Resolver problemas de uma rede com ferramentas de diagnóstico e monitorização do Observador de Rede
O Azure Network Watcher inclui várias ferramentas que você pode usar para monitorar suas redes virtuais e máquinas virtuais (VMs). Para utilizar efetivamente o Observador de Rede, é fundamental compreender todas as opções disponíveis e a finalidade de cada ferramenta.
Em sua empresa de engenharia, você quer ajudar sua equipe a escolher a ferramenta Network Watcher certa para cada tarefa de solução de problemas. Precisam de compreender todas as opções disponíveis e os tipos de problemas que cada ferramenta pode resolver.
Aqui, pode ver as categorias de ferramentas do Observador de Rede, as ferramentas em cada categoria e como cada ferramenta é aplicada em casos de utilização de exemplo.
O que é o Observador de Rede?
O Observador de Rede é um serviço do Azure que combina ferramentas num local central para diagnosticar o estado de funcionamento das redes do Azure. As ferramentas do Network Watcher estão divididas em três categorias:
- Ferramentas de monitorização
- Ferramentas de diagnóstico de rede
- Ferramentas de registo de tráfego
Com ferramentas para monitorizar e diagnosticar problemas, o Observador de Rede proporciona-lhe um hub central para identificar falhas de rede, picos de utilização da CPU, problemas de conectividade, fugas de memória e outros problemas antes de afetarem a sua empresa.
Ferramentas de monitorização do Observador de Rede
O Network Watcher fornece três ferramentas de monitoramento:
- Topologia
- Monitor de Ligação
- Monitor de Desempenho de Rede
Vamos ver cada uma destas ferramentas.
O que é a ferramenta de topologia?
A ferramenta de topologia gera uma visualização gráfica da sua rede virtual do Azure, os recursos, as interligações e as relações entre si.
Suponhamos que tem de resolver problemas numa rede virtual criada pelos seus colegas. A menos que você estivesse envolvido no processo de criação da rede, talvez não soubesse sobre todos os aspetos da infraestrutura. Pode utilizar a ferramenta de topologia para visualizar e compreender a infraestrutura com que está a lidar antes de começar a resolver problemas.
Utiliza o portal do Azure para ver a topologia de uma rede do Azure. No portal do Azure:
Entre no portal do Azure e, em seguida, procure e selecione Observador de Rede.
No menu Inspetor de Rede, em Monitoramento, selecione Topologia.
Selecione uma subscrição, o grupo de recursos de uma rede virtual e, em seguida, a própria rede virtual.
Nota
Para gerar a topologia, você precisa da instância do Inspetor de Rede na mesma região geográfica da rede virtual.
Eis um exemplo de uma topologia gerada para uma rede virtual chamada MyVNet.
O que é a ferramenta Monitor de Ligação?
A ferramenta Monitor de Ligação proporciona uma forma de verificar se as ligações funcionam entre os recursos do Azure. Use essa ferramenta para verificar se duas VMs podem se comunicar se você quiser.
Esta ferramenta também mede a latência entre recursos. Pode detetar alterações que irão afetar a conectividade, como alterações na configuração de rede ou alterações de regras do grupo de segurança de rede (NSG). Pode pesquisar as VMs em intervalos regulares para procurar falhas ou alterações.
Se existir um problema, o Monitor de Ligação indica porque é que ocorreu e como pode corrigi-lo. Além de monitorizar VMs, o Monitor de Ligação pode examinar um endereço IP ou nome de domínio completamente qualificado (FQDN).
O que é a ferramenta Monitor de Desempenho de Rede?
A ferramenta Monitor de Desempenho de Rede permite rastrear e alertar sobre latência e quedas de pacotes ao longo do tempo. Dá-lhe uma vista centralizada da sua rede.
Quando você decidir monitorar suas conexões híbridas usando o Monitor de Desempenho de Rede, verifique se o espaço de trabalho associado está em uma região compatível.
