Принцип работы Наблюдателя за сетями Azure

  • 5 мин

Наблюдатель за сетями становится автоматически доступным при создании виртуальной сети в регионе Azure в подписке. Вы можете получить доступ к Наблюдателю за сетями непосредственно на портале Azure, введя Наблюдатель за сетями на панели Поиск.

Screenshot that shows how to search for Network Watcher in the Azure portal.

Средство "Топология Наблюдателя за сетями"

Возможность топологии Azure Наблюдатель за сетями позволяет просматривать все перечисленные ниже ресурсы в виртуальной сети. В том числе, ресурсы, связанные с ресурсами в виртуальной сети, и связи между ресурсами.

  • подсети;
  • Сетевые интерфейсы
  • Группы безопасности сети
  • Подсистема балансировки нагрузки
  • Пробы работоспособности Load Balancer
  • общедоступные IP-адреса;
  • Пиринг между виртуальными сетями
  • Шлюзы виртуальной сети
  • Подключения через VPN-шлюзы
  • Виртуальные машины
  • Масштабируемые наборы виртуальных машин

Все ресурсы, возвращаемые в топологии, имеют следующие свойства:

  • Name: имя ресурса.
  • Id (Идентификатор): URI ресурса.
  • Location: регион Azure, в котором находится ресурс.
  • Associations (Связи): список связей объекта по ссылке. Каждая ассоциация имеет следующие свойства:
    • AssociationType (Тип связи): значение, которое ссылается на связь между дочерним и родительским объектом. Допустимые значения — Contains и Associated.
    • Name (Имя): имя ресурса, на который указывает ссылка.
    • ResourceId: URI ресурса, на который ссылается ссылка в ассоциации.

Средство "Монитор подключений"

Монитор подключений обеспечивает единый мониторинг сквозных подключений в Наблюдателе за сетями Azure. Монитор подключений поддерживает гибридные развертывания и облачное развертывание Azure. Вы можете использовать средство Монитор подключений для измерения задержки между ресурсами. Монитор подключений может обнаруживать изменения, влияющие на подключение, например изменения конфигурации сети или изменения правил NSG. Вы можете настроить Монитор подключений для выполнения проб виртуальных машин через регулярные промежутки времени, чтобы найти ошибки или изменения. Монитор подключений может диагностировать проблемы и выдавать объяснения о причинах возникшей проблемы и действиях, которые можно предпринять для ее устранения.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Чтобы использовать Монитор подключений для мониторинга, необходимо установить агенты мониторинга на узлах, которые вы отслеживаете. Монитор подключений использует упрощенные исполняемые файлы для выполнения мониторинга подключения, независимо от того, расположен узел в виртуальной сети Azure или в локальной сети. С помощью виртуальных машин Azure можно установить виртуальную машину агента Наблюдатель за сетями, также называемую расширением Наблюдатель за сетями. Для локальных компьютеров эту функцию можно включить, установив агент Log Analytics.

Проверка IP-потока

Средство проверки IP-потока использует механизм проверки на основе параметров пакетов из пяти кортежей, чтобы определить, разрешены или запрещены входящие или исходящие пакеты на виртуальной машине. В средстве можно указать локальный и удаленный порт, протокол (TCP или UDP), локальный IP-адрес, удаленный IP-адрес, виртуальную машину и сетевой адаптер виртуальной машины.

Следующий прыжок

Трафик из виртуальной машины IaaS отправляется в место назначения по действующим маршрутам, связанным с сетевым интерфейсом (NIC). Следующий прыжок получает тип следующего прыжка и IP-адрес пакета из определенной виртуальной машины и сетевого интерфейса. Знание следующего прыжка поможет определить, направляется ли трафик в предполагаемый пункт назначения или же трафик отправляется неправильно. Неправильная конфигурация маршрутов, при которой трафик направляется в локальное расположение или в виртуальное устройство, может привести к проблемам с подключением. Функция определения следующего прыжка также возвращает таблицу маршрутов, связанную со следующим прыжком. Если маршрут определен как определяемый пользователем, этот маршрут возвращается. В противном случае при следующем прыжке возвращается System Route.

Действующие правила безопасности

Группы безопасности сети (NSG) фильтруют пакеты на основе их исходного и целевого IP-адреса и номеров портов. К ресурсу IaaS в виртуальной сети Azure можно применить несколько групп безопасности сети. Учитывая все правила, применяемые во всех группах безопасности сети для ресурса, средство "Действующие правила безопасности" позволяет определить, почему некоторый трафик может быть запрещен или разрешен.

Запись пакетов

Запись пакетов — это расширение виртуальной машины, которое запускается удаленно в службе наблюдения за сетями. Эта возможность избавляет от сложностей, связанных с выполнением сбора пакетов для конкретной виртуальной машины вручную, благодаря использованию средств операционной системы или сторонних служебных программ. Запись пакетов можно запустить с помощью портала, PowerShell, Azure CLI или REST API. Наблюдатель за сетями позволяет настроить фильтры для сеанса записи, чтобы обеспечить захват трафика, который необходимо отслеживать. В фильтрах используются сведениях о пяти кортежах (протокол, локальный IP-адрес, удаленный IP-адрес, локальный порт, удаленный порт). Захваченные данные хранятся на локальном диске или в большом двоичном объекте хранилища.

Устранение неполадок подключения

Средство устранения неполадок подключения проверяет TCP-подключения между исходной и целевой виртуальными машинами. Целевую виртуальную машину можно указать с помощью полного доменного имени (FQDN), URI или IP-адреса. Если подключение установлено успешно, отображаются сведения о связи, в том числе следующие.

  • Время задержки в миллисекундах.
  • Число отправленных пробных пакетов.
  • Число прыжков в полном маршруте к месту назначения.

Если при подключении происходит сбой, средство отображает сведения об ошибке. Могут отображаться ошибки следующих типов:

  • ЦП: сбой подключения из-за высокой загрузки ЦП.
  • Память: сбой подключения из-за высокой загрузки памяти.
  • GuestFirewall: брандмауэр за пределами Azure заблокировал подключение.
  • DNSResolution: не удалось разрешить IP-адрес назначения.
  • NetworkSecurityRule: группа безопасности сети заблокировала подключение.
  • UserDefinedRoute: в таблице маршрутизации указан неправильный маршрут пользователя.

Устранение неполадок VPN

Служба "Наблюдатель за сетями" дает возможность устранять неполадки шлюзов и подключений. Эту возможность можно вызвать с помощью портала, PowerShell, Azure CLI или REST API. При вызове Наблюдатель за сетями выполняет диагностику работоспособности шлюза или подключения, а затем возвращает соответствующие результаты. Запрос представляет собой долго выполняющуюся транзакцию. Возвращаемые предварительные результаты позволяют получить общую картину работоспособности ресурса.

В следующем списке описаны значения, возвращаемые вызовом API устранения неполадок VPN:

  • startTime: время начала устранения неполадок.
  • endTime: время завершения устранения неполадок.
  • код. Это значение имеет значение, если имеется UnHealthy один сбой диагностики.
  • результаты: коллекция результатов, возвращаемых в подключении или шлюзе виртуальной сети.
    • id: тип сбоя.
    • сводка: сводка по ошибке.
    • подробное описание ошибки.
    • рекомендуемые действия. Коллекция рекомендуемых действий.
    • actionText: текст, описывающий, какое действие следует предпринять.
    • actionUri: универсальный код ресурса (URI) для документации, описывающей действия, которые необходимо предпринять.
    • actionUriText: краткое описание текста действия.