練習 - 使用網路監看員計量和記錄來對網路進行疑難排解

已完成

在 Azure 網路監看員中，計量和記錄可以診斷複雜的設定問題。

假設您有兩部無法通訊的虛擬機器 (VM)。 您希望盡可能獲得最多資訊以診斷該問題。

在本單元中，您將使用網路監看員計量和記錄來進行疑難排解。 為了診斷兩部 VM 之間的連線問題，您將使用網路安全性群組 (NSG) 流量記錄。

註冊 Microsoft.Insights 提供者

NSG 流程記錄需要 Microsoft.Insights 提供者。 若要註冊 Microsoft.Insights 提供者，請完成下列步驟。

1. 登入 Azure 入口網站，根據您已建立資源的訂用帳戶，以其存取權登入目錄。

2. 在 [Azure 入口網站] 中，搜尋並選取 [訂用帳戶]，然後選取您的訂用帳戶。 [訂用帳戶] 窗格隨即出現。

3. 在 [訂閱] 功能表的 [設定] 下，選取 [資源提供者]。 您訂用帳戶的 [資源提供者] 窗格會隨即出現。

4. 在篩選列中，輸入 microsoft.insights。

5. 如果 microsoft.insights 提供者的狀態是 NotRegistered，請在命令列中選取 [註冊]。

   

建立儲存體帳戶

現在，為 NSG 流程記錄建立儲存體帳戶。

1. 從 Azure 入口網站功能表或 [首頁] 頁面，選取 [建立資源]。

2. 在 [資源] 功能表中，選取 [儲存體]，然後搜尋並選取 [儲存體帳戶]。 [儲存體帳戶] 窗格隨即出現。

3. 選取 建立。 [建立儲存體帳戶] 窗格隨即出現。

4. 在 [基本] 索引標籤上，為每個設定輸入下列值。

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶
   資源群組	選取您的資源群組
   [執行個體詳細資料]
   儲存體帳戶名稱	建立唯一的名稱
   區域	選取與您的資源群組相同的區域

5. 選取 [下一步：進階] 索引標籤，並確定已設定下列值。

   設定	值
   Blob 儲存體
   存取層	經常性 (預設)

6. 選取 [檢閱 + 建立]，並在驗證通過時選取 [建立]。

建立 Log Analytics 工作區

為了檢視 NSG 流程記錄，您將使用 Log Analytics。

1. 在 [Azure 入口網站] 功能表上或從 [首頁] 中，搜尋並選取 [Log Analytics 工作區]。 [Log Analytics 工作區] 窗格會隨即出現。

2. 在命令列上，選取 [建立]。 [建立 Log Analytics 工作區] 窗格隨即出現。

3. 在 [基本] 索引標籤上，為每個設定輸入下列值。

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶
   資源群組	選取您的資源群組
   [執行個體詳細資料]
   名稱	testsworkspace
   區域	選取與您的資源群組相同的區域

4. 選取 [檢閱 + 建立]，在驗證通過後選取 [建立]。

啟用流程記錄

若要設定流量記錄，您必須設定 NSG 以連線到儲存體帳戶，並新增 NSG 的流量分析。

1. 在 Azure 入口網站功能表上，選取 [所有資源]。 接著，選取 [MyNsg] 網路安全性群組。

2. 在 [MyNsg] 功能表的 [監視] 下，選取 [NSG 流量記錄]。 [我的 NSG | NSG 流量記錄] 窗格隨即出現。

3. 選取 建立。 [建立流量記錄] 窗格會隨即出現。

4. 在 [基本] 索引標籤上，選取或輸入下列值。

   設定	值
   專案詳細資料
   訂用帳戶	從下拉式清單中選取您的訂閱。
   +選取 [資源]	在 [選取網路安全性群組] 窗格中，搜尋並選取 [MyNsg] 和 [確認選取項目]。
   [執行個體詳細資料]
   訂用帳戶	從下拉式清單中選取您的訂閱。
   儲存體帳戶	選取您的唯一儲存體帳戶名稱。
   保留 (天數)	1

5. 選取 [下一步: 分析]，然後選取或輸入下列值。

   設定	值
   流量記錄版本	第 2 版
   流量分析	已選取 [啟用流量分析]。
   流量分析處理間隔	每 10 分鐘
   訂用帳戶	從下拉式清單中選取您的訂閱。
   Log Analytics 工作區	從下拉式清單中選取 testworkspace。

6. 選取 [檢閱 + 建立]。

7. 選取 建立。

8. 部署完成後，請選取前往資源。

產生測試流量

現在，您可以在 VM 之間產生一些網路流量，供流量記錄中攔截。

1. 在資源功能表上選取 [所有資源]，然後選取 [FrontendVM]。

2. 在命令列上，依序 [連線]、[RDP] 和選取 [下載 RDP 檔案]。 如果您看到有關遠端連線發行者的警告，請選取 [連線]。

3. 啟動 FrontendVM.rdp 檔案，然後選取 [連線]。

4. 要求您提供認證時，請選取 [其他選擇]，然後以使用者名稱 azureuser 及您在建立 VM 時所指定的密碼登入。

5. 要求您提供安全性憑證時，請選取 [是]。

6. 在 RDP 工作階段中，如果出現提示，請「只」允許在私人網路上探索您的裝置。

7. 開啟 PowerShell 提示字元並執行下列命令。

   Test-NetConnection 10.10.2.4 -port 80
   

TCP 連線測試會在數秒之後失敗。

診斷問題

現在，讓我們使用記錄分析來檢視 NSG 流量記錄。

1. 在 Azure 入口網站的 [資源] 功能表中，依序選取 [所有服務]、[網路] 和 [網路監看員]。 [網路監看員] 窗格隨即出現。

2. 在資源功能表的 [記錄檔] 下，選取 [流量分析]。 [網路監看員 | 流量分析] 窗格隨即出現。

3. 在 [FlowLog 訂用帳戶] 下拉式清單中，選取您的訂用帳戶。

4. 從 [Log Analytics 工作區] 下拉式清單中，選取 testworkspace。

5. 使用不同的檢視，診斷導致前端 VM 到後端 VM 無法通訊的問題。

修正問題

NSG 規則會封鎖透過連接埠 80、443 與 3389 從四面八方到後端子網路的輸入流量，而不只是封鎖來自網際網路的輸入流量。 現在讓我們重新設定該規則。

1. 在 Azure 入口網站資源功能表上，選取 [所有資源]，然後從清單中選取 [MyNsg]。

2. 在 [MyNsg] 功能表的 [設定] 下，選取 [輸入安全性規則]，然後選取 [MyNSGRule]。 [MyNSGRule] 窗格隨即出現。

3. 在 [來源] 下拉式清單中選取 [服務標籤]，然後在 [來源服務標籤] 下拉式清單中選取 [網際網路]。

4. 在 MyNSGRule 命令列中，選取 [儲存] 以更新安全性規則。

重新測試連線

連接埠 80 上的連線現在應該沒有問題。

1. 在 RDP 用戶端中，連線到 FrontendVM。 在 PowerShell 提示字元中，執行下列命令。

   Test-NetConnection 10.10.2.4 -port 80
   

連線測試現在應該會成功。