Pode utilizar o Monitor de Desempenho de Rede para monitorizar a conectividade ponto a ponto:
- Entre filiais e datacenters
- Entre redes virtuais
- Para suas conexões entre o local e a nuvem
- Para circuitos do Azure ExpressRoute
Ferramentas de diagnóstico do Observador de Rede
O Inspetor de Rede inclui as seguintes ferramentas de diagnóstico:
- Verificação do fluxo de IP
- Diagnóstico do NSG
- Próximo salto
- Regras de segurança em vigor
- Captura de pacotes
- Resolução de problemas de ligação
- Resolução de problemas da VPN
Vamos examinar cada ferramenta e descobrir como podem ajudar a resolver problemas.
O que é a ferramenta Verificação do fluxo de IP?
A ferramenta de verificação de fluxo de IP informa se os pacotes são permitidos ou negados para uma máquina virtual específica. Se um grupo de segurança de rede negar um pacote, a ferramenta informará o nome desse grupo para que você possa corrigir o problema.
Esta ferramenta utiliza um mecanismo de verificação baseado em parâmetros de pacotes com 5 cadeias de identificação para detetar se os pacotes de entrada ou saída são permitidos ou negados a partir de uma VM. Na ferramenta, especifique uma porta local e remota, o protocolo (TCP ou UDP), o IP local, o IP remoto, a VM e a placa de rede da VM.
O que é a ferramenta de diagnóstico NSG?
A ferramenta de diagnóstico NSG (Network Security Group) fornece informações detalhadas para ajudá-lo a entender e depurar a configuração de segurança da sua rede.
Para um determinado par origem-destino, a ferramenta mostra os NSGs que serão percorridos, as regras que serão aplicadas em cada NSG e o status final de permissão/negação para o fluxo. Ao entender quais fluxos de tráfego serão permitidos ou negados em sua Rede Virtual do Azure, você pode determinar se suas regras NSG estão configuradas corretamente.
O que é a ferramenta Próximo salto?
Quando uma VM envia um pacote para um destino, pode ter de efetuar múltiplos saltos no seu percurso. Por exemplo, se o destino for uma VM em uma rede virtual diferente, o próximo salto pode ser para o gateway de rede virtual que roteia o pacote para a VM de destino.
Com a ferramenta Próximo salto, pode determinar como um pacote passa de uma VM para qualquer destino. Especifica a VM de origem, a placa de rede de origem, o endereço IP de origem e o endereço IP de destino. Em seguida, a ferramenta determina a rota do pacote. Pode utilizar esta ferramenta para diagnosticar problemas causados por tabelas de encaminhamento incorretas.
O que é a ferramenta de regras de segurança em vigor?
A ferramenta de regras de segurança em vigor no Observador de Rede apresenta todas as regras do NSG em vigor aplicadas a uma interface de rede.
Os grupos de segurança de rede (NSGs) são utilizados em redes do Azure para filtrar pacotes com base no endereço IP de origem e destino e números de porta. Os NSGs são fundamentais para garantir a segurança porque ajudam a controlar cuidadosamente a área de superfície das VMs às quais os utilizadores podem aceder. Tenha em atenção que uma regra do NSG configurada incorretamente poderá impedir a comunicação legítima. Como resultado, os NSGs são uma fonte frequente de problemas de rede.
Por exemplo, se duas VMs não conseguirem comunicar porque uma regra do NSG as está a bloquear, pode ser difícil diagnosticar que regra está a causar o problema. Utilizará a ferramenta de regras de segurança em vigor no Observador de Rede para apresentar todas as regras do NSG em vigor e ajudar a diagnosticar que regra está a causar o problema específico.
Para utilizar a ferramenta, pode escolher uma VM e a respetiva placa de rede. A ferramenta apresenta todas as regras do NSG que se aplicam a essa placa. É fácil determinar uma regra de bloqueio ao ver esta lista.
Também pode utilizar a ferramenta para identificar vulnerabilidades da sua VM causadas por portas abertas desnecessárias.
O que é a ferramenta Captura de pacotes?
A ferramenta de captura de pacotes registra todos os pacotes enviados de e para uma VM. Quando habilitada, você pode revisar a captura para coletar estatísticas sobre o tráfego de rede ou diagnosticar anomalias, como tráfego de rede inesperado em uma rede virtual privada.
