Exercício – Solucione problemas de uma rede usando as ferramentas de diagnóstico e monitoramento do Observador de Rede
O Observador de Rede do Azure ajuda a diagnosticar erros de configuração que impedem a comunicação de VMs (máquinas virtuais).
Suponha que você tenha duas VMs que não conseguem se comunicar. Você deseja diagnosticar o problema e resolvê-lo o mais rápido possível. Você deseja usar o Observador de Rede para fazer isso.
Aqui, você solucionará problemas de conectividade entre duas VMs em sub-redes diferentes.
Importante
É preciso ter uma assinatura do Azure para fazer esse exercício, e isso pode gerar encargos. Caso ainda não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.
Configurar uma rede virtual e VMs
Vamos começar criando a infraestrutura. Também criaremos um erro de configuração de modo intencional:
Abra uma sessão do Azure Cloud Shell no navegador.
Abra o diretório em que você deseja criar os recursos.
Selecione Bash no canto superior esquerdo da barra de menus do Cloud Shell.
Liste as regiões com suporte para a assinatura.
az account list-locationsCrie um grupo de recursos e atribua-o ao nome da variável RG executando o código a seguir, substituindo
<resource group name>por um nome para seu grupo de recursos e<name>pelo nome de uma região da saída anterior.az group create --name <resource group name> --location <name> RG=<resource group name>Crie uma rede virtual chamada MyVNet1 com uma sub-rede denominada FrontendSubnet executando este comando.
az network vnet create \ --resource-group $RG \ --name MyVNet1 \ --address-prefixes 10.10.0.0/16 \ --subnet-name FrontendSubnet \ --subnet-prefixes 10.10.1.0/24Execute o comando a seguir para criar outra sub-rede chamada BackendSubnet.
az network vnet subnet create \ --address-prefixes 10.10.2.0/24 \ --name BackendSubnet \ --resource-group $RG \ --vnet-name MyVNet1Implante uma VM em FrontendSubnet executando este comando, substituindo
<password>por uma senha complexa de sua escolha.az vm create \ --resource-group $RG \ --name FrontendVM \ --vnet-name MyVNet1 \ --subnet FrontendSubnet \ --image Win2019Datacenter \ --admin-username azureuser \ --admin-password <password>Observação
Se você receber um erro com a mensagem "partofthepassword: evento não encontrado", crie uma senha usando os caracteres permitidos.
Instale o IIS em FrontendVM executando o código a seguir.
az vm extension set \ --publisher Microsoft.Compute \ --name CustomScriptExtension \ --vm-name FrontendVM \ --resource-group $RG \ --settings '{"commandToExecute":"powershell.exe Install-WindowsFeature -Name Web-Server"}' \ --no-waitImplante uma máquina virtual em BackendSubnet executando o comando a seguir, substituindo
<password>por uma senha complexa de sua escolha.az vm create \ --resource-group $RG \ --name BackendVM \ --vnet-name MyVNet1 \ --subnet BackendSubnet \ --image Win2019Datacenter \ --admin-username azureuser \ --admin-password <password>Instale o IIS em BackendVM executando o comando a seguir.
az vm extension set \ --publisher Microsoft.Compute \ --name CustomScriptExtension \ --vm-name BackendVM \ --resource-group $RG \ --settings '{"commandToExecute":"powershell.exe Install-WindowsFeature -Name Web-Server"}' \ --no-waitCrie um NSG (grupo de segurança de rede) MyNsg inserindo o comando a seguir.
az network nsg create \ --name MyNsg \ --resource-group $RGCrie um erro de configuração que impeça a comunicação entre as VMs.
az network nsg rule create \ --resource-group $RG \ --name MyNSGRule \ --nsg-name MyNsg \ --priority 4096 \ --source-address-prefixes '*' \ --source-port-ranges '*' \ --destination-address-prefixes '*' \ --destination-port-ranges 80 443 3389 \ --access Deny \ --protocol TCP \ --direction Inbound \ --description "Deny from specific IP address ranges on 80, 443 and 3389."Execute o comando a seguir para associar um grupo de segurança de rede a uma sub-rede.
az network vnet subnet update \ --resource-group $RG \ --name BackendSubnet \ --vnet-name MyVNet1 \ --network-security-group MyNsg
Habilitar o Observador de Rede para a sua região
Agora, usaremos a CLI do Azure para configurar o Observador de Rede na mesma região que a infraestrutura.
