Exercício - Solucionar problemas de uma rede usando métricas e logs do Inspetor de Rede

  • 30 minutos

No Azure Network Watcher, métricas e logs podem diagnosticar problemas de configuração complexos.

Suponha que você tenha duas máquinas virtuais (VMs) que não podem se comunicar. Você quer obter o máximo de informações possível para diagnosticar o problema.

Nesta unidade, você solucionará problemas usando métricas e logs do Inspetor de Rede. Para diagnosticar o problema de conectividade entre as duas VMs, você usará os logs de fluxo do NSG (grupo de segurança de rede).

Registrar o provedor Microsoft.Insights

O registo de fluxo NSG requer o provedor de Microsoft.Insights. Para se registrar no provedor Microsoft.Insights, conclua as etapas a seguir.

  1. Entre no portal do Azuree faça logon no diretório com acesso à assinatura na qual você criou recursos.

  2. No portal do Azure, pesquise, selecione Assinaturase, em seguida, selecione a sua assinatura. O painel Subscrição é apresentado.

  3. No menu Subscrição, em Definições, selecione Fornecedores de recursos. O painel Provedores de recursos da sua assinatura é exibido.

  4. Na barra de filtros, insira microsoft.insights.

  5. Se o status do provedor de microsoft.insights for NotRegistered, selecione Registrar na barra de comandos.

    Captura de tela mostrando o provedor Microsoft.Insights registrado.

Criar uma conta de armazenamento

Agora, crie uma conta de armazenamento para os logs de fluxo do NSG.

  1. No menu do portal do Azure ou na página Home, selecione Criar um recurso.

  2. No menu de recursos, selecione Armazenamento, depois procure e selecione Conta de Armazenamento. O painel da conta Storage é exibido.

  3. Selecione Criar. O painel Criar conta de armazenamento é exibido.

  4. No separador Básicos, introduza os seguintes valores para cada definição.

    Cenário Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição
    Grupo de recursos Selecione seu grupo de recursos
    Detalhes da instância
    Nome da conta de armazenamento Criar um nome exclusivo
    Região Selecione a mesma região que o seu grupo de recursos

  5. Selecione a guia Seguinte: Avançado e verifique se o valor a seguir está definido.

    Cenário Valor
    de armazenamento de Blob
    Camada de acesso Quente (padrão)

  6. Selecione Rever + criare, quando a validação estiver concluída, selecione Criar.

Criar um espaço de trabalho do Log Analytics

Para visualizar os logs de fluxo do NSG, você usará o Log Analytics.

  1. No menu do portal do Azure ou na página Início do, pesquise e selecione espaços de trabalho do Log Analytics. O painel espaços de trabalho do Log Analytics é exibido.

  2. Na barra de comandos, selecione Criar. O painel Criar espaço de trabalho de Análise de Registo é exibido.

  3. Na guia Noções básicas do, insira os seguintes valores para cada configuração.

    Configuração Valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição
    Grupo de recursos Selecione seu grupo de recursos
    Detalhes da instância
    Nome testsworkspace
    Região Selecione a mesma região que o seu grupo de recursos

  4. Selecione Rever + Criare, depois da validação ser concluída, selecione Criar.

Habilitar logs de fluxo

Para configurar logs de fluxo, deve-se configurar o NSG para se conectar à conta de armazenamento e adicionar a análise de tráfego ao NSG.

