Como funciona o Observador de Rede do Azure

  • 5 minutos

O Observador de Rede fica disponível automaticamente quando você cria uma rede virtual em uma região do Azure na sua assinatura. Você pode acessar o Observador de Rede diretamente no portal do Azure digitando Observador de Rede na barra Pesquisar.

Screenshot that shows how to search for Network Watcher in the Azure portal.

Ferramenta Topologia do Observador de Rede

O recurso de topologia do Observador de Rede do Azure permite que você exiba todos os recursos a seguir em uma rede virtual. Inclusive os recursos associados a recursos em uma rede virtual e as relações entre os recursos.

  • Sub-redes
  • Adaptadores de rede
  • Grupos de segurança de rede
  • Balanceador de carga
  • Investigações de integridade do balanceador de carga
  • Endereços IP públicos
  • Emparelhamento de rede virtual
  • Gateways de rede virtual
  • Conexões de Gateway de VPN
  • Máquinas virtuais
  • Conjuntos de Dimensionamento de Máquinas Virtuais

Todos os recursos retornados em uma topologia têm as seguintes propriedades:

  • Nome: o nome do recurso.
  • ID: o URI do recurso.
  • Local: a região do Azure em que o recurso está.
  • Associações: uma lista de associações com o objeto referenciado. Cada associação tem as seguintes propriedades:
    • AssociationType: faz referência à relação entre o objeto filho e o pai. Os valores válidos são Contains e Associated.
    • Nome: o nome do recurso referenciado.
    • ResourceId: o URI do recurso referenciado na associação.

Ferramenta Monitor da Conexão

O Monitor da Conexão fornece monitoramento de conexão de ponta a ponta unificado no Observador de Rede do Azure. Monitor da conexão dá suporte a implantações de nuvem híbridas e do Azure. Você pode usar a ferramenta Monitor da Conexão para medir a latência entre os recursos. Monitor da Conexão pode detectar alterações que afetam a conectividade, como alterações de configuração de rede ou modificações em regras do NSG. Você pode configurar o Monitor da Conexão para sondar VMs em intervalos regulares para procurar falhas ou alterações. O Monitor da Conexão pode diagnosticar problemas e fornecer explicações sobre por que o problema ocorreu e as etapas que você pode seguir para corrigir um problema.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Para usar o Monitor da Conexão para monitoramento, você precisa instalar agentes de monitoramento nos hosts que são monitorados. O Monitor da Conexão usa arquivos executáveis leves para executar verificações de conectividade, se um host está localizado em uma rede virtual do Azure ou em uma rede local. Com as VMs do Azure, você pode instalar a VM do Agente do Observador de Rede, também conhecida como a extensão do Observador de Rede. Para computadores locais, você pode habilitar essa funcionalidade instalando o agente do Log Analytics.

Verificação de fluxo de IP

A ferramenta de verificação de fluxo IP usa um mecanismo de verificação baseado em parâmetros de pacote de 5 tuplas para detectar se os pacotes de entrada ou saída são permitidos ou negados de uma VM. Dentro da ferramenta, você pode especificar uma porta local e remota, o protocolo (TCP ou UDP), o IP local, o IP remoto, a VM e o adaptador de rede da VM.

Próximo salto

O tráfego de uma VM IaaS é enviado para um destino com base nas rotas efetivas associadas a uma NIC (interface de rede). O próximo salto obtém o tipo do próximo salto e o endereço IP de um pacote em uma VM e na NIC. Saber o próximo salto ajuda a determinar se o tráfego está sendo direcionado para o destino pretendido, ou se o tráfego não está sendo enviado a nenhum lugar. Uma configuração inadequada de rotas, na qual o tráfego é direcionado para uma localização local ou para um dispositivo virtual, pode levar a problemas de conectividade. O próximo salto também retorna a tabela de rotas associada ao próximo salto. Se a rota for especificada como sendo definida pelo usuário, ela será retornada. Caso contrário, o próximo salto retornará System Route.

Regras de segurança ativas

Os grupos de segurança de rede (NSGs) filtram pacotes com base em seus endereços IP de origem e destino e números de porta. Mais de um NSG pode ser aplicado a um recurso IaaS em uma rede virtual do Azure. Ao levar em consideração todas as regras aplicadas em todos os NSGs em um recurso, a ferramenta Regras de Segurança Ativas permite que você determine por que algum tráfego pode ser negado ou permitido.

Captura de pacotes

A captura de pacote é uma extensão de máquina virtual iniciada remotamente por meio do Observador de Rede. Esse recurso facilita a carga de executar uma captura de pacotes manualmente em uma máquina virtual específica usando ferramentas do sistema operacional ou utilitários de terceiros. A captura de pacotes pode ser acionada por meio do portal, do PowerShell, do CLI do Azure ou da API REST. O Observador de Rede permite configurar filtros para a sessão de captura para garantir a captura do tráfego que deseja monitorar. Os filtros têm base em informações de cinco tuplas (protocolo, endereço IP local, endereço IP remoto, porta local e porta remota). Os dados capturados são armazenados no disco local ou em um blob de armazenamento.

Solução de problemas na conexão

A ferramenta de solução de problemas de conexão verifica a conectividade TCP entre uma VM de origem e de destino. É possível especificar a VM de destino usando um FQDN, um URI ou um endereço IP. Se a conexão for bem-sucedida, serão exibidas informações sobre a comunicação, incluindo:

  • A latência em milissegundos.
  • O número de pacotes de investigação enviados.
  • O número de saltos na rota completa até o destino.

Se a conexão não for bem-sucedida, a ferramenta exibirá detalhes sobre a falha. Você pode observar os seguintes tipos de falha:

  • CPU: a conexão falhou devido à alta utilização da CPU.
  • Memory: a conexão falhou devido à alta utilização de memória.
  • GuestFirewall: um firewall fora do Azure bloqueou a conexão.
  • DNSResolution: não foi possível resolver o endereço IP de destino.
  • NetworkSecurityRule: um NSG bloqueou a conexão.
  • UserDefinedRoute: há uma rota de usuário incorreta em uma tabela de roteamento.

Solução de problemas de VPN

O Observador de Rede fornece a capacidade de solucionar problemas das conexões e dos gateways. O recurso pode ser chamado por meio do portal, do PowerShell, do CLI do Azure ou da API REST. Quando chamado, o Observador de Rede diagnostica a integridade do gateway ou da conexão e retorna os resultados apropriados. A solicitação é uma transação de execução longa. Os resultados preliminares retornados fornecem uma visão geral da integridade do recurso.

A lista a seguir descreve os valores que são retornados chamando a API de solução de problemas de VPN:

  • startTime: a hora em que a solução de problemas foi iniciada.
  • endTime: a hora em que a solução de problemas foi encerrada.
  • code: esse valor será UnHealthy se houver uma falha de diagnóstico.
  • resultados: uma coleção de resultados retornados na conexão ou no gateway de rede virtual.
    • id: o tipo de falha.
    • summary: um resumo da falha.
    • detailed: uma descrição detalhada da falha.
    • recommendedActions: uma coleção de ações recomendadas a serem tomadas.
    • actionText: texto que descreve a ação a ser tomada.
    • actionUri: o URI para a documentação que descreve a ação a ser tomada.
    • actionUriText: uma breve descrição do texto da ação.