A ferramenta de captura de pacotes é uma extensão de máquina virtual iniciada remotamente através do Network Watcher. Ele começa automaticamente quando você inicia uma sessão de captura de pacotes.
Lembre-se de que há um limite para o número de sessões de captura de pacotes permitidas por região. O limite de uso padrão é de 100 sessões de captura de pacotes por região e o limite geral é de 10.000. Estes limites são apenas para o número de sessões, não para capturas guardadas. Pode guardar pacotes capturados no Armazenamento do Azure ou localmente no seu computador.
A captura de pacotes tem uma dependência da Extensão da VM do Agente do Observador de Rede instalada na VM. Para obter links para instruções que detalham a instalação da extensão em VMs Windows e Linux, consulte a seção "Saiba mais" no final deste módulo.
O que é a ferramenta Resolução de problemas de ligação?
Utilize a ferramenta Resolução de problemas de ligação para verificar a conectividade de TCP entre uma VM de origem e destino. Pode especificar a VM de destino com um FQDN, um URI ou um endereço IP.
Se a conexão for bem-sucedida, serão exibidas informações sobre a comunicação, incluindo:
- A latência em milissegundos.
- O número de pacotes de pesquisa enviados.
- O número de saltos na rota completa para o destino.
Se a ligação não for efetuada com êxito, verá os detalhes da falha. Os tipos de falha incluem:
- CPU. A ligação falhou por causa da utilização elevada da CPU.
- Memória. A ligação falhou por causa da utilização de memória elevada.
- GuestFirewall. A ligação foi bloqueada por uma firewall fora do Azure.
- DNSResolution. Não é possível resolver o endereço IP de destino.
- NetworkSecurityRule. A ligação foi bloqueada por um NSG.
- UserDefinedRoute. Existe uma rota de utilizador incorreta numa tabela de encaminhamento.
O que é a ferramenta Resolução de problemas da VPN?
Pode utilizar a ferramenta Resolução de problemas da VPN para diagnosticar problemas com as ligações do gateway de rede virtual. Esta ferramenta executa diagnósticos numa ligação do gateway da rede virtual e devolve um diagnóstico de estado de funcionamento.
Quando você inicia a ferramenta de solução de problemas de VPN, o Inspetor de Rede diagnostica a integridade do gateway ou da conexão e retorna os resultados apropriados. O pedido é uma transação de longa duração.
A seguinte tabela mostra exemplos de diferentes tipos de falhas.
| Tipo de Falha | Razão | Registo |
|---|---|---|
| NoFault | Não foi detetado nenhum erro. | Sim |
| GatewayNotFound | Não é possível encontrar um gateway ou este não está aprovisionado. | Não |
| PlannedMaintenance | Uma instância do gateway está em manutenção. | Não |
| UserDrivenUpdate | Uma atualização de utilizador está em curso. A atualização poderá ser uma operação de redimensionamento. | Não |
| VipUnResponsive | A instância principal do gateway não pode ser acedida devido a uma falha da pesquisa de estado de funcionamento. | Não |
| PlatformInActive | Existe um problema com a plataforma. | Não |
Ferramentas de registo de tráfego
O Inspetor de Rede inclui as duas seguintes ferramentas de tráfego:
- Registos de fluxo
- Análise de tráfego
O que é a ferramenta de logs de fluxo?
Os logs de fluxo permitem registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Os logs de fluxo armazenam dados no armazenamento do Azure. Os dados de fluxo são enviados para o Armazenamento do Azure, de onde você pode acessá-los e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS) de sua escolha. Você pode usar esses dados para analisar padrões de tráfego e solucionar problemas de conectividade.
Os casos de uso dos logs de fluxo podem ser categorizados em dois tipos. Monitorização e otimização da utilização e monitorização da rede.
Monitorização de rede
- Identifique tráfego desconhecido ou indesejado.
- Monitore os níveis de tráfego e o consumo de largura de banda.
- Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
- Exporte logs de fluxo para ferramentas de análise e visualização de sua escolha para configurar painéis de monitoramento.
Monitorização e otimização da utilização
- Identifique os principais locutores na sua rede.
- Combine com dados GeoIP para identificar tráfego entre regiões.
- Entenda o crescimento do tráfego para previsão de capacidade.
- Use dados para remover regras de trânsito excessivamente restritivas.
O que é a ferramenta de análise de tráfego?
A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade da atividade do usuário e do aplicativo em suas redes de nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo NSG do Azure Network Watcher para fornecer informações sobre o fluxo de tráfego em sua nuvem do Azure. Com a análise de tráfego, você pode:
- Visualize a atividade de rede em suas assinaturas do Azure.
- Identifique pontos quentes.
- Proteja sua rede usando informações para identificar ameaças.
- Otimize sua implantação de rede para desempenho e capacidade entendendo os padrões de fluxo de tráfego nas regiões do Azure e na Internet.
- Identifique configurações incorretas de rede que podem levar a conexões com falha em sua rede.
Cenários de caso de utilização do Observador de Rede do Azure
Vamos examinar alguns cenários que pode investigar e resolver problemas com a monitorização e diagnóstico do Observador de Rede do Azure.
Existem problemas de conectividade numa rede de VMs
Os seus colegas implementaram uma VM no Azure e estão a ter problemas de conectividade de rede. Os seus colegas estão a tentar utilizar o protocolo RDP (Remote Desktop Protocol) para ligar à máquina virtual, mas não conseguem ligar.
Para resolver este problema, utilize a ferramenta Verificação do fluxo de IP. Esta ferramenta permite-lhe especificar uma porta local e remota, o protocolo (TCP/UDP), o IP local e o IP remoto para verificar o estado da ligação. Também permite especificar a direção da ligação (entrada ou saída). A verificação do fluxo de IP executa um teste lógico nas regras em vigor na sua rede.
Neste caso, utilize a verificação do fluxo de IP para especificar o endereço IP das VMs e a porta RDP 3389. Em seguida, especifique o endereço IP e a porta da VM remota. Escolha o protocolo TCP e, em seguida, selecione Verificar.
Suponhamos que o resultado mostra que o acesso foi negado devido à regra do NSG DefaultInboundDenyAll. A solução é alterar a regra do NSG.
Uma ligação VPN não está a funcionar
Os seus colegas implementaram VMs em duas redes virtuais e não conseguem estabelecer ligação entre as mesmas.
Para resolver problemas de uma ligação VPN, utilize a resolução de problemas da VPN do Azure. Essa ferramenta executa diagnósticos em uma conexão de gateway de rede virtual e retorna um diagnóstico de integridade. Pode executar esta ferramenta a partir do portal do Azure, PowerShell ou CLI do Azure.
Quando executa a ferramenta, esta verifica a existência de problemas comuns no gateway e devolve o diagnóstico do estado de funcionamento. Também pode ver o ficheiro de registo para obter mais informações. O diagnóstico mostrará se a conexão VPN está funcionando. Se a ligação VPN não estiver a funcionar, a resolução de problemas da VPN irá sugerir formas de resolver o problema.
Suponhamos que o diagnóstico mostra um erro de correspondência da chave. Para resolver o problema, configure novamente o gateway remoto para garantir que as chaves correspondem em ambas as extremidades. As chaves pré-partilhadas são sensíveis a maiúsculas e minúsculas.
Nenhum servidor está a escutar nas portas de destino designadas
Os seus colegas implementaram VMs numa rede virtual e não conseguem estabelecer ligação entre as mesmas.
Utilize a ferramenta Resolução de problemas de ligação para resolver este problema. Nesta ferramenta, especifica as VMs locais e remotas. Na definição de pesquisa, pode selecionar uma porta específica.
Suponha que os resultados mostrem que o servidor remoto está Inacessível, juntamente com a mensagem "Tráfego bloqueado devido à configuração do firewall da máquina virtual". No servidor remoto, desative o firewall e teste a conexão novamente.
Suponhamos que o servidor está acessível. Esse resultado indica que as regras de firewall no servidor remoto são o problema e devem ser corrigidas para permitir a conexão.