Så här fungerar Azure Network Watcher

  • 5 minuter

Network Watcher blir automatiskt tillgängligt när du skapar ett virtuellt nätverk i en Azure-region i din prenumeration. Du kan komma åt Network Watcher direkt i Azure-portalen genom att skriva Network Watcher i sökfältet .

Screenshot that shows how to search for Network Watcher in the Azure portal.

Topologiverktyg för Network Watcher

Topologifunktionen i Azure Network Watcher gör att du kan visa alla följande resurser i ett virtuellt nätverk. Inklusive de resurser som är associerade med resurser i ett virtuellt nätverk och relationerna mellan resurserna.

  • Undernät
  • Nätverksgränssnitt
  • Nätverkssäkerhetsgrupper
  • Lastbalanserare
  • Hälsoavsökningar för lastbalanserare
  • Offentliga IP-adresser
  • Virtuell nätverkspeering
  • Virtuella nätverksgatewayer
  • VPN-gatewayanslutningar
  • Virtuella datorer
  • Virtual Machine Scale Sets

Alla resurser som returneras i en topologi har följande egenskaper:

  • Namn: Namnet på resursen.
  • ID: Resursens URI.
  • Plats: Den Azure-region som resursen finns i.
  • Associationer: En lista över associationer till det refererade objektet. Varje association har följande egenskaper:
    • AssociationType: Refererar till relationen mellan det underordnade objektet och det överordnade objektet. Giltiga värden är Contains och Associated.
    • Namn: Namnet på den refererade resursen.
    • ResourceId: URI:n för resursen som refereras i associationen.

Anslut ion Monitor-verktyget

Anslutningsövervakare ger enhetlig anslutningsövervakning från slutpunkt till slutpunkt i Azure Network Watcher. Anslut ion Monitor stöder både hybriddistributioner och Azure-molndistributioner. Du kan använda verktyget Anslut ion Monitor för att mäta svarstiden mellan resurser. Anslut ion Monitor kan identifiera ändringar som påverkar anslutningen, till exempel ändringar i nätverkskonfigurationen eller ändringar av NSG-regler. Du kan konfigurera Anslut ion Monitor att avsöka virtuella datorer med jämna mellanrum för att söka efter fel eller ändringar. Anslut ion Monitor kan diagnostisera problem och ge förklaringar om varför problemet inträffade och vilka steg du kan vidta för att åtgärda ett problem.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Om du vill använda Anslut ion Monitor för övervakning måste du installera övervakningsagenter på de värdar som du övervakar. Anslut ion Monitor använder enkla körbara filer för att köra anslutningskontroller, oavsett om en värd finns i ett virtuellt Azure-nätverk eller i ett lokalt nätverk. Med virtuella Azure-datorer kan du installera den virtuella datorn Network Watcher Agent, även kallat Network Watcher-tillägget. För lokala datorer kan du aktivera den här funktionen genom att installera Log Analytics-agenten.

Kontrollera IP-flöde

Verktyget för verifiering av IP-flöde använder en 5-tupplare paketparameterbaserad verifieringsmekanism för att identifiera om paket som är inkommande eller utgående tillåts eller nekas från en virtuell dator. I verktyget kan du ange en lokal port och fjärrport, protokollet (TCP eller UDP), den lokala IP-adressen, fjärr-IP,den virtuella datorn och den virtuella datorns nätverkskort.

Nästa hopp

Trafik från en virtuell IaaS-dator skickas till ett mål baserat på de effektiva vägar som är associerade med ett nätverksgränssnitt (NIC). Nästa hopp hämtar nästa hopptyp och IP-adress för ett paket från en specifik virtuell dator och nätverkskort. Genom att känna till nästa hopp kan du avgöra om trafiken dirigeras till det avsedda målet eller om trafiken inte skickas någonstans. En felaktig konfiguration av vägar, där trafik dirigeras till en lokal plats eller till en virtuell installation, kan leda till anslutningsproblem. Nästa hopp returnerar också routningstabellen som är associerad med nästa hopp. Om vägen definieras som en användardefinierad väg returneras den vägen. Annars returnerar System Routenästa hopp .

Gällande säkerhetsregler

Nätverkssäkerhetsgrupper (NSG:er) filtrerar paket baserat på deras käll- och mål-IP-adress och portnummer. Mer än en NSG kan gälla för en IaaS-resurs i ett virtuellt Azure-nätverk. Genom att ta hänsyn till alla regler som tillämpas på alla NSG:er för en resurs kan du med verktyget Effektiva säkerhetsregler avgöra varför viss trafik kan nekas eller tillåtas.

Paketfångst

Paketinsamling är ett tillägg för virtuella datorer som fjärrstartas via Network Watcher. Den här funktionen underlättar belastningen att köra en paketinsamling manuellt på en specifik virtuell dator med hjälp av operativsystemverktyg eller verktyg från tredje part. Paketinsamling kan utlösas via portalen, PowerShell, Azure CLI eller REST API. Med Network Watcher kan du konfigurera filter för avbildningssessionen så att du kan samla in trafik som du vill övervaka. Filtren baseras på information om 5 tuppler (protokoll, lokal IP-adress, fjärr-IP-adress, lokal port och fjärrport). Insamlade data lagras på den lokala disken eller i en lagringsblob.

Felsökning av anslutning

Verktyget för anslutningsfelsökning kontrollerar TCP-anslutningen mellan en källa och en virtuell måldator. Du kan ange den virtuella måldatorn med hjälp av ett FQDN, en URI, eller en IP-adress. Om anslutningen lyckas visas information om kommunikationen, inklusive:

  • Svarstiden i millisekunder.
  • Antalet försökspaket som har skickades.
  • Antalet hopp i den fullständiga vägen till målet.

Om anslutningen misslyckas visar verktyget information om felet. Du kan se följande feltyper:

  • CPU: Anslutningen misslyckades på grund av hög CPU-användning.
  • Minne: Anslutningen misslyckades på grund av hög minnesanvändning.
  • GuestFirewall: En brandvägg utanför Azure blockerade anslutningen.
  • DNSResolution: Mål-IP-adressen kunde inte matchas.
  • NetworkSecurityRule: En NSG blockerade anslutningen.
  • UserDefinedRoute: Det finns en felaktig användarväg i en routningstabell.

VPN-felsökning

Network Watcher har möjlighet att felsöka gatewayer och anslutningar. Funktionen kan anropas via portalen, PowerShell, Azure CLI eller REST API. När det anropas diagnostiserar Network Watcher hälsotillståndet för gatewayen eller anslutningen och returnerar sedan lämpliga resultat. Förfrågan är en tidskrävande transaktion. De preliminära resultat som returneras ger en övergripande bild av resursens hälsotillstånd.

I följande lista beskrivs de värden som returneras genom att anropa API:et för VPN-felsökning:

  • startTime: Den tid då felsökningen startade.
  • endTime: Tiden då felsökningen avslutades.
  • kod: Det här värdet är UnHealthy om det finns ett enda diagnosfel.
  • resultat: En samling resultat som returneras på anslutningen eller den virtuella nätverksgatewayen.
    • id: Feltypen.
    • sammanfattning: En sammanfattning av felet.
    • detaljerad: En detaljerad beskrivning av felet.
    • recommendedActions: En samling rekommenderade åtgärder att vidta.
    • actionText: Text som beskriver vilken åtgärd som ska vidtas.
    • actionUri: URI:n för dokumentation som beskriver vilka åtgärder som ska vidtas.
    • actionUriText: En kort beskrivning av åtgärdstexten.