Solucione problemas de uma rede usando as ferramentas de diagnóstico e monitoramento do Observador de Rede
O Observador de Rede do Azure inclui várias ferramentas que você pode usar para monitorar redes virtuais e VMs (máquinas virtuais). Para fazer uso efetivo do Observador de Rede, é essencial entender todas as opções disponíveis e a finalidade de cada ferramenta.
Em sua empresa de engenharia, você deseja ajudar a equipe a escolher a ferramenta do Observador de Rede adequada para cada tarefa de solução de problemas. Ela precisa entender todas as opções disponíveis e os tipos de problemas que cada ferramenta pode resolver.
Aqui, você examinará categorias de ferramentas do Observador de Rede, ferramentas disponíveis em cada categoria e como elas serão aplicadas em casos de uso de exemplo.
O que é o Observador de Rede?
O Observador de Rede é um serviço do Azure que combina ferramentas em um local central para diagnosticar a integridade de redes do Azure. As ferramentas do Observador de Rede são divididas em três categorias:
- Ferramentas de monitoramento
- Ferramentas de diagnóstico de rede
- Ferramentas de log de tráfego
Com ferramentas para monitorar e diagnosticar problemas, o Observador de Rede fornece um hub centralizado para identificar falhas de rede, picos de CPU, problemas de conectividade, vazamentos de memória e outros problemas antes que eles afetem seus negócios.
Ferramentas de monitoramento do Observador de Rede
O Observador de Rede fornece três ferramentas de monitoramento:
- Topologia
- Monitor de Conexão
- Monitor de Desempenho de Rede
Vamos examinar cada uma dessas ferramentas.
O que é a ferramenta de topologia?
A ferramenta de topologia gera uma exibição gráfica da sua rede virtual do Azure, dos recursos, de suas interconexões e de suas relações entre eles.
Suponha que você precisa solucionar problemas de uma rede virtual criada por seus colegas. Talvez você não conheça todos os aspectos da infraestrutura, a não ser que trabalhe no processo de criação de rede. Você pode usar a ferramenta de topologia para visualizar e entender a infraestrutura com a qual está lidando antes de iniciar a solução de problemas.
Use o portal do Azure para exibir a topologia de uma rede do Azure. No portal do Azure:
Entre no portal do Azure, pesquise e selecione Observador de Rede.
No menu do Observador de Rede, em Monitoramento, selecione Topologia.
Selecione uma assinatura, o grupo de recursos de uma rede virtual para o qual você deseja exibir a topologia e, em seguida, a própria rede virtual.
Observação
Para gerar a topologia, a instância do Observador de Rede precisa estar na mesma região geográfica da rede virtual.
Veja um exemplo de uma topologia gerada para uma rede virtual chamada MyVNet.
O que é a ferramenta Monitor da Conexão?
A ferramenta Monitor de Conexão fornece uma maneira de verificar se as conexões funcionam entre os recursos do Azure. Use essa ferramenta para verificar se duas VMs poderão se comunicar se você assim quiser.
Essa ferramenta também mede a latência entre recursos. Ela pode detectar alterações que afetarão a conectividade, como alterações na configuração de rede ou nas regras do NSG (grupo de segurança de rede). Ela pode investigar VMs em intervalos regulares para procurar falhas ou alterações.
Se houver um problema, o Monitor de Conexão informará por que ele ocorreu e como corrigi-lo. Além de monitorar VMs, o Monitor de Conexão pode examinar um endereço IP ou o FQDN (nome de domínio totalmente qualificado).
O que é a ferramenta Monitor de Desempenho de Rede?
A ferramenta Monitor de Desempenho de Rede permite rastrear e alertar sobre a latência e o descarte de pacotes ao longo do tempo. Ela fornece uma exibição centralizada da sua rede.
Quando decidir monitorar as conexões híbridas usando o Monitor de Desempenho de Rede, verifique se o workspace associado está em uma região compatível.
Você pode usar o Monitor de Desempenho de Rede para monitorar a conectividade entre pontos de extremidade:
- Entre branches e datacenters
- Entre redes virtuais
- Para as conexões entre o local e a nuvem
- Para circuitos do Azure ExpressRoute
Ferramentas de diagnóstico do Observador de Rede
O Observador de Rede inclui as seguintes ferramentas de diagnóstico:
- Verificação de fluxo de IP
- Diagnóstico de NSG
- Próximo salto
- Regras de segurança ativas
- Captura de pacotes
- Solução de problemas na conexão
- Solução de problemas de VPN
Vamos examinar cada ferramenta e descobrir como elas podem ajudar você a resolver problemas.
O que é a ferramenta de verificação de fluxo de IP?
A ferramenta de verificação de fluxo de IP informa se os pacotes são permitidos ou negados para uma máquina virtual específica. Caso um grupo de segurança de rede negue um pacote, a ferramenta indicará o nome desse grupo para que seja possível corrigir o problema.
Essa ferramenta usa um mecanismo de verificação baseado em parâmetros de pacote de cinco tuplas para detectar se os pacotes de entrada ou de saída são permitidos ou negados de uma VM. Dentro da ferramenta, especifique uma porta local e remota, o protocolo (TCP ou UDP), o IP local, o IP remoto, a VM e o adaptador de rede da VM.
O que é a ferramenta de diagnóstico do NSG?
A ferramenta de diagnóstico NSG (Grupo de Segurança de Rede) fornece informações detalhadas para ajudar você a entender e depurar a configuração de segurança da rede.
Para um determinado par de origem-destino, a ferramenta mostra os NSGs que serão percorridos, as regras que serão aplicadas em cada NSG e o status de permissão/negação final para o fluxo. Ao entender quais fluxos de tráfego serão permitidos ou negados em seu Rede Virtual do Azure, você pode determinar se suas regras do NSG estão configuradas corretamente.
O que é a ferramenta de próximo salto?
Quando uma VM envia um pacote a um destino, ele pode realizar vários saltos em seu percurso. Por exemplo, se o destino for uma VM em uma rede virtual diferente, o próximo salto poderá ser o gateway de rede virtual que roteia o pacote para a VM de destino.
Com a ferramenta de próximo salto, você pode determinar como um pacote parte de uma VM e chega a qualquer destino. Você especifica a VM de origem, o adaptador de rede de origem, o endereço IP de origem e o endereço IP de destino. Em seguida, a ferramenta determina o destino do pacote. Você pode usar essa ferramenta para diagnosticar problemas causados por tabelas de roteamento incorretas.
O que é a ferramenta de regras de segurança ativa?
A ferramenta de regras de segurança ativa no Observador de Rede exibe todas as regras de NSG (grupo de segurança de rede) em vigor aplicadas a um adaptador de rede.
Os NSGs (grupos de segurança de rede) são usados em redes do Azure para filtrar pacotes com base em endereços IP de origem e destino, além de números de portas. Os NSGs são essenciais para a segurança, porque ajudam a controlar cuidadosamente a área da superfície das VMs que os usuários podem acessar. Lembre-se de que uma regra de NSG configurada erroneamente pode impedir a comunicação legítima. Como resultado, os NSGs são uma fonte frequente de problemas de rede.
Por exemplo, se duas VMs não conseguirem se comunicar por serem bloqueadas por uma regra de NSG, poderá ser difícil diagnosticar qual regra está causando o problema. Você usará a ferramenta de regras de segurança ativa no Observador de Rede para exibir todas as regras de NSG em vigor e para ajudar a diagnosticar qual a regra causadora do problema específico.
Para usar a ferramenta, você escolhe uma VM e o respectivo adaptador de rede. A ferramenta exibe todas as regras de NSG que se aplicam a esse adaptador. Exibindo essa lista, é fácil determinar uma regra responsável por um eventual bloqueio.
Você também pode usar a ferramenta para identificar vulnerabilidades na sua VM causadas por portas abertas desnecessárias.
O que é a ferramenta de captura de pacotes?
A ferramenta de captura de pacotes para registrar todos os pacotes enviados em uma VM. Quando ela estiver habilitada, você poderá examinar a captura para coletar estatísticas sobre o tráfego de rede ou diagnosticar anomalias, como tráfego de rede inesperado em uma rede virtual privada.
A ferramenta de captura de pacotes é uma extensão de máquina virtual iniciada de modo remoto por meio do Observador de Rede. Ela funciona de modo automático quando você inicia uma sessão de captura de pacotes.
Lembre-se de que há um limite na quantidade de sessões de captura de pacotes permitidas por região. O limite de uso padrão é de 100 sessões de captura de pacotes por região e o limite geral é de 10.000. Esses limites são apenas para o número de sessões, não para capturas salvas. Você pode salvar os pacotes capturados no Armazenamento do Azure ou localmente em seu computador.
A captura de pacotes tem uma dependência na Extensão de VM do Agente do Observador de Rede instalada na VM. Para obter links para instruções que fornecem detalhes sobre a instalação da extensão em VMs do Windows e do Linux, confira a seção "Saiba mais" no final deste módulo.
O que é a ferramenta de solução de problemas de conexão?
Use a ferramenta de solução de problemas para verificar a conectividade TCP entre uma VM de origem e de destino. É possível especificar a VM de destino usando um FQDN, um URI ou um endereço IP.
Se a conexão for bem-sucedida, serão exibidas informações sobre a comunicação, incluindo:
- A latência em milissegundos.
- O número de pacotes de investigação enviados.
- O número de saltos na rota completa até o destino.
Se a conexão não for bem-sucedida, você verá detalhes da falha. Os tipos de falha incluem:
- CPU. A conexão falhou devido à alta utilização da CPU.
- Memory. A conexão falhou devido à alta utilização de memória.
- GuestFirewall. A conexão foi bloqueada por um firewall fora do Azure.
- DNSResolution. Não foi possível resolver o endereço IP de destino.
- NetworkSecurityRule. A conexão foi bloqueada por um NSG.
- UserDefinedRoute. Há uma rota de usuário incorreta em uma tabela de roteamento.
O que é a ferramenta de solução de problemas de VPN?
Você pode usar a ferramenta de solução de problemas de VPN para diagnosticar problemas com conexões de gateway de rede virtual. Essa ferramenta executa diagnóstico em uma conexão de gateway de rede virtual e retorna um diagnóstico de integridade.
Quando você inicia a ferramenta de solução de problemas de VPN, o Observador de Rede diagnostica a integridade da conexão ou do gateway e retorna os resultados adequados. A solicitação é uma transação de execução longa.
A tabela a seguir mostra exemplos de diferentes tipos de falha.
| Tipo de Falha | Motivo | Registro |
|---|---|---|
| NoFault | Nenhum erro foi detectado. | Sim |
| GatewayNotFound | Não é possível encontrar um gateway ou ele não está provisionado. | Não |
| PlannedMaintenance | Uma instância do gateway está em manutenção. | Não |
| UserDrivenUpdate | Uma atualização do usuário está em andamento. A atualização pode ser uma operação de redimensionamento. | Não |
| VipUnResponsive | A instância primária do gateway não pode ser acessada por causa de uma falha de investigação de integridade. | Não |
| PlatformInActive | Há um problema com a plataforma. | Não |
Ferramentas de log de tráfego
O Observador de Rede inclui as duas seguintes ferramentas de tráfego:
- Logs de fluxo
- Análise de tráfego
O que é a ferramenta de logs de fluxo?
Logs de fluxo permitem que você registre informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. Os logs de fluxo armazenam dados no armazenamento do Azure. Os dados do fluxo são enviados para o Armazenamento do Azure, no qual você pode acessá-los e exportá-los para qualquer ferramenta de visualização, solução de SIEM (gerenciamento de eventos e informações de segurança) ou IDS (sistema de detecção de intrusões) de sua escolha. Você pode usar esses dados para analisar padrões de tráfego e solucionar problemas de conectividade.
Os casos de uso dos logs de fluxo podem ser categorizados em dois tipos. Monitoramento de rede e monitoramento e otimização de uso.
Monitoramento de rede
- identificar tráfego desconhecido ou indesejado.
- Monitore os níveis de tráfego e o consumo da largura de banda.
- Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
- Exporte os logs de fluxo para ferramentas de análise e visualização que quiser para configurar os painéis de monitoramento.
Monitoramento e otimização de uso
- identifique os principais agentes de conversa em sua rede.
- Combine com os dados do GeoIP para identificar o tráfego entre regiões.
- Entenda o crescimento do tráfego para a previsão de capacidade.
- Use dados para remover regras de tráfego excessivamente restritivas.
O que é a ferramenta de análise de tráfego?
A análise de tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo de NSG do Observador de Rede do Azure para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Com a Análise de Tráfego, você pode:
- Visualize a atividade de rede em suas assinaturas do Azure.
- Identifique os pontos de acesso.
- Proteger sua rede usando informações para identificar as ameaças.
- Otimize a implantação de rede para desempenho e capacidade compreendendo os padrões de fluxo de tráfego entre regiões do Azure e a internet.
- Identificar problemas de configuração de rede que podem originar conexões com falha em sua rede.
Cenários de caso de uso do Observador de Rede do Azure
Vamos examinar alguns cenários que você pode investigar e cujos problemas pode solucionar usando o monitoramento e o diagnóstico do Observador de Rede do Azure.
Há problemas de conectividade em uma rede de VMs única
Seus colegas implantaram uma VM no Azure e estão tendo problemas de conectividade de rede. Seus colegas estão tentando usar protocolo RDP para se conectarem à máquina virtual, mas não conseguem se conectar.
Para solucionar esse problema, use a ferramenta de verificação de fluxo de IP. Essa ferramenta permite especificar uma porta local e remota, um protocolo (TCP/UDP), o IP local e o IP remoto para verificar o status da conexão. Ela também permite que você especifique a direção da conexão (entrada ou saída). A verificação de fluxo de IP executa um teste lógico nas regras em vigor na rede.
Nesse caso, use a verificação de fluxo de IP para especificar o endereço IP das VMs e a porta RDP 3389. Em seguida, especifique o endereço IP e a porta da VM remota. Escolha o protocolo TCP e, em seguida, selecione Verificar.
Suponha que o resultado mostra que o acesso foi negado por causa da regra de NSG DefaultInboundDenyAll. A solução é alterar a regra de NSG.
A conexão VPN não está funcionando
Seus colegas implantaram VMs em duas redes virtuais e não podem se conectar entre elas.
Para solucionar problemas de uma conexão VPN, use a Solução de problemas de VPN do Azure. Essa ferramenta executa diagnóstico em uma conexão de gateway de rede virtual e retorna um diagnóstico de integridade. Você pode executar essa ferramenta do portal do Azure, do Azure PowerShell ou a CLI do Azure.
Quando você executa a ferramenta, ela verifica o gateway em busca de problemas comuns e retorna o diagnóstico de integridade. Também é possível exibir o arquivo de log para obter mais informações. O diagnóstico mostrará se a conexão VPN está funcionando. Se a conexão VPN não estiver funcionando, a solução de problemas de VPN recomendará maneiras de resolver o problema.
Suponha que o diagnóstico mostre uma incompatibilidade de chave. Para solucionar o problema, reconfigure o gateway remoto para que as chaves correspondam em ambas as extremidades. As chaves pré-compartilhadas diferenciam maiúsculas de minúsculas.
Nenhum servidor está escutando nas portas de destino designadas
Seus colegas implantaram VMs em uma única rede virtual e não podem se conectar entre elas.
Use a ferramenta de solução de problemas de conexão para solucionar esse problema. Nessa ferramenta, você especifica as VMs locais e remotas. Na configuração de investigação, é possível escolher uma porta específica.
Suponha que os resultados mostrem que o servidor remoto esteja Inacessível, juntamente com a mensagem "Tráfego bloqueado devido à configuração do firewall da máquina virtual". No servidor remoto, desabilite o firewall e teste a conexão novamente.
Suponha que o servidor agora está acessível. Esse resultado indica que as regras de firewall no servidor remoto são o problema e devem ser corrigidas para permitir a conexão.