- Habilite o Observador de Rede executando este comando, substituindo
<location>pela região do Azure usada quando você criou o grupo de recursos no início desta sessão.
az network watcher configure \
--enabled true \
--resource-group $RG \
--locations <location>
Usar o Observador de Rede para mostrar a topologia
Agora é possível usar o Observador de Rede no portal do Azure para solucionar problemas de conectividade entre duas VMs em sub-redes diferentes. Seu colega relatou um problema de conectividade HTTP/HTTPS entre as duas VMs. Primeiro, investigue a topologia de rede.
Entre no portal do Azure.
Na pesquisa global, digite Observador de Rede e selecione esse serviço. O painel Visão geral do Observador de Rede é exibido, listando o observador de rede ativo.
No menu do Observador de Rede, em Monitoramento, selecione Topologia. O painel Observador de Rede | Topologia será exibido.
Para este exercício, selecione a Assinatura e o Grupo de Recursos nos campos suspensos. A topologia de rede para MyVNet1 exibe as interfaces de VM de front-end e back-end. Essa é a rede virtual que você criou no início deste exercício.
Usar o Monitor da Conexão para executar testes do back-end para o front-end
A topologia parece estar correta. Para obter mais informações, vamos configurar alguns testes no Monitor da Conexão. Comece criando um teste da VM de back-end para a VM de front-end.
No menu do Observador de Rede, em Monitoramento, selecione Monitor da conexão. O painel de Visão geral do Observador de Rede | Monitor da conexão é exibido.
Na barra de comandos, selecione Criar. A página Criar Monitor da Conexão é exibida.
Na guia Básico, insira os valores a seguir para cada configuração.
Configuração Valor Nome do Monitor da Conexão Teste de HTTP de back-end para front-end Assinatura Selecione a sua assinatura na lista suspensa Região Selecione a região do Azure em que os recursos foram implantados Configuração do workspace A opção Usar um workspace criado pelo monitor da conexão (padrão) está marcada Selecione Avançar: grupos de teste. O painel Adicionar detalhes do grupo de teste será exibido.
Em Nome do grupo de teste, insira Back-to-front-HTTP-test-group.
Na caixa Origens, selecione Adicionar origens. O painel Adicionar Fontes será exibido.
Na guia Pontos de extremidade do Azure, selecione Sub-rede, verifique se a sua assinatura está selecionada e escolha BackendSubnet na lista.
Clique em Adicionar pontos de extremidade. Na caixa Fontes com a BackendSubnet identificada como a origem. Selecione esse ponto de extremidade, escolha Editar, renomeie-o como BackendSubnet e selecione Salvar.
Na caixa Configurações de teste, clique em Adicionar Configuração de teste. O painel Adicionar Configuração de teste será exibido.
Na guia Nova configuração, insira os valores a seguir para cada configuração.
Configuração Valor Nome da configuração de teste Back-to-front-HTTP-test-configuration Protocolo HTTP Porta de destino 80 Frequência de Teste A cada 30 segundos Mantenha os valores padrão das configurações restantes Selecione Adicionar Configuração de teste para adicionar essa configuração de teste ao grupo de teste. O painel Adicionar detalhes do grupo de teste será exibido novamente com a configuração de teste identificada.
Na caixa Destinos, clique em Adicionar destinos. O painel Adicionar Destinos será exibido.
Na guia Pontos de extremidade do Azure, selecione Sub-rede, verifique se a sua assinatura está selecionada e escolha FrontendSubnet na lista.
Clique em Adicionar pontos de extremidade. Os detalhes de Adicionar grupo de teste reaparecem com o FrontendSubnet identificado como destino.
Na parte inferior do painel, selecione Adicionar Grupo de Teste. O painel Criar Monitor da Conexão é exibido.
