使用網路監看員監視和診斷工具來對網路進行疑難排解
Azure 網路監看員包含數個您可用來監視虛擬網路和虛擬機器 (VM) 的工具。 若要有效率地使用網路監看員,必須了解所有可用的選項及每個工具的用途。
在您的工程公司中,您希望協助員工為每個疑難排解工作選擇正確的網路監看員工具。 他們需要了解所有可用的選項,以及每個工具可解決的問題種類。
在此,您將查看網路監看員工具類別、每個類別中的工具,以及如何在範例使用案例中套用每個工具。
什麼是網路監看員?
網路監看員是一項 Azure 服務,可將工具集中放在一個中央位置,以診斷 Azure 網路的健康情況。 網路監看員工具可分成三個分類:
- 監視工具
- 網路診斷工具
- 流量記錄工具
透過工具來監視和診斷問題,網路監看員可為您提供一個集中式中樞,在網路問題、CPU 尖峰、連線能力問題、記憶體流失及其他問題影響貴企業之前先識別出它們。
網路監看員監視工具
網路監看員提供三個監視工具:
- 拓撲
- 連線監視
- 網路效能監控
讓我們查看每一個工具。
什麼是拓撲工具?
拓撲工具會產生 Azure 虛擬網路的圖形化顯示、其資源、其互相連線,以及彼此間的關聯性。
假設您必須對同事建立的虛擬網路進行疑難排解。 除非您參與了網路建立流程,否則,您可能不知道有關基礎結構的一切。 您可以使用拓撲工具,先將您正在處理的基礎結構視覺化並加以了解,然後再開始進行疑難排解。
您使用 Azure 入口網站來檢視 Azure 網路的拓撲。 在 Azure 入口網站中:
登入 Azure 入口網站,然後搜尋並選取網路監看員。
在 [網路監看員] 功能表中,選取 [監視] 底下的 [拓撲]。
依序選取訂用帳戶、虛擬網路的資源群組,以及虛擬網路本身。
注意
您在與虛擬網路相同的地理區域中需要有一個網路監看員執行個體,才能產生拓撲。
以下是針對名為 MyVNet 的虛擬網路所產生的拓撲範例。
什麼是連線監視工具?
連線監視工具提供一種方式來檢查連線會在 Azure 資源之間運作。 使用此工具來驗證兩部 VM 能否通訊 (如果希望其可互相通訊)。
此工具也可以測量資源之間的延遲。 它可以捕捉將對連線能力產生影響的變更,例如,對網路設定的變更或對網路安全性群組 (NSG) 規則的變更。 它能夠定期探查 VM,以尋找失敗或變更。
如果有問題,連線監視就會告訴您發生原因及修正方式。 除了監視 VM 之外,連線監視可以檢查 IP 位址或完整網域名稱 (FQDN)。
什麼是網路效能監控工具?
網路效能監控工具讓您能夠追蹤一段時間的延遲和封包捨棄並提供警示。 它會為您提供網路的集中式檢視。
當您決定使用網路效能監控來監視混合式連線時,請檢查相關聯的工作區位於支援的區域中。
您可以使用網路效能監控來監視端點對端點連線能力:
- 在分支和資料中心之間
- 在虛擬機器之間
- 適用於內部部署與雲端之間的連線
- 適用於 Azure ExpressRoute 線路
網路監看員診斷工具
網路監看員包括下列診斷工具:
- IP 流量驗證
- NSG 診斷
- 下一個躍點
- 有效安全性規則
- 封包擷取
- 連線疑難排解
- VPN 疑難排解
我們將檢查每個工具,並查明它們如何協助您解決問題。
什麼是 IP 流程驗證工具?
IP 流量驗證工具會告知您允許或拒絕特定虛擬機器的封包。 如果網路安全性群組拒絕封包,此工具會告知您該群組的名稱,讓您能夠修正問題。
此工具會使用以 5 組 Tuple 封包參數為基礎的驗證機制,偵測是否允許或拒絕來自 VM 的封包傳入和傳出。 在此工具內,您會指定本機和遠端連接埠、通訊協定 (TCP 或 UDP)、本機 IP、遠端 IP、VM,以及 VM 的網路介面卡。
什麼是 NSG 診斷工具?
網路安全性群組 (NSG) 診斷工具提供詳細資訊,協助您了解網路的安全性組態並進行偵錯。
針對指定的來源目的地組,此工具會顯示要周遊的 NSG、要套用在每個 NSG 中的規則,以及流程的最終允許/拒絕狀態。 藉由了解 Azure 虛擬網路中允許或拒絕哪些流量流程,您可以判斷 NSG 規則是否已正確設定。
什麼是下一個躍點工具?
