Nejčastější dotazy ke službě Network Watcher

Network Watcher poskytuje sadu nástrojů pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky IaaS (infrastruktura jako služba), mezi které patří virtuální počítače, virtuální sítě, aplikační brány, nástroje pro vyrovnávání zatížení a další prostředky ve virtuální síti Azure. Nejedná se o řešení pro monitorování infrastruktury PaaS (platforma jako služba) ani získávání webových a mobilních analýz.

Network Watcher poskytuje tři hlavní sady funkcí:

• Sledování
  • Zobrazení topologie ukazuje prostředky ve virtuální síti a vztahy mezi nimi.
  • monitorování Připojení umožňuje monitorovat připojení a latenci mezi koncovými body uvnitř Azure a mimo Azure.
• Nástroje pro diagnostiku sítě
  • Ověření toku protokolu IP umožňuje detekovat problémy s filtrováním provozu na úrovni virtuálního počítače.
  • Diagnostika NSG umožňuje detekovat problémy s filtrováním provozu na virtuálním počítači, škálovací sadě virtuálních počítačů nebo na úrovni služby Application Gateway.
  • Další segment směrování pomáhá ověřovat trasy provozu a zjišťovat problémy se směrováním.
  • Připojení řešení potíží umožňuje jednorázovou kontrolu připojení a latence mezi virtuálním počítačem a hostitelem Bastionu, aplikační bránou nebo jiným virtuálním počítačem.
  • Zachytávání paketů umožňuje zachytit provoz virtuálního počítače.
  • Řešení potíží se sítí VPN spouští na branách VPN a připojeních několik kontrol diagnostiky, které vám pomůžou ladit problémy.
• Provozu
  • Protokoly toků skupin zabezpečení sítě a protokoly toků virtuální sítě umožňují protokolovat síťový provoz procházející skupinami zabezpečení sítě (NSG) a virtuálními sítěmi.
  • Analýza provozu zpracovává data protokolu toku skupiny zabezpečení sítě, která umožňují vizualizovat, dotazovat se, analyzovat a porozumět síťovému provozu.

Podrobnější informace najdete v přehledu služby Network Watcher.

Podrobnosti o cenách různých komponent Služby Network Watcher najdete v cenách služby Network Watcher .

Informace o oblastech, které podporují Network Watcher, najdete v oblastech služby Network Watcher.

Podrobný seznam požadovaných oprávnění pro jednotlivé funkce služby Network Watcher najdete v tématu Oprávnění Azure RBAC vyžadovaná pro použití služby Network Watcher .

Služba Network Watcher je automaticky povolená pro každé předplatné. Pokud jste odhlásili automatické povolení služby Network Watcher, musíte službu Network Watcher ručně povolit. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.

Nadřazený prostředek služby Network Watcher se nasadí s jedinečnou instancí v každé oblasti. Výchozí formát pojmenování: NetworkWatcher_RegionName. Příklad: NetworkWatcher_centralus je prostředek Network Watcher pro oblast USA – střed. Název instance služby Network Watcher můžete přizpůsobit pomocí PowerShellu nebo rozhraní REST API.

Aby funkce služby Network Watcher fungovaly, stačí povolit jenom jednou pro každou oblast podle předplatného. Služba Network Watcher je povolená v oblasti vytvořením instance služby Network Watcher v této oblasti.

Prostředek Network Watcher představuje back-endovou službu pro Network Watcher, kterou plně spravuje Azure. Prostředek Služby Network Watcher ale můžete vytvořit nebo odstranit, abyste ho povolili nebo zakázali v konkrétní oblasti. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.

Ne, přesun prostředku služby Network Watcher ani žádného z jejích podřízených prostředků napříč oblastmi se nepodporuje. Další informace naleznete v tématu Podpora operace přesunu síťových prostředků.

Ano, přesun prostředku Služby Network Watcher mezi skupinami prostředků je podporovaný. Další informace naleznete v tématu Podpora operace přesunu síťových prostředků.

NetworkWatcherRG je skupina prostředků, která se automaticky vytvoří pro prostředky služby Network Watcher. Například regionální instance služby Network Watcher a prostředky protokolu toku skupiny zabezpečení sítě se vytvářejí ve skupině prostředků NetworkWatcherRG . Název skupiny prostředků Network Watcher můžete přizpůsobit pomocí PowerShellu, Azure CLI nebo rozhraní REST API.

Azure Network Watcher neukládá zákaznická data, s výjimkou monitorování Připojení ion. monitorování Připojení ukládá zákaznická data, která služba Network Watcher automaticky ukládá do jedné oblasti, aby splňovala požadavky na rezidenci dat v jednotlivých oblastech.

Network Watcher má následující omezení:

Ano, služba Network Watcher je ve výchozím nastavení odolná vůči zóně.

K povolení odolnosti zón není nutná žádná konfigurace. Odolnost proti zóně pro prostředky služby Network Watcher je ve výchozím nastavení dostupná a spravovaná samotnou službou.

Agent Network Watcher se vyžaduje pro všechny funkce Služby Network Watcher, které generují nebo zachycují provoz z virtuálního počítače.

Funkce sledování paketů, Připojení ion a řešení potíží a monitorování Připojení vyžadují, aby bylo k dispozici rozšíření Network Watcher.

Nejnovější verze rozšíření Network Watcher je 1.4.3206.1. Další informace najdete v tématu Aktualizace rozšíření Azure Network Watcher na nejnovější verzi.

• Linux: Agent Network Watcher používá dostupné porty od port 50000 doby, kdy dosáhne port 65535.
• Windows: Agent Network Watcher používá porty, se kterými operační systém reaguje při dotazování na dostupné porty.

Agent Network Watcher vyžaduje odchozí připojení TCP přes 169.254.169.254port 80 a 168.63.129.16 přes port 8037. Agent používá tyto IP adresy ke komunikaci s platformou Azure.

Ne, monitorování připojení nepodporuje klasické virtuální počítače. Další informace najdete v tématu Migrace prostředků IaaS z modelu Classic do Azure Resource Manageru.

Topologie může být z jiného prostředí než Azure do Azure zdobena pouze v případě, že cílový prostředek Azure a prostředek monitorování připojení jsou ve stejné oblasti.

Stejný virtuální počítač Azure nejde použít s různými konfiguracemi ve stejném monitorování připojení. Například použití stejného virtuálního počítače s filtrem a bez filtru ve stejném monitorování připojení se nepodporuje.

Problémy zobrazené na řídicím panelu monitorování připojení se nacházejí během zjišťování topologie nebo zkoumání segmentu směrování. Existují případy, kdy je dosažena prahová hodnota pro % ztráty nebo RTT, ale u segmentů směrování se nenašly žádné problémy.

V monitorování připojení (Classic) není k dispozici žádná možnost výběru protokolu. Testy v monitorování připojení (klasické) používají pouze protokol TCP, a proto během migrace vytvoříme konfiguraci TCP v testech v novém monitorování připojení.

V současné době existuje oblastní hranice, když koncový bod používá agenty Azure Monitoru a Arc s přidruženým pracovním prostorem služby Log Analytics. V důsledku tohoto omezení musí být přidružený pracovní prostor služby Log Analytics ve stejné oblasti jako koncový bod Arc. Data přijatá do jednotlivých pracovních prostorů je možné sjednocovat pro jedno zobrazení, viz dotazování dat mezi pracovními prostory služby Log Analytics, aplikacemi a prostředky ve službě Azure Monitor.

Protokoly toku umožňují protokolovat informace o toku řazené kolekce členů 5 členů o provozu IP v Azure, který prochází skupinou zabezpečení sítě nebo virtuální sítí Azure. Protokoly nezpracovaného toku se zapisují do účtu úložiště Azure. Odtud můžete dále zpracovávat, analyzovat, dotazovat nebo je exportovat podle potřeby.

Data protokolu toku se shromažďují mimo cestu síťového provozu, takže neovlivňují propustnost nebo latenci sítě. Můžete vytvářet nebo odstraňovat protokoly toku bez jakéhokoli rizika dopadu na výkon sítě.

Tok skupiny zabezpečení sítě protokoluje provoz protokolu procházející skupinou zabezpečení sítě. Na druhou stranu diagnostika NSG vrací všechny skupiny zabezpečení sítě, které provoz prochází, a pravidla každé skupiny zabezpečení sítě, které se na tento provoz vztahují. Pomocí diagnostiky NSG ověřte, že se pravidla skupin zabezpečení sítě používají podle očekávání.

Ne, protokoly toků skupin zabezpečení sítě nepodporují protokoly ESP a AH.

Ne, protokoly toků skupin zabezpečení sítě a protokoly toku virtuální sítě nepodporují protokol ICMP.

Ano. Přidružený prostředek protokolu toku se odstraní také. Data protokolu toku se uchovávají v účtu úložiště po dobu uchovávání nakonfigurovanou v protokolu toku.

Ano, ale musíte odstranit přidružený prostředek protokolu toku. Po migraci skupiny zabezpečení sítě můžete znovu vytvořit protokoly toku a povolit tak protokolování toku.

Ano, můžete použít účet úložiště z jiného předplatného, pokud je toto předplatné ve stejné oblasti skupiny zabezpečení sítě a přidružené ke stejnému tenantovi Microsoft Entra skupiny zabezpečení sítě nebo předplatného virtuální sítě.

Pokud chcete použít účet úložiště za bránou firewall, musíte poskytnout výjimku pro důvěryhodné služby Microsoftu pro přístup k vašemu účtu úložiště:

1. Přejděte na účet úložiště zadáním názvu účtu úložiště do vyhledávacího pole v horní části portálu.
2. V části Zabezpečení a sítě vyberte Sítě a pak vyberte Brány firewall a virtuální sítě.
3. V oblasti Přístup k veřejné síti vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres. Potom v části Výjimky zaškrtněte políčko Vedle možnosti Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.
4. Povolte protokoly toku skupiny zabezpečení sítě vytvořením protokolu toku pro cílovou skupinu zabezpečení sítě pomocí účtu úložiště. Další informace najdete v tématu Vytvoření protokolu toku.

Protokoly úložiště můžete zkontrolovat po několika minutách. Měli byste vidět aktualizované časové razítko nebo nový vytvořený soubor JSON.

Network Watcher má integrovaný záložní mechanismus, který používá při připojování k účtu úložiště za bránou firewall (povolená brána firewall). Pokusí se připojit k účtu úložiště pomocí klíče a v případě selhání se přepne na token. V tomto případě se v protokolu aktivit účtu úložiště zaprotokoluje chyba 403.

Ano, Network Watcher podporuje odesílání dat toků skupin zabezpečení sítě do účtu úložiště s povoleným privátním koncovým bodem.

Protokoly toků skupin zabezpečení sítě jsou kompatibilní s koncovými body služby bez nutnosti další konfigurace. Další informace najdete v tématu Povolení koncového bodu služby.

Protokoly toku verze 2 zavádí koncept stavu toku a ukládá informace o bajtech a přenášených paketech. Další informace najdete v tématu Formát protokolu toku skupiny zabezpečení sítě.

Ne, zámek jen pro čtení ve skupině zabezpečení sítě brání vytvoření odpovídajícího protokolu toku skupiny zabezpečení sítě.

Ano, zámek nelze odstranit ve skupině zabezpečení sítě, nebrání vytvoření nebo úpravě odpovídajícího protokolu toku skupiny zabezpečení sítě.

Ano, protokoly toků skupin zabezpečení sítě můžete automatizovat pomocí šablon Azure Resource Manageru (šablon ARM). Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM).