Rozwiązywanie problemów z siecią przy użyciu narzędzi do monitorowania i diagnostyki usługi Network Watcher
Usługa Azure Network Watcher zawiera kilka narzędzi, których można użyć do monitorowania sieci wirtualnych i maszyn wirtualnych. Aby efektywnie korzystać z usługi Network Watcher, ważne jest, aby zrozumieć wszystkie dostępne opcje i przeznaczenie każdego narzędzia.
W firmie inżynieryjnej chcesz pomóc pracownikom wybrać odpowiednie narzędzie network watcher dla każdego zadania rozwiązywania problemów. Muszą zrozumieć wszystkie dostępne opcje i rodzaje problemów, które mogą rozwiązać poszczególne narzędzia.
W tym miejscu przyjrzysz się kategoriom narzędzi usługi Network Watcher, narzędziom w każdej kategorii i sposobom stosowania poszczególnych narzędzi w przykładowych przypadkach użycia.
Co to jest usługa Network Watcher?
Network Watcher to usługa platformy Azure, która łączy narzędzia w centralnym miejscu do diagnozowania kondycji sieci platformy Azure. Narzędzia usługi Network Watcher są podzielone na trzy kategorie:
- Narzędzia do monitorowania
- Narzędzia diagnostyczne sieci
- Narzędzia do rejestrowania ruchu
Dzięki narzędziom do monitorowania i diagnozowania problemów usługa Network Watcher zapewnia scentralizowane centrum do identyfikowania awarii sieci, skoków procesora CPU, problemów z łącznością, przecieków pamięci i innych problemów, zanim wpłyną one na Twoją firmę.
Narzędzia do monitorowania usługi Network Watcher
Usługa Network Watcher udostępnia trzy narzędzia do monitorowania:
- Topologia
- Monitor połączeń
- Monitor wydajności sieci
Przyjrzyjmy się każdemu z tych narzędzi.
Co to jest narzędzie topologii?
Narzędzie topologii generuje graficzny obraz sieci wirtualnej platformy Azure, jej zasobów, połączeń i relacji ze sobą.
Załóżmy, że musisz rozwiązać problemy z siecią wirtualną utworzoną przez współpracowników. Jeśli nie brałeś udziału w procesie tworzenia sieci, możesz nie wiedzieć o wszystkich aspektach infrastruktury. Narzędzie topologii umożliwia wizualizowanie i zrozumienie infrastruktury, z którą masz do czynienia przed rozpoczęciem rozwiązywania problemów.
W witrynie Azure Portal można wyświetlić topologię sieci platformy Azure. W witrynie Azure Portal:
Zaloguj się do portalu Azurei następnie wyszukaj oraz wybierz Network Watcher.
W menu Network Watcher, w sekcji Monitorowanie, wybierz opcję Topologia.
Wybierz subskrypcję, grupę zasobów sieci wirtualnej, a następnie samą sieć wirtualną.
Notatka
Aby wygenerować topologię, musisz mieć wystąpienie usługi Network Watcher w tym samym regionie geograficznym co sieć wirtualna.
Oto przykład topologii wygenerowanej dla sieci wirtualnej o nazwie MyVNet.
Co to jest narzędzie Monitor połączeń?
Narzędzie Monitor połączeń umożliwia sprawdzenie, czy połączenia działają między zasobami platformy Azure. Użyj tego narzędzia, aby sprawdzić, czy dwie maszyny wirtualne mogą komunikować się, jeśli chcesz.
To narzędzie mierzy również opóźnienie między zasobami. Może przechwytywać zmiany, które będą wpływać na łączność, takie jak zmiany konfiguracji sieci lub zmiany reguł sieciowej grupy zabezpieczeń. Może sondować maszyny wirtualne w regularnych odstępach czasu, aby wyszukać błędy lub zmiany.
Jeśli występuje problem, monitor połączeń informuje o tym, dlaczego wystąpił i jak go rozwiązać. Oprócz monitorowania maszyn wirtualnych monitor połączeń może zbadać adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN).
Co to jest narzędzie Network Performance Monitor?
Narzędzie Network Performance Monitor umożliwia śledzenie i zgłaszanie alertów dotyczących opóźnień i spadków pakietów w czasie. Zapewnia scentralizowany widok sieci.
Jeśli zdecydujesz się monitorować połączenia hybrydowe przy użyciu monitora wydajności sieci, sprawdź, czy skojarzony obszar roboczy znajduje się w obsługiwanym regionie.
Monitor wydajności sieci umożliwia monitorowanie łączności między punktami końcowymi:
- Między gałęziami i centrami danych
- Między sieciami wirtualnymi
- W przypadku połączeń między środowiskiem lokalnym a chmurą
- W przypadku obwodów usługi Azure ExpressRoute
Narzędzia diagnostyczne usługi Network Watcher
Usługa Network Watcher obejmuje następujące narzędzia diagnostyczne:
- Weryfikacja przepływu IP
- Diagnostyka NSG
- Następny przeskok
- Obowiązujące reguły zabezpieczeń
- Przechwytywanie pakietów
- Rozwiązywanie problemów z połączeniem
- Rozwiązywanie problemów z siecią VPN
Przyjrzyjmy się każdemu narzędziu i dowiesz się, jak mogą one pomóc w rozwiązywaniu problemów.
Co to jest narzędzie do weryfikowania przepływu adresów IP?
Narzędzie do sprawdzania przepływu adresów IP informuje o tym, czy pakiety są dozwolone, czy blokowane dla określonej maszyny wirtualnej. Jeśli sieciowa grupa zabezpieczeń odrzuca pakiet, narzędzie informuje o nazwie tej grupy, aby można było rozwiązać problem.
To narzędzie używa mechanizmu weryfikacji opartego na 5-elementowej krotce parametrów pakietu, aby wykryć, czy pakiety wejściowe lub wychodzące są dozwolone lub blokowane z maszyny wirtualnej. W narzędziu należy określić port lokalny i zdalny, protokół (TCP lub UDP), lokalny adres IP, zdalny adres IP, maszynę wirtualną i kartę sieciową maszyny wirtualnej.
Co to jest narzędzie diagnostyczne NSG?
Narzędzie diagnostyki grup zabezpieczeń sieciowych (NSG) dostarcza szczegółowych informacji, które pomagają zrozumieć i debugować konfigurację zabezpieczeń sieci.
W przypadku danej pary źródło-cel narzędzie wyświetla sieciowe grupy zabezpieczeń (NSG), przez które przepływ przejdzie, reguły, które zostaną zastosowane w każdej NSG, oraz ostateczny stan zezwolenia/odmowy dla przepływu. Aby zrozumieć, które przepływy ruchu będą dozwolone lub blokowane w sieci Azure Virtual Network, można określić, czy zasady grupy zabezpieczeń sieci są poprawnie skonfigurowane.
Co to jest narzędzie następnego przeskoku?
Gdy maszyna wirtualna wysyła pakiet do miejsca docelowego, może to wymagać kilku przeskoków. Jeśli na przykład miejscem docelowym jest maszyna wirtualna w innej sieci wirtualnej, następnym przeskokiem może być brama sieci wirtualnej, która kieruje pakiet do docelowej maszyny wirtualnej.
Za pomocą narzędzia następnego przeskoku możesz określić, jak pakiet przemieszcza się z maszyny wirtualnej do dowolnego miejsca docelowego. Należy określić źródłową maszynę wirtualną, źródłową kartę sieciową, źródłowy adres IP i docelowy adres IP. Następnie narzędzie określa trasę pakietu. To narzędzie służy do diagnozowania problemów spowodowanych przez nieprawidłowe tabele routingu.
Jakie jest skuteczne narzędzie reguł zabezpieczeń?
Skuteczne narzędzie reguł zabezpieczeń w usłudze Network Watcher wyświetla wszystkie obowiązujące reguły sieciowej grupy zabezpieczeń zastosowane do interfejsu sieciowego.
Sieciowe grupy zabezpieczeń są używane w sieciach platformy Azure do filtrowania pakietów na podstawie ich źródłowego i docelowego adresu IP i numerów portów. Sieciowe grupy zabezpieczeń mają kluczowe znaczenie dla bezpieczeństwa, ponieważ pomagają dokładnie kontrolować obszar powierzchni maszyn wirtualnych, do których użytkownicy mogą uzyskiwać dostęp. Należy jednak pamiętać, że błędnie skonfigurowana reguła NSG może uniemożliwić prawidłową komunikację. W związku z tym NSG są częstym źródłem problemów sieciowych.
Jeśli na przykład dwie maszyny wirtualne nie mogą się komunikować, ponieważ reguła sieciowej grupy zabezpieczeń blokuje je, może być trudno zdiagnozować, która reguła powoduje problem. Użyjesz skutecznego narzędzia reguł zabezpieczeń w usłudze Network Watcher, aby wyświetlić wszystkie obowiązujące reguły sieciowej grupy zabezpieczeń i ułatwić diagnozowanie, która reguła powoduje konkretny problem.
Aby użyć narzędzia, należy wybrać maszynę wirtualną i jej kartę sieciową. Narzędzie wyświetla wszystkie reguły NSG (grupy zabezpieczeń sieciowych), które mają zastosowanie do tej karty. Łatwo jest określić regułę blokowania, wyświetlając tę listę.
Możesz również użyć tego narzędzia, aby wykryć luki w zabezpieczeniach maszyny wirtualnej spowodowane niepotrzebnymi otwartymi portami.
Co to jest narzędzie przechwytywania pakietów?
Narzędzie przechwytywania pakietów rejestruje wszystkie pakiety wysyłane do i z maszyny wirtualnej. Po włączeniu można przejrzeć przechwytywanie, aby zebrać statystyki dotyczące ruchu sieciowego lub zdiagnozować anomalie, takie jak nieoczekiwany ruch sieciowy w prywatnej sieci wirtualnej.
Narzędzie przechwytywania pakietów to rozszerzenie maszyny wirtualnej uruchomione zdalnie za pośrednictwem usługi Network Watcher. Jest uruchamiany automatycznie po uruchomieniu sesji przechwytywania pakietów.
Należy pamiętać, że istnieje limit liczby dozwolonych sesji przechwytywania pakietów na region. Domyślny limit użycia to 100 sesji przechwytywania pakietów na region, a ogólny limit wynosi 10 000. Te limity dotyczą tylko liczby sesji, a nie zapisanych przechwytywań. Pakiety przechwycone w usłudze Azure Storage lub lokalnie można zapisywać na komputerze.
Przechwytywanie pakietów zależy od rozszerzenia maszyny wirtualnej agenta usługi Network Watcher zainstalowanego na maszynie wirtualnej. Aby uzyskać linki do instrukcji szczegółowo instalowania rozszerzenia na maszynach wirtualnych z systemem Windows i Linux, zobacz sekcję "Dowiedz się więcej" na końcu tego modułu.
Jakie jest narzędzie do rozwiązywania problemów z połączeniem?
Narzędzie do rozwiązywania problemów z połączeniem służy do sprawdzania łączności TCP między źródłową i docelową maszyną wirtualną. Docelową maszynę wirtualną można określić przy użyciu nazwy FQDN, identyfikatora URI lub adresu IP.
Jeśli połączenie zakończy się pomyślnie, pojawią się informacje o komunikacji, w tym:
- Opóźnienie w milisekundach.
- Liczba wysłanych pakietów sondy.
- Liczba przeskoków w pełnej trasie do miejsca docelowego.
Jeśli połączenie nie powiedzie się, zobaczysz szczegóły błędu. Typy błędów obejmują:
- procesora CPU. Połączenie nie powiodło się z powodu wysokiego wykorzystania procesora CPU.
- pamięć. Połączenie nie powiodło się z powodu wysokiego wykorzystania pamięci.
- GuestFirewall. Połączenie zostało zablokowane przez zaporę poza platformą Azure.
- DNSResolution. Nie można rozpoznać docelowego adresu IP.
- NetworkSecurityRule. Połączenie zostało zablokowane przez NSG (sieciową grupę zabezpieczeń).
- UserDefinedRoute. W tabeli routingu znajduje się nieprawidłowa trasa użytkownika.
Co to jest narzędzie do rozwiązywania problemów z siecią VPN?
Narzędzie do rozwiązywania problemów z VPN umożliwia diagnozowanie problemów z połączeniami wirtualnej bramy sieciowej. To narzędzie uruchamia diagnostykę połączenia z bramą sieci wirtualnej i zwraca raport o stanie zdrowia.
Po uruchomieniu narzędzia do rozwiązywania problemów z siecią VPN usługa Network Watcher diagnozuje kondycję bramy lub połączenia i zwraca odpowiednie wyniki. Żądanie jest długotrwałą transakcją.
W poniższej tabeli przedstawiono przykłady różnych typów błędów.
| Typ błędu | Powód | Rejestr |
|---|---|---|
| Bez Winnych | Nie wykryto błędu. | Tak |
| Brama nie została znaleziona | Nie można odnaleźć bramy lub nie jest aprowizowana. | Nie |
| PlanowanaKonserwacja | Instancja bramy jest w trakcie konserwacji. | Nie |
| Aktualizacja sterowana przez użytkownika | Trwa aktualizacja użytkownika. Aktualizacja może być operacją zmiany rozmiaru. | Nie |
| VipUnResponsive | Nie można uzyskać dostępu do głównego wystąpienia bramy z powodu awarii sondy kondycji. | Nie |
| PlatformaNieaktywna | Wystąpił problem z platformą. | Nie |
Narzędzia do rejestrowania ruchu
Usługa Network Watcher obejmuje dwa następujące narzędzia ruchu:
- Dzienniki przepływu
- Analiza ruchu
Co to jest narzędzie logów przepływu?
Dzienniki przepływu umożliwiają rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dzienniki przepływu przechowują dane w magazynie Azure. Dane przepływu są wysyłane do usługi Azure Storage, z której można uzyskiwać do niego dostęp i eksportować je do dowolnego narzędzia do wizualizacji, rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) lub wybranego systemu wykrywania włamań (IDS). Te dane umożliwiają analizowanie wzorców ruchu i rozwiązywanie problemów z łącznością.
Przypadki użycia dzienników przepływu można podzielić na dwa typy. Monitorowanie i optymalizacja sieci oraz użycia.
Monitorowanie sieci
- Zidentyfikuj nieznany lub niepożądany ruch.
- Monitorowanie poziomów ruchu i zużycia przepustowości.
- Filtruj dzienniki przepływu według adresu IP i portu, aby zrozumieć zachowanie aplikacji.
- Wyeksportuj dzienniki przepływu do narzędzi analitycznych i wizualizacyjnych, aby skonfigurować pulpity monitorujące.
Monitorowanie i optymalizacja użycia
- Zidentyfikuj najważniejszych rozmówców w sieci.
- Połącz z danymi GeoIP, aby zidentyfikować ruch między regionami.
- Omówienie wzrostu ruchu na potrzeby prognozowania pojemności.
- Użyj danych, aby usunąć zbyt restrykcyjne reguły ruchu.
Co to jest narzędzie do analizy ruchu?
Analiza ruchu to rozwiązanie oparte na chmurze, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. Analiza ruchu sieciowego w szczególności bada dzienniki przepływu NSG z Azure Network Watcher, aby dać wgląd w przepływ ruchu w chmurze Azure. Dzięki analizie ruchu można wykonywać następujące czynności:
- Wizualizowanie działań sieciowych w ramach subskrypcji platformy Azure.
- Zidentyfikuj punkty aktywne.
- Zabezpieczanie sieci przy użyciu informacji w celu zidentyfikowania zagrożeń.
- Zoptymalizuj wdrożenie sieci pod kątem wydajności i pojemności, rozumiejąc wzorce przepływu ruchu między regionami platformy Azure i Internetem.
- Wskazuje błędy konfiguracji sieci, które mogą prowadzić do niepowodzenia połączeń w sieci.
Scenariusze przypadków użycia usługi Azure Network Watcher
Przyjrzyjmy się niektórym scenariuszom, które można zbadać i rozwiązać, korzystając z monitorowania i diagnostyki usługi Azure Network Watcher.
Występują problemy z łącznością w sieci pojedynczej maszyny wirtualnej
Twoi współpracownicy wdrożyli maszynę wirtualną na platformie Azure i mają problemy z łącznością sieciową. Twoi współpracownicy próbują nawiązać połączenie z maszyną wirtualną przy użyciu protokołu RDP (Remote Desktop Protocol), ale nie mogą nawiązać połączenia.
Aby rozwiązać ten problem, użyj narzędzia weryfikacji przepływu adresów IP. To narzędzie umożliwia określenie portu lokalnego i zdalnego, protokołu (TCP/UDP), lokalnego adresu IP i zdalnego adresu IP w celu sprawdzenia stanu połączenia. Umożliwia również określenie kierunku połączenia (przychodzącego lub wychodzącego). Weryfikacja przepływu IP uruchamia test logiczny na regułach wprowadzonych w twojej sieci.
W takim przypadku użyj funkcji weryfikacji przepływu adresów IP, aby określić adres IP maszyny wirtualnej i port RDP 3389. Następnie określ adres IP i port zdalnej maszyny wirtualnej. Wybierz protokół TCP, a następnie wybierz pozycję Sprawdź.
Załóżmy, że rezultat wykazuje, że odmowa dostępu nastąpiła z powodu reguły NSG DefaultInboundDenyAll. Rozwiązaniem jest zmiana reguły NSG.
Połączenie sieci VPN nie działa
Twoi współpracownicy wdrożyli maszyny wirtualne w dwóch sieciach wirtualnych i nie mogą się łączyć między nimi.
Aby rozwiązać problemy z połączeniem sieci VPN, skorzystaj z rozwiązywania problemów z siecią VPN platformy Azure. To narzędzie przeprowadza diagnostykę połączenia bramy sieci wirtualnej i zwraca ocenę stanu zdrowia. To narzędzie można uruchomić za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Po uruchomieniu narzędzia sprawdza bramę pod kątem typowych problemów i zwraca raport diagnostyczny dotyczący kondycji. Możesz również wyświetlić plik dziennika, aby uzyskać więcej informacji. Diagnostyka pokaże, czy połączenie sieci VPN działa. Jeśli połączenie sieci VPN nie działa, rozwiązywanie problemów z siecią VPN sugeruje sposoby rozwiązania problemu.
Załóżmy, że diagnoza pokazuje niezgodność klucza. Aby rozwiązać ten problem, skonfiguruj ponownie bramę zdalną, aby upewnić się, że klucze są zgodne na obu końcach. Klucze wstępnie udostępnione są rozróżnialne według wielkości liter.
Brak serwerów nasłuchujących na wyznaczonych portach docelowych
Twoi współpracownicy wdrożyli maszyny wirtualne w jednej sieci wirtualnej i nie mogą się między nimi łączyć.
Aby rozwiązać ten problem, użyj narzędzia do rozwiązywania problemów z połączeniem. W tym narzędziu określisz lokalne i zdalne maszyny wirtualne. W ustawieniu sondy możesz wybrać określony port.
Załóżmy, że wyniki pokazują, że serwer zdalny jest niemożliwy do osiągnięcia, wraz z komunikatem "Ruch zablokowany z powodu konfiguracji zapory maszyny wirtualnej". Na serwerze zdalnym wyłącz zaporę, a następnie ponownie przetestuj połączenie.
Załóżmy, że serwer jest teraz dostępny. Ten wynik wskazuje, że reguły zapory na serwerze zdalnym są problemem i muszą zostać skorygowane, aby zezwolić na połączenie.