當 VM 將封包傳送到目的地時,它可能會在其旅程圖中取得多個躍點。 例如,如果目的地是不同虛擬網路中的 VM,則下一個躍點可能是要將封包路由到目的地 VM 的虛擬網路閘道。
使用下一個躍點工具,您就能判斷封包如何從 VM 到任意目的地。 您可以指定來源 VM、來源網路介面卡、來源 IP 位址及目的地 IP 位址。 此工具接著會判斷封包的路由。 您可以使用此工具來診斷錯誤路由表所導致的問題。
什麼是有效的安全性規則工具?
網路監看員中的有效安全性規則工具會顯示所有適用於網路介面的有效 NSG 規則。
網路安全性群組 (NSG) 可用於 Azure 網路中,根據封包的來源與目的地 IP 位址與連接埠號碼進行篩選。 由於 NSG 會協助您縝密地控制使用者可存取的 VM 介面區,因此對於安全性而言非常重要。 但請記住,錯誤設定的 NSG 規則會阻止合法通訊。 因此,NSG 是經常發生的網路問題來源。
例如,如果兩部 VM 因為 NSG 規則封鎖它們而無法通訊,就很難診斷哪一個規則導致此問題。 您將使用網路監看員中的有效安全性規則工具來顯示所有的有效 NSG 規則,並協助您診斷哪一個規則導致該特定問題。
若要使用此工具,您可以選擇一部 VM 及其網路介面卡。 此工具會顯示適用於該介面卡的所有 NSG 規則。 您可以藉由檢視此清單,輕鬆地判斷封鎖規則。
您也可以使用此工具來發現因不必要的開放連接埠而導致的 VM 弱點。
什麼是封包擷取工具?
封包擷取工具會記錄 VM 傳入和傳出的所有封包。 啟用後,您就可以檢閱擷取的封包,藉此收集有關網路流量或診斷異常的統計資料,例如,私人虛擬網路上未預期的網路流量。
封包擷取工具是透過網路監看員遠端啟動的虛擬機器擴充功能。 會在您啟動封包擷取工作階段時自動啟動。
請記住,每個區域允許的封包擷取工作階段數量均有限制。 預設的使用量上限是每個區域 100 個封包擷取工作階段,而整體上限為 10,000。 這些限制僅適用工作階段數目,不適用已儲存的擷取。 您可以將擷取的封包儲存於 Azure 儲存體,或本機儲存於您的電腦上。
封包擷取相依於安裝於 VM 上的「網路監看員代理程式 VM 擴充功能」。 如需詳細說明如何在 Windows 與 Linux VM 上安裝延伸模組的指示連結,請參閱此課程模組結尾的<深入了解>一節。
什麼是疑難排解連線工具?
您可以使用疑難排解連線工具,檢查來源和目的地 VM 之間的 TCP 連線能力。 您可以使用 FQDN、URI 或 IP 位址來指定目的地 VM。
如果連線成功,即會出現通訊相關資訊,包括:
- 延遲 (毫秒)。
- 已傳送的探查封包數目。
- 到達目的地之完整路由中的躍點數目。
如果連線失敗,您將會看到錯誤的詳細資料。 錯誤類型包括:
- CPU。 連線因為高 CPU 使用量而失敗。
- 記憶體。 連線因為高記憶體使用量而失敗。
- GuestFirewall。 連線遭到 Azure 外部的防火牆封鎖。
- DNSResolution。 無法解析目的地 IP 位址。
- NetworkSecurityRule。 連線遭到 NSG 封鎖。
- UserDefinedRoute。 路由表中有錯誤的使用者路由。
什麼是 VPN 疑難排解工具?
您可以使用 VPN 疑難排解工具來診斷虛擬網路閘道連線的問題。 此工具會對虛擬網路閘道連線執行診斷,並傳回健康情況診斷。
當您啟動 VPN 疑難排解工具時,網路監看員就會診斷閘道或連線的健康情況,並傳回適當的結果。 此要求是長時間執行的交易。
下表顯示各種錯誤類型的範例。
| 錯誤類型 | 原因 | 記錄 |
|---|---|---|
| NoFault | 未偵測到任何錯誤。 | Yes |
| GatewayNotFound | 找不到或未佈建閘道。 | No |
| 計劃性維護 | 閘道執行個體正在進行維護。 | No |
| UserDrivenUpdate | 使用者更新正在進行中。 此更新可能是調整大小作業。 | No |
| VipUnResponsive | 閘道的主要執行個體因為健康情況探查失敗而無法連線。 | No |
| PlatformInActive | 平台發生問題。 | No |
流量記錄工具
網路監看員包括下列兩個流量工具:
- 流程記錄
- 流量分析
什麼是流程記錄工具?