  1. No menu do portal do Azure, selecione Todos os recursos. Em seguida, selecione o MyNsg grupo de segurança de rede.

  2. No menu MyNsg, em Monitoring, selecione registos de fluxo NSG. O painel MyNsg | Logs de fluxo NSG é exibido.

  3. Selecione Criar. O painel Criar um log de fluxo é exibido.

  4. Na guia Noções básicas, selecione ou insira os seguintes valores.

    Cenário Valor
    Detalhes do projeto
    Subscrição Selecione a sua assinatura na lista suspensa.
    + Selecionar recurso No painel de seleção do grupo de segurança de rede , procure e selecione o MyNsg e confirme a seleção.
    Detalhes da instância
    Subscrição Selecione a sua assinatura na lista suspensa.
    Contas de armazenamento Selecione o nome exclusivo da sua conta de armazenamento.
    Retenção (dias) 1

  5. Selecione Next: Analyticse, em seguida, selecione ou insira os seguintes valores.

    Cenário Valor
    Versão dos Logs de Fluxo Versão 2
    Análise de Tráfego A opção Ativar Análise de Tráfego está marcada.
    Intervalo de processamento do Traffic Analytics A cada 10 minutos
    Subscrição Selecione a sua assinatura na lista suspensa.
    Espaço de trabalho do Log Analytics Selecione testworkspace na lista suspensa.

  6. Selecione Rever + criar.

  7. Selecione Criar.

  8. Quando a implantação estiver concluída, selecione Ir para o recurso.

Gerar tráfego de teste

Agora, você está pronto para gerar algum tráfego de rede entre VMs para capturar no log de fluxo.

  1. No menu de recursos, selecione Todos os recursose, em seguida, selecione FrontendVM.

  2. Na barra de comandos, selecione Conectare, em seguida, selecione RDP e, em seguida, selecione Baixar arquivo RDP. Se vir um aviso sobre o editor da ligação remota, selecione Conectar.

  3. Inicie o FrontendVM.rdp arquivo e selecione Connect.

  4. Quando suas credenciais forem solicitadas, selecione Mais opções e entre com o nome de usuário azureuser e a senha que você especificou quando criou a VM.

  5. Quando for solicitado um certificado de segurança, selecione Sim.

  6. Na sessão RDP, se solicitado, permita que seu dispositivo seja detetável SOMENTE se estiver em uma rede privada.

  7. Abra um prompt do PowerShell e execute o seguinte comando.

    Test-NetConnection 10.10.2.4 -port 80

O teste de conexão TCP falha após alguns segundos.

Diagnosticar o problema

Agora, vamos usar a análise de log para exibir os logs de fluxo do NSG.

  1. No menu de recursos do portal do Azure, selecione Todos os serviços, selecione Redee, em seguida, selecione Monitor de Rede. O painel Observador de Rede é aberto.

  2. No menu de recursos, em Logs, selecione Análise de Tráfego. O Network Watcher | O painel Análise de Tráfego é exibido.

  3. Na lista suspensa FlowLog Subscriptions, selecione a sua assinatura.

  4. Na lista suspensa espaço de trabalho do Log Analytics, selecione testworkspace.

  5. Use os diferentes modos de exibição para diagnosticar o problema que impede a comunicação da VM frontend para a VM backend.

Corrigir o problema

Em vez de apenas bloquear o tráfego de entrada da Internet, uma regra NSG está bloqueando o tráfego de entrada para a sub-rede backend de qualquer lugar pelas portas 80, 443 e 3389. Vamos reconfigurar essa regra agora.

  1. No menu de recursos do portal do Azure, selecione Todos os recursose, em seguida, selecione MyNsg na lista.

  2. No menu MyNsg, em Configurações, selecione Regras de segurança de entradae, em seguida, selecione MyNSGRule. O painel MyNSGRule é exibido.

  3. Na lista suspensa Fonte , selecione Etiqueta de Serviço , e na lista suspensa de etiqueta de serviço de origem , selecione Internet .

  4. Na barra de comandos MyNSGRule, selecione Salvar para atualizar a regra de segurança.

Teste novamente a conexão

As conexões na porta 80 agora devem funcionar sem problemas.

  1. No cliente RDP, conecte-se ao FrontendVM. No prompt do PowerShell, execute o seguinte comando.

    Test-NetConnection 10.10.2.4 -port 80

O teste de conexão agora deve ser bem-sucedido.