Zachycení síťového provozu pomocí sledovacího nástroje pro síť
Při plánování migrace společnosti Contoso do Microsoft Azure budete dál vyhodnocovat funkce zabezpečení sítě, které spravují síťový provoz. Pokud chcete shromažďovat data o síťovém provozu společnosti, implementujete Azure Network Watcher.
Co je Azure Network Watcher?
Azure Network Watcher může provádět následující služby:
- Sledování
- Diagnostikování
- Kontrola metrik
- Správa protokolů
Sledování
Monitorování komunikace mezi virtuálním počítačem a koncovým bodem
Pomocí služby Azure Network Watcher můžete monitorovat komunikaci mezi virtuálními počítači a koncovými body.
Poznámka:
Koncové body můžou být jiný virtuální počítač, plně kvalifikovaný název domény, identifikátor URI nebo adresa IPv4.
Azure Network Watcher používá k provedení tohoto monitorování funkci monitorování připojení. Funkce monitorování připojení monitoruje komunikaci v pravidelných intervalech a upozorní vás na akce v následující tabulce.
| Notification | Vysvětlení |
|---|---|
| Dosažitelnost | Pokud koncový bod není dostupný, poradce při potížích s připojením vás informuje o důvodu. Mezi možné důvody patří: problém s překladem názvů DNS (Domain Name System). procesoru, paměti nebo brány firewall v rámci operačního systému virtuálního počítače; typ směrování vlastní trasy; nebo pravidlo zabezpečení pro virtuální počítač nebo podsíť odchozího připojení. |
| Latence | monitorování Připojení také poskytuje minimální, průměrnou a maximální latenci zaznamenanou v průběhu času. Jakmile se monitorování připojení naučilo latenci připojení, můžete zjistit, že latenci můžete snížit přesunutím prostředků Azure do různých oblastí Azure. |
| Změny topologie sítě | Změna síťové topologie může vést k tomu, že máte virtuální počítač webového serveru, který komunikuje s virtuálním počítačem databázového serveru, a jiný správce ve vaší organizaci použije pravidlo zabezpečení sítě na webový server bez vašeho vědomí. |
Další informace o monitorování připojení najdete v kurzu: Monitorování síťové komunikace mezi dvěma virtuálními počítači pomocí webu Azure Portal.
Monitorování výkonu sítě je cloudové hybridní řešení pro monitorování sítě, které vám může pomoct monitorovat výkon sítě mezi různými body vaší síťové infrastruktury. Může vám také pomoct monitorovat síťové připojení ke koncovým bodům služeb a aplikací a monitorovat výkon Azure ExpressRoute.
Monitorování výkonu sítě:
- Detekuje problémy se sítí, které se nedají rozpoznat u běžných metod monitorování sítě, jako jsou chyby směrování.
- Generuje výstrahy a upozorní vás při překročení prahové hodnoty síťového propojení.
- Zajišťuje včasné zjišťování problémů s výkonem sítě a lokalizuje zdroj problému do konkrétního segmentu sítě nebo zařízení.
Poznámka:
Další informace o monitorování výkonu sítě najdete v řešení Network Sledování výkonu v Azure.
Přístup k prostředkům ve virtuální síti
Při přidávání prostředků do virtuální sítě může být obtížnější pochopit, jaké prostředky jsou ve virtuální síti a jak tyto prostředky vzájemně souvisejí. Funkce topologie umožňuje vygenerovat diagram prostředků ve virtuální síti. Diagram také zobrazuje vztahy mezi těmito prostředky.
Poznámka:
Další informace o kontrole topologie najdete v tématu Zobrazení topologie virtuální sítě Azure.
Diagnostikování
Network Watcher poskytuje řadu užitečných diagnostických funkcí, jak je popsáno v následující tabulce.
| Požadavek na diagnostiku | Schopnost | Popis |
|---|---|---|
| Diagnostika problémů s filtrováními provozu do nebo z virtuálního počítače | Funkce ověření toku protokolu IP | Když nasadíte virtuální počítač, Azure na virtuální počítač použije několik výchozích pravidel zabezpečení. Později můžete vytvořit další pravidla nebo přepsat výchozí pravidla Azure. V důsledku chybné změny pravidla zabezpečení nemusí virtuální počítač komunikovat s jinými prostředky. K vyřešení tohoto problému můžete použít funkci ověření toku protokolu IP. Nejprve definujte zdrojovou a cílovou adresu IPv4, port, protokol – TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol) a směr provozu (příchozí nebo odchozí). Ověření toku protokolu IP pak otestuje nakonfigurovanou komunikaci a upozorní vás, jestli je připojení úspěšné nebo ne. V případě selhání komunikace vám tok protokolu IP může oznámit, které pravidlo zabezpečení povolilo (nebo zamítlo) vybranou komunikaci, abyste mohli problém vyřešit. |
| Diagnostika problémů se síťovým směrováním z virtuálního počítače | Funkce dalšího segmentu směrování | Když vytvoříte virtuální síť, Azure vytvoří několik výchozích odchozích tras. Odchozí provoz ze všech prostředků ve virtuální síti se směruje na základě výchozích tras Azure. Později můžete vytvořit další trasy nebo přepsat výchozí trasy Azure. V důsledku chybné změny trasy můžete zjistit, že virtuální počítač už nemůže komunikovat s jinými prostředky. Funkce dalšího segmentu směrování umožňuje zadat zdrojovou a cílovou IPv4 adresu. Další segment směrování pak otestuje komunikaci a upozorní vás, jaký typ dalšího segmentu směrování se používá ke směrování provozu. Pak můžete překonfigurovat trasy a vyřešit tak problém se směrováním. |
| Diagnostika odchozích připojení z virtuálního počítače | Funkce řešení potíží s Připojení | Funkce řešení potíží s připojením umožňuje otestovat připojení mezi virtuálním počítačem a dalšími prostředky, jako je jiný virtuální počítač, plně kvalifikovaný název domény, identifikátor URI (Uniform Resource Identifier) nebo adresa IPv4. Test vrátí podobné informace, které poskytuje funkce monitorování připojení, ale provádí test v určitém časovém okamžiku, nikoli monitorování v průběhu času, stejně jako u monitorování připojení. |
| Zachytávání paketů směřujících do a z virtuálního počítače | Funkce zachytávání paketů | Funkce zachytávání paketů používá pokročilé možnosti filtrování a poskytuje jemně vyladěné ovládací prvky, které umožňují nastavit omezení času a velikosti, a proto poskytují všestrannost. Zachytávání můžete uložit do účtu Azure Storage, na disk virtuálního počítače nebo na obojím. Zachytávací soubor pak můžete analyzovat pomocí různých standardních nástrojů pro analýzu zachycených síťových dat. |
| Diagnostika problémů s bránou a připojeními virtuální sítě Azure | Funkce řešení potíží se sítí VPN | Brány virtuální sítě poskytují připojení mezi místními prostředky a virtuálními sítěmi Azure. Monitorování těchto bran a jejich připojení je důležité pro zajištění, že komunikace není přerušená. Funkce diagnostiky sítě VPN umožňuje diagnostikovat brány a připojení. Diagnostