Exercício – resolver problemas de uma rede com registos e métricas do Observador de Rede

  • 30 minutos

No Observador de Rede do Azure, as métricas e registos podem diagnosticar problemas de configuração complexos.

Suponhamos que tem duas máquinas virtuais (VMs) que não conseguem comunicar. Quer obter o máximo de informações possível para diagnosticar o problema.

Nesta unidade, irá resolver problemas com registos e métricas do Observador de Rede. Para diagnosticar o problema de conectividade entre as duas VMs, irá utilizar os registos do fluxo do grupo de segurança de rede (NSG).

Registar o fornecedor Microsoft.Insights

O registo de fluxo do NSG precisa do fornecedor do Microsoft.Insights. Para se registrar no provedor Microsoft.Insights, conclua as etapas a seguir.

  1. Inicie sessão no portal do Azure e aceda ao diretório com acesso à subscrição onde criou os recursos.

  2. No portal do Azure, pesquise, selecione Subscrições e, em seguida, selecione a sua subscrição. O painel Subscrição é apresentado.

  3. No menu Assinatura, em Configurações, selecione Provedores de recursos. O painel Provedores de recursos da sua assinatura é exibido.

  4. Na barra de filtros, insira microsoft.insights.

  5. Se o status do provedor microsoft.insights for NotRegistered, selecione Registrar na barra de comandos.

    Screenshot showing the registered Microsoft.Insights provider.

Criar uma conta de armazenamento

Agora, crie uma conta de armazenamento para os registos do fluxo do NSG.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. No menu de recursos, selecione Armazenamento e, em seguida, procure e selecione Conta de armazenamento. O painel Conta de armazenamento é exibido.

  3. Selecione Criar. O painel Criar conta de armazenamento é apresentado.

  4. Na guia Noções básicas, insira os seguintes valores para cada configuração.

    Definição valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição
    Grupo de recursos selecione o seu grupo de recursos
    Detalhes da instância
    Nome da conta de armazenamento Crie um nome exclusivo
    País/Região Selecione a mesma região do seu grupo de recursos

  5. Selecione Avançar: guia Avançado e verifique se o valor a seguir está definido.

    Definição valor
    Armazenamento de blobs
    Camada de acesso Hot (padrão)

  6. Selecione Rever + criar e, quando a validação for aprovada, selecione Criar.

Criar uma área de trabalho do Log Analytics

Para ver os registos do fluxo do NSG, irá utilizar o Log Analytics.

  1. No menu do portal do Azure ou na página inicial , procure e selecione espaços de trabalho do Log Analytics. O painel de espaços de trabalho do Log Analytics é exibido.

  2. Na barra de comandos, selecione Criar. O painel de espaço de trabalho Criar Análise de Log é exibido.

  3. Na guia Noções básicas, insira os seguintes valores para cada configuração.

    Definição valor
    Detalhes do projeto
    Subscrição Selecione a sua subscrição
    Grupo de recursos selecione o seu grupo de recursos
    Detalhes da instância
    Nome testsworkspace
    Região Selecione a mesma região do seu grupo de recursos

  4. Selecione Rever + Criar e, após a validação ser aprovada, selecione Criar.

Ativar registos de fluxo

Para configurar os registos de fluxo, tem de configurar o NSG para ligar à conta de armazenamento e adicionar a análise de tráfego ao NSG.

  1. No menu do portal do Azure, selecione Todos os recursos. Em seguida, selecione o grupo de segurança de rede MyNsg .

  2. No menu MyNsg, em Monitoramento, selecione Logs de fluxo NSG. O MyNsg | O painel de logs de fluxo NSG é exibido.

  3. Selecione Criar. O painel Criar um log de fluxo é exibido.

  4. Na guia Noções básicas, selecione ou insira os seguintes valores.

    Definição valor
    Detalhes do projeto
    Subscrição Selecione sua assinatura na lista suspensa.
    + Selecionar recurso No painel Selecionar grupo de segurança de rede, procure e selecione MyNsg e Confirmar seleção.
    Detalhes da instância
    Subscrição Selecione sua assinatura na lista suspensa.
    Contas de Armazenamento Selecione o nome exclusivo da sua conta de armazenamento.
    Retenção (dias) 5

  5. Selecione Next: Analytics e, em seguida, selecione ou insira os seguintes valores.

    Definição valor
    Versão dos Logs de Fluxo Versão 2
    Análise de Tráfego A opção Ativar Análise de Tráfego está marcada.
    Intervalo de processamento do Traffic Analytics A cada 10 minutos
    Subscrição Selecione sua assinatura na lista suspensa.
    Área de trabalho do Log Analytics Selecione testworkspace na lista suspensa.

  6. Selecione Rever + criar.

  7. Selecione Criar.

  8. Quando a implementação for concluída, selecione Ir para recurso.

Gerar tráfego de teste

Agora, está pronto para gerar algum tráfego de rede entre VMs para capturar o registo de fluxos.

  1. No menu de recursos, selecione Todos os recursos e, em seguida, selecione FrontendVM.

  2. Na barra de comandos, selecione Conectar, RDP e Baixar arquivo RDP. Se vir um aviso sobre o publicador da ligação remota, selecione Ligar.

  3. Inicie o arquivo FrontendVM.rdp e selecione Conectar.

  4. Quando suas credenciais forem solicitadas, selecione Mais opções e entre com o nome de usuário azureuser e a senha especificada quando criou a VM.

  5. Quando for solicitado um certificado de segurança, selecione Sim.

  6. Na sessão RDP, se solicitado, permita que seu dispositivo seja detetável SOMENTE se estiver em uma rede privada.

  7. Abra um prompt do PowerShell e execute o seguinte comando.

    Test-NetConnection 10.10.2.4 -port 80

O teste de conexão TCP falha após alguns segundos.

Diagnosticar o problema

Agora, vamos utilizar a análise de registos para ver os registos do fluxo do NSG.

  1. No menu de recursos do portal do Azure, selecione Todos os serviços, selecione Rede e, em seguida, selecione Inspetor de Rede. O painel Inspetor de Rede é exibido.

  2. No menu de recursos, em Logs, selecione Análise de Tráfego. O Observador da Rede | O painel Análise de Tráfego é exibido.

  3. Na lista suspensa FlowLog Subscriptions, selecione sua assinatura.

  4. Na lista suspensa do espaço de trabalho do Log Analytics, selecione testworkspace.

  5. Utilize as diferentes vistas para diagnosticar o problema que impede a comunicação da VM de front-end para a VM de back-end.

Corrigir o problema

Uma regra NSG está bloqueando o tráfego de entrada para a sub-rede de back-end de todos os lugares nas portas 80, 443 e 3389 em vez de apenas bloquear o tráfego de entrada da Internet. Vamos reconfigurar essa regra agora.

  1. No menu de recursos do portal do Azure, selecione Todos os recursos e, em seguida, selecione MyNsg na lista.

  2. No menu MyNsg, em Configurações, selecione Regras de segurança de entrada e, em seguida, selecione MyNSGRule. O painel MyNSGRule é exibido.

  3. Na lista suspensa Origem, selecione Etiqueta de serviço e, na lista suspensa Marca de serviço de origem, selecione Internet.

  4. Na barra de comandos MyNSGRule, selecione Guardar para atualizar a regra de segurança.

Testar novamente a ligação

As ligações na porta 80 deverão funcionar sem problemas.

  1. No cliente RDP, ligue-se a FrontendVM. No prompt do PowerShell, execute o seguinte comando.

    Test-NetConnection 10.10.2.4 -port 80

O teste de ligação deverá ser concluído com êxito.