, protokół (TCP lub UDP), lokalny adres IP, zdalny adres IP, maszynę wirtualną i kartę sieciową maszyny wirtualnej.

Co to jest narzędzie diagnostyczne sieciowej grupy zabezpieczeń?

Narzędzie diagnostyki sieciowej grupy zabezpieczeń zawiera szczegółowe informacje ułatwiające zrozumienie i debugowanie konfiguracji zabezpieczeń sieci.

W przypadku danej pary źródłowej docelowej narzędzie wyświetla sieciowe grupy zabezpieczeń, które zostaną przejeżdone, reguły, które zostaną zastosowane w każdej sieciowej grupie zabezpieczeń oraz ostateczny stan zezwolenia/odmowy dla przepływu. Zrozumienie, które przepływy ruchu będą dozwolone lub blokowane w usłudze Azure Virtual Network, można określić, czy reguły sieciowej grupy zabezpieczeń są poprawnie skonfigurowane.

Co to jest narzędzie Następny przeskok?

Gdy maszyna wirtualna wysyła pakiet do miejsca docelowego, może to obejmować wiele przeskoków. Jeśli na przykład miejscem docelowym jest maszyna wirtualna w innej sieci wirtualnej, następnym przeskokiem może być brama sieci wirtualnej, która kieruje pakiet do docelowej maszyny wirtualnej.

Za pomocą narzędzia Następny przeskok można określić, w jaki sposób pakiet dociera z maszyny wirtualnej do dowolnego miejsca docelowego. Ty określasz źródłową maszynę wirtualną, źródłową kartę sieciową, źródłowy adres IP i docelowy adres IP. Następnie narzędzie określa trasę pakietu. Za pomocą tego narzędzia można też diagnozować problemy powodowane przez nieprawidłowe tabele routingu.

Co to jest narzędzie obowiązujących reguł zabezpieczeń?

Narzędzie obowiązujących reguł zabezpieczeń w usłudze Network Watcher wyświetla wszystkie obowiązujące reguły sieciowej grupy zabezpieczeń stosowane do interfejsu sieciowego.

Sieciowe grupy zabezpieczeń są używane w sieciach platformy Azure do filtrowania pakietów na podstawie ich źródłowego i docelowego adresu IP oraz numerów portów. Sieciowe grupy zabezpieczeń mają kluczowe znaczenie dla zabezpieczeń, ponieważ ułatwiają dokładną kontrolę nad obszarem powierzchni maszyn wirtualnych, do których użytkownicy mogą uzyskiwać dostęp. Należy pamiętać, że błędnie skonfigurowana reguła sieciowej grupy zabezpieczeń może uniemożliwić prawidłową komunikację. W związku z tym sieciowe grupy zabezpieczeń są częstym źródłem problemów z siecią.

Jeśli na przykład dwie maszyny wirtualne nie mogą komunikować się z powodu blokowania ich przez regułę sieciowej grupy zabezpieczeń, zdiagnozowanie reguły powodującej problem może być trudne. Użyjesz narzędzia obowiązujących reguł zabezpieczeń w usłudze Network Watcher, aby wyświetlić wszystkie obowiązujące reguły sieciowej grupy zabezpieczeń i ułatwić zdiagnozowanie, która reguła powoduje konkretny problem.

Aby użyć tego narzędzia, wybierz maszynę wirtualną i jej kartę sieciową. Narzędzie wyświetli wszystkie reguły sieciowej grupy zabezpieczeń, które dotyczą tej karty. Przeglądając tę listę, można łatwo ustalić blokującą regułę.

To narzędzie pozwala też wykrywać luki w zabezpieczeniach maszyny wirtualnej spowodowane przez niepotrzebnie otwarte porty.

Co to jest narzędzie Przechwytywanie pakietów?

Narzędzie przechwytywania pakietów rejestruje wszystkie pakiety wysyłane do i z maszyny wirtualnej. Po włączeniu można przejrzeć przechwytywanie, aby zebrać statystyki dotyczące ruchu sieciowego lub zdiagnozować anomalie, takie jak nieoczekiwany ruch sieciowy w prywatnej sieci wirtualnej.

Narzędzie przechwytywania pakietów to rozszerzenie maszyny wirtualnej uruchomione zdalnie za pośrednictwem usługi Network Watcher. Jest uruchamiany automatycznie po uruchomieniu sesji przechwytywania pakietów.

Należy pamiętać, że istnieje limit liczby dozwolonych sesji przechwytywania pakietów na region. Domyślny limit użycia to 100 sesji przechwytywania pakietów na region, a ogólny limit wynosi 10 000. Te limity dotyczą tylko liczby sesji, a nie zapisywanych przechwyconych elementów. Przechwycone pakiety możesz zapisywać w usłudze Azure Storage lub lokalnie na komputerze.

Przechwytywanie pakietów jest zależne od rozszerzenia agenta usługi Network Watcher dla maszyny wirtualnej zainstalowanego na maszynie wirtualnej. Aby uzyskać linki do instrukcji szczegółowo instalowania rozszerzenia na maszynach wirtualnych z systemem Windows i Linux, zobacz sekcję "Dowiedz się więcej" na końcu tego modułu.

Co to jest narzędzie Rozwiązywanie problemów z połączeniami?

Za pomocą narzędzia Rozwiązywanie problemów z połączeniami można sprawdzać łączność TCP między źródłową i docelową maszyną wirtualną. Docelową maszynę wirtualną można określić przy użyciu nazwy FQDN, identyfikatora URI lub adresu IP.

Jeśli połączenie zakończy się pomyślnie, pojawią się informacje o komunikacji, w tym:

  • Opóźnienie w milisekundach.
  • Liczba wysłanych pakietów sondowania.
  • Liczba przeskoków na pełnej trasie do miejsca docelowego.

Jeśli połączenie nie powiedzie się, zobaczysz szczegóły błędu. Typy błędów obejmują:

  • CPU (procesor CPU). Połączenie nie powiodło się z powodu dużego użycia procesora CPU.
  • Memory (pamięć). Połączenie nie powiodło się z powodu dużego użycia pamięci.
  • GuestFirewall (zapora sieciowa gościa). Połączenie zostało zablokowane przez zaporę poza platformą Azure.
  • DNSResolution (rozpoznawanie DNS). Nie można rozpoznać docelowego adresu IP.
  • NetworkSecurityRule (reguła zabezpieczeń sieci). Połączenie zostało zablokowane przez sieciową grupę zabezpieczeń.
  • UserDefinedRoute (trasa zdefiniowana przez użytkownika). W tabeli routingu występuje niepoprawna trasa użytkownika.

Co to jest narzędzie Rozwiązywanie problemów z siecią VPN?

Za pomocą narzędzia Rozwiązywanie problemów z siecią VPN można diagnozować problemy z połączeniami bramy sieci wirtualnej. To narzędzie uruchamia diagnostykę połączenia z bramą sieci wirtualnej i zwraca diagnostykę kondycji.

Po uruchomieniu narzędzia do rozwiązywania problemów z siecią VPN usługa Network Watcher diagnozuje kondycję bramy lub połączenia i zwraca odpowiednie wyniki. To żądanie jest długotrwałą transakcją.

W tabeli poniżej przedstawiono przykłady różnych typów błędów.

Typ błędu Przyczyna Dziennik
NoFault (brak błędów) Nie wykryto żadnego błędu. Tak
GatewayNotFound (nie znaleziono bramy) Nie można znaleźć bramy lub nie została ona zaaprowizowana. Nie.
PlannedMaintenance Wystąpienie bramy jest w trakcie konserwacji. Nie.
UserDrivenUpdate (aktualizacja sterowana przez użytkownika) Aktualizacja użytkownika jest w toku. Aktualizacja może być operacją zmiany rozmiaru. Nie.
VipUnResponsive (wirtualny adres IP nie odpowiada) Nie można połączyć się z podstawowym wystąpieniem bramy z powodu błędu sondy kondycji. Nie.
PlatformInActive (nieaktywna platforma) Wystąpił problem z platformą. Nie.

Narzędzia do rejestrowania ruchu

Usługa Network Watcher obejmuje dwa następujące narzędzia ruchu:

  • Dzienniki przepływu
  • Analiza ruchu

Co to jest narzędzie dzienników przepływu?

Dzienniki przepływu umożliwiają rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dzienniki usługi Flow przechowują dane w usłudze Azure Storage. Dane przepływu są wysyłane do usługi Azure Storage, z której można uzyskiwać do niego dostęp i eksportować je do dowolnego narzędzia do wizualizacji, rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) lub wybranego systemu wykrywania włamań (IDS). Te dane umożliwiają analizowanie wzorców ruchu i rozwiązywanie problemów z łącznością.

Przypadki użycia dzienników przepływu można podzielić na dwa typy. Monitorowanie sieci i monitorowanie i optymalizacja użycia.

Monitorowanie sieci

  • Zidentyfikuj nieznany lub niepożądany ruch.
  • Monitorowanie poziomów ruchu i zużycia przepustowości.
  • Filtruj dzienniki przepływu według adresu IP i portu, aby zrozumieć zachowanie aplikacji.
  • Wyeksportuj dzienniki przepływu do narzędzi do analizy i wizualizacji, aby skonfigurować pulpity nawigacyjne monitorowania.

Monitorowanie i optymalizacja użycia

  • Zidentyfikuj najważniejszych rozmówców w sieci.
  • Połącz z danymi GeoIP, aby zidentyfikować ruch między regionami.
  • Omówienie wzrostu ruchu na potrzeby prognozowania pojemności.
  • Użyj danych, aby usunąć zbyt restrykcyjne reguły ruchu.

Co to jest narzędzie do analizy ruchu?

Analiza ruchu to rozwiązanie oparte na chmurze, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. W szczególności analiza ruchu analizuje dzienniki przepływu sieciowej grupy zabezpieczeń usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

  • Wizualizowanie działań sieciowych w ramach subskrypcji platformy Azure.
  • Zidentyfikuj punkty aktywne.
  • Zabezpieczanie sieci przy użyciu informacji w celu zidentyfikowania zagrożeń.
  • Zoptymalizuj wdrożenie sieci pod kątem wydajności i pojemności, rozumiejąc wzorce przepływu ruchu między regionami platformy Azure i Internetem.
  • Wskazuje błędy konfiguracji sieci, które mogą prowadzić do niepowodzenia połączeń w sieci.

Scenariusze przypadków użycia usługi Azure Network Watcher

Przyjrzyjmy się kilku scenariuszom, w których można rozwiązywać problemy, korzystając z monitorowania i diagnostyki w usłudze Azure Network Watcher.

Występują problemy z łącznością w sieci z jedną maszyną wirtualną

Twoi współpracownicy wdrożyli maszynę wirtualną na platformie Azure i mają problemy z łącznością sieciową. Współpracownicy próbują łączyć się z maszyną wirtualną za pomocą protokołu Remote Desktop Protocol (RDP), ale nie mogą nawiązać połączenia.

Aby rozwiązać ten problem, użyj narzędzia Weryfikacja przepływu dla adresu IP. To narzędzie umożliwia określenie portu lokalnego i zdalnego, protokołu (TCP/UDP) oraz lokalnego i zdalnego adresu IP, aby sprawdzić stan połączenia. Pozwala ono też określić kierunek połączenia (ruch przychodzący lub wychodzący). Narzędzie Weryfikacja przepływu dla adresu IP uruchamia test logiczny reguł obowiązujących w sieci.

W tym przypadku użyj narzędzia Weryfikacja przepływu dla adresu IP, określając adres IP maszyny wirtualnej i port RDP 3389. Następnie określ adres IP i port zdalnej maszyny wirtualnej. Wybierz protokół TCP, a następnie wybierz pozycję Sprawdź.

Załóżmy, że wynik wskazuje odmowę dostępu z powodu reguły sieciowej grupy zabezpieczeń DefaultInboundDenyAll. Rozwiązaniem jest zmiana reguły sieciowej grupy zabezpieczeń.

Połączenie sieci VPN nie działa

Twoi współpracownicy wdrożyli maszyny wirtualne w dwóch sieciach wirtualnych i nie mogą nawiązywać połączenia między nimi.

Aby rozwiązać problem z połączeniem sieci VPN, użyj narzędzia Rozwiązywanie problemów z siecią VPN na platformie Azure. To narzędzie uruchamia diagnostykę połączenia bramy sieci wirtualnej i zwraca diagnostykę kondycji. To narzędzie można uruchomić za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Po uruchomieniu narzędzie sprawdza bramę pod kątem typowych problemów i zwraca diagnostykę kondycji. Możesz też wyświetlić plik dziennika, aby uzyskać więcej informacji. Diagnostyka pokaże, czy połączenie sieci VPN działa. Jeśli połączenie sieci VPN nie działa, narzędzie do rozwiązywania problemów z siecią VPN zaproponuje metody rozwiązania problemu.

Załóżmy, że diagnostyka wykazała niezgodność kluczy. Aby rozwiązać ten problem, skonfiguruj ponownie bramę zdalną, upewniając się, że klucze są zgodne po obu stronach. W kluczach wstępnych jest uwzględniana wielkość liter.

Żaden serwer nie nasłuchuje na wyznaczonych portach docelowych

Twoi współpracownicy wdrożyli maszyny wirtualne w jednej sieci wirtualnej i nie mogą nawiązywać połączeń między nimi.

Aby rozwiązać ten problem, użyj narzędzia Rozwiązywanie problemów z połączeniami. W tym narzędziu należy określić lokalne i zdalne maszyny wirtualne. W ustawieniu sondy można wybrać konkretny port.

Załóżmy, że wyniki pokazują, że serwer zdalny jest niemożliwy do osiągnięcia, wraz z komunikatem "Ruch zablokowany z powodu konfiguracji zapory maszyny wirtualnej". Na serwerze zdalnym wyłącz zaporę, a następnie ponownie przetestuj połączenie.

Załóżmy, że serwer jest teraz osiągalny. Ten wynik wskazuje, że reguły zapory na serwerze zdalnym są problemem i muszą zostać skorygowane, aby zezwolić na połączenie.

1.

Aby przechwytywać ruch na maszynie wirtualnej, usługa Azure Network Watcher wymaga następujących elementów:

2.

Których funkcji usługi Azure Network Watcher można użyć do rozwiązywania problemów z opóźnieniami w sieci?