使用 Azure 网络观察程序监视网络

  • 14 分钟

Azure 网络观察程序

Azure 网络观察程序是一种区域服务,使你能够监视和诊断网络状况。 利用监视,你可以在端到端网络级别视图中诊断问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 网络观察程序旨在监视和修复 IaaS 产品的网络运行状况,这些产品包括虚拟机、虚拟网络、应用程序网关和负载均衡器。

Azure 网络观察程序示例场景

  • 使用数据包捕获实现远程网络监视的自动化。 使用网络观察程序监视和诊断网络问题,无需登录虚拟机 (VM)。 通过设置警报触发数据包捕获,并获取对数据包级别上的实时性能信息的访问权限。 发现问题时,可以详细调查以更好地进行诊断。
  • 使用流日志深入了解网络流量。 使用网络安全组流日志更深入地了解网络流量模式。 流日志提供的信息可帮助收集符合性数据、审核和监视网络安全配置文件。
  • 诊断 VPN 连接问题。 网络观察程序使你能够诊断最常见的 VPN 网关和连接问题。 让你可以确定问题,并使用详细日志进一步调查。

Azure 网络观察程序工具

网络拓扑。 拓扑功能可以在虚拟网络中生成资源的视觉化图表以及资源之间的关系。

验证 IP 流。 快速诊断来往于 Internet 或本地环境的连接问题。 例如,确认安全规则是否正在阻止虚拟机中的入口或出口流量。 IP 流验证非常适合用于确保正确应用安全规则。

下一个跃点。 通过显示下一个跃点来确定流量是否正流向预期目标。 此信息有助于确定是否正确配置了网络路由。 根据实际情况,下一个跃点可能是 Internet、虚拟设备、虚拟网络网关、VNet 本地、VNet 对等互连或无跃点。 “无跃点”使你能够知道尽管可能存在路由到目标的有效系统,但没有下一个跃点将流量路由到目标。

有效安全规则。 网络安全组可以在子网级别或 NIC 级别关联。 有效的安全规则视图会返回为虚拟机关联的所有已配置的 NSG 和规则。 使用有效的安全规则视图,可以评估 VM 是否存在网络漏洞,如开放的端口。

VPN 诊断。 VPN 诊断会返回大量信息以帮助对网关和连接问题进行故障排除。 摘要信息包括连接统计信息、CPU 和内存信息、IKE 安全错误、数据包丢失以及缓冲区和事件。

数据包捕获。 数据包捕获让你能够创建捕获会话以跟踪进出虚拟机的流量。 数据包捕获有助于以主动和被动方式诊断网络异常。 其他用途包括收集网络统计信息,获得网络入侵信息,以及调试客户端与服务器之间的通信。

连接故障排除。 Azure 网络观察程序连接故障排除是网络观察程序网络工具和功能套件的最新新增功能。 连接故障排除功能可以提供网络性能数据以帮助对连接问题进行故障排除。

NSG 流日志。 NSG 流日志通过网络安全组映射 IP 流量。 NSG 流日志的常见用例包括:

  • 网络监视。 标识未知或不需要的流量。 监视流量水平和带宽消耗。 按 IP 和端口筛选流日志,以了解应用程序的行为。 将流日志导出到所选的分析和可视化工具,以设置监视仪表板。
  • 使用情况监视和优化。 标识网络中最活跃的通信方。 结合其他数据来确定跨区域流量。 了解流量增长情况以进行容量预测。 使用数据来移除明显限制的流量规则。
  • 合规性。 使用流数据来验证网络隔离和企业访问规则的合规性。
  • 网络取证和安全分析。 分析来自已遭入侵的 IP 和网络接口的网络流。 将流日志导出到所选的任何 SIEM 或 IDS 工具。

连接监视器概述

连接监视器在 Azure 网络观察程序中提供统一的端到端连接监视。 连接监视器功能支持混合部署和 Azure 云部署。 网络观察程序提供的工具可用于监视、诊断和查看针对 Azure 部署的与连接相关的指标。

展示连接监视器概略视图的示意图

下面是连接监视器的一些优点:

  • 符合 Azure 和混合监视需求的统一直观体验。
  • 跨区域、跨工作区的连接监视。
  • 提高了探测频率并更好地了解网络性能。
  • 为混合部署更快地发出警报。
  • 支持基于 HTTP、TCP 和 ICMP 的连接性检查。
  • 对 Azure 和非 Azure 测试设置的指标和 Log Analytics 支持。

下面是连接监视器的一些用例:

  • 前端 Web 服务器 VM 在多层应用程序中与数据库服务器 VM 通信。 你希望检查两个 VM 之间的网络连接。
  • 你希望美国东部区域的 VM 能够端对端连接到美国中部区域的 VM,并且希望比较两者的跨区域网络延迟。
  • 你有多个本地办公场所位于华盛顿州西雅图和弗吉尼亚州阿什本。 你的办公地点连接到 Microsoft 365 URL。 针对 Microsoft 365 URL 的用户,在西雅图和阿什本之间比较延迟。
  • 混合应用程序需要连接到 Azure 存储终结点。 本地站点和 Azure 应用程序连接到相同的 Azure 存储终结点。 希望比较本地站点的延迟与 Azure 应用程序的延迟。
  • 希望检查本地设置与托管云应用程序的 Azure VM 之间的连接。

连接监视器组件

连接监视器包含以下主要组件。

  • 连接监视器资源 – 特定于区域的 Azure 资源。 以下所有实体都是连接监视器资源的属性。
  • 终结点 – 参与连接检查的源或目标。 终结点的示例包括 Azure VM、本地代理、URL 和 IP。
  • 测试配置 – 针对测试的特定于协议的配置。 根据选定协议,可以定义端口、阈值、测试频率和其他参数。
  • 测试组 – 包含源终结点、目标终结点和测试配置的组。 连接监视器可包含多个测试组。
  • 测试 – 将源终结点、目标终结点和测试配置组合在一起。 测试是可用于监视数据的最精细级别。 监视数据包括检查失败的百分比和往返时间 (RTT)。

展示连接监视器关键组件的示意图

流量分析

流量分析是一种基于云的解决方案,可用于洞察云网络中的用户和应用程序活动。 流量分析分析网络观察程序网络安全组 (NSG) 流日志,以深入了解 Azure 云中的流量流,并为写入 NSG 流日志的数据提供丰富的可视化效果。

使用流量分析可以:

  • 直观查看各个 Azure 订阅中的网络活动,以及识别热点。
  • 参考有关开放的端口、尝试访问 Internet 的应用程序以及连接到恶意网络的虚拟机 (VM) 的信息,来识别网络安全威胁和保护网络。
  • 确定跨 Azure 区域和 Internet 的流量流模式。
  • 查明导致网络连接失败的不当网络配置。

流量分析的工作原理

流量分析会检查原始 NSG 流日志。 将聚合原始日志,然后进行增强。 增强包括地理、安全性和拓扑信息。 然后,这些信息会存储在 Log Analytics 工作区中,可用于分析。 下图演示了此数据流。

展示流量分析的示意图

此屏幕截图显示了流量分析仪表板。

网络观察程序 - 流量分析仪表板

知识检查

1.

以下有关网络观察程序的哪项陈述是正确的?

2.

以下哪一项是流量分析的组件?