Na guia Grupos de testes, observe que seu grupo de teste está listado com origem como back-end e destino como front-end.
Selecione Examinar + criar e Criar.
Se o teste não for exibido no painel Monitor da Conexão, selecione o botão Atualizar. Os resultados do teste de HTTP de back-end para front-end deverão mostrar que o tráfego flui sem problemas da VM de back-end para a VM de front-end porque o NSG está associado à sub-rede de back-end.
Usar o Monitor da Conexão para executar testes do front-end para o back-end
Execute o mesmo teste na direção oposta. Vamos configurar outro teste no Monitor da Conexão. Comece criando um teste da VM de front-end para a VM de back-end.
No painel Monitor da Conexão, selecione Criar.
Na guia Básico, insira os valores a seguir para cada configuração.
Configuração Valor Nome do Monitor da Conexão Teste de HTTP de front-end para back-end Assinatura Selecione a sua assinatura na lista suspensa Região Selecione a região do Azure em que os recursos foram implantados Selecione Avançar: grupos de teste. O painel Adicionar detalhes do grupo de teste será exibido.
Em Nome do grupo de teste, insira Front-to-back-HTTP-test-group, e selecione Adicionar fontes na caixa Fontes. O painel Adicionar Fontes será exibido.
Na guia Pontos de extremidade do Azure, selecione Sub-rede, verifique se a sua assinatura está selecionada e escolha FrontSubnet na lista.
Clique em Adicionar pontos de extremidade. Na caixa Fontes com a BackendSubnet identificada como a origem. Selecione esse ponto de extremidade, escolha Editar, renomeie-o como FrontendSubnet e selecione Salvar.
Na caixa Configurações de teste, clique em Adicionar Configuração de teste. O painel Adicionar Configuração de teste será exibido.
Na guia Nova configuração, insira os valores a seguir para cada configuração.
Configuração Valor Nome da configuração de teste Front-to-back-HTTP-test-configuration Protocolo HTTP Porta de destino 80 Frequência de Teste A cada 30 segundos Aceite os valores padrão das configurações restantes Clique em Adicionar Configuração de teste. O painel Adicionar detalhes do grupo de teste será exibido novamente com a configuração de teste identificada.
Na caixa Destinos, clique em Adicionar destinos. O painel Adicionar Destinos será exibido.
Na guia Pontos de extremidade do Azure, selecione Sub-rede, verifique se a sua assinatura está selecionada e escolha BackendSubnet na lista.
Clique em Adicionar pontos de extremidade. O painel Adicionar detalhes do grupo de teste será exibido novamente com BackendSubnet identificado como o destino.
Na parte inferior do painel, selecione Adicionar Grupo de Teste. O painel Criar Monitor da Conexão será exibido novamente.
Na guia Grupos de teste, observe que o Front-to-back-HTTP-test-group agora está listado.
Selecione Examinar + criar e Criar.
Se o teste não for exibido no painel Monitor da Conexão, selecione o botão Atualizar. Os resultados do teste de HTTP de front-end para back-end deverão mostrar que nenhum tráfego flui da VM de front-end para a VM de back-end porque o NSG está associado à sub-rede de back-end.
Usar a verificação de fluxo de IP para testar a conexão
Vamos usar a ferramenta de verificação de fluxo de IP para obter mais informações.
Selecione Observador de Rede e, no menu do recurso em Ferramentas de diagnóstico de rede, selecione Verificação de fluxo de IP.
Configure o teste inserindo os valores a seguir para cada configuração e depois selecione Verificar.
Configuração Valor Subscription Selecionar sua assinatura Grupo de recursos Selecionar o grupo de recursos Máquina virtual BackendVM Adaptador de rede BackendVMVMNic Protocolo TCP Direção Entrada Endereço IP local 10.10.2.4 Porta local 3389 IP remoto 10.10.1.4 Porta remota 3389 
O resultado mostra Acesso negado devido ao NSG e às regras de segurança.
Neste exercício, você usou com êxito as ferramentas do Observador de Rede para descobrir o problema de conectividade entre as duas sub-redes. A comunicação é permitida de uma maneira, mas bloqueada da outra por causa das regras de NSG.