流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 流程記錄會將資料儲存在 Azure 儲存體中。 流程資料會從中傳送至 Azure 儲存體,您可以從該處存取資料,並將之匯出至您選擇的任何視覺化工具、安全性資訊和事件管理 (SIEM) 解決方案,或入侵偵測系統 (IDS)。 您可以使用此資料來分析流量模式並疑難排解連線問題。
流程記錄使用案例可以分類為兩種類型。 網路監視和使用方式監視和最佳化。
網路監視
- 識別未知或不需要的流量。
- 監視流量層級和頻寬耗用量。
- 依 IP 和連接埠篩選流量記錄,以了解應用程式行為。
- 將流程記錄匯出至您選擇的分析和視覺化工具,以設定監視儀表板。
使用情況監視和最佳化
- 識別您網路中的發言最多者。
- 結合 GeoIP 資料來識別跨區域的流量。
- 了解流量成長來預測容量。
- 使用資料來移除太嚴格的流量規則。
什麼是流量分析工具?
流量分析是雲端解決方案,可對您雲端網路中的使用者與應用程式活動提供可見度。 具體而言,流量分析會分析 Azure 網路監看員 NSG 流程記錄,讓您深入了解 Azure 雲端中的流量。 使用流量分析,您可以:
- 將 Azure 訂用帳戶上的網路活動視覺化。
- 識別作用點。
- 透過使用資訊來識別威脅,以保護您的網路。
- 透過了解跨 Azure 區域和網際網路的流量流程模式,以針對效能和容量最佳化網路部署。
- 找出可能導致網路中連線失敗的網路設定錯誤。
Azure 網路監看員使用案例
我們將檢查數個案例,而您可以使用 Azure 網路監看員監視和診斷來調查和疑難排解這些案例。
單一 VM 網路中發生連線問題
您的同事已在 Azure 中部署一部 VM,但發生了網路連線問題。 您的同事正嘗試使用遠端桌面通訊協定 (RDP) 連線到虛擬機器,但無法連線。
若要對此問題進行疑難排解,請使用 IP 流程驗證工具。 此工具讓您能夠指定本機和遠端連接埠、通訊協定 (TCP/UDP)、本機 IP 及遠端 IP 來檢查連線狀態。 也能夠讓您指定連線的方向 (傳入或傳出)。 IP 流程驗證會對您網路上的規則執行邏輯測試。
在此案例中,使用 IP 流程驗證來指定 VM 的 IP 位址和 RDP 連接埠 3389。 接著,請指定遠端模擬機器的 IP 位址和連接埠。 選擇 TCP 通訊協定,然後選取 [檢查]。
假設結果顯示存取因 NSG 規則 DefaultInboundDenyAll 而遭到拒絕。 解決方案為變更此 NSG 規則。
VPN 連線無法運作
您的同事已將 VM 部署於兩個虛擬網路中,但無法在它們之間連線。
若要對 VPN 連線進行疑難排解,請使用 Azure VPN 疑難排解。 此工具會對虛擬網路閘道連線執行診斷,並傳回健康情況診斷。 您可以從 Azure 入口網站、PowerShell 或 Azure CLI 執行此工具。
當您執行此工具時,其會針對常見問題檢查閘道,並傳回健康情況診斷。 您也可以檢視記錄檔來取得詳細資訊。 診斷將顯示 VPN 連線是否在正常運作。 如果 VPN 連線並未運作,則 VPN 疑難排解將建議解決問題的方式。
假設診斷顯示金鑰錯誤。 若要解決此問題,請重新設定遠端閘道,以確保兩端的金鑰相符。 預先共用金鑰會區分大小寫。
沒有任何伺服器正在接聽指定的目的地連接埠
您的同事已將 VM 部署於單一虛擬網路中,但無法在它們之間連線。
使用疑難排解連線工具來對此問題進行疑難排解。 在此工具中,您會指定本機和遠端 VM。 在探查設定中,您可以選擇特定的連接埠。
假設結果顯示遠端伺服器無法連線,並且有「流量因虛擬機器防火牆設定而受到封鎖」這樣的訊息。請在遠端伺服器上停用防火牆,然後再次測試連線。
假設伺服器現在可以連線。 此結果指出遠端伺服器上的防火牆規則就是問題所在,必須更正才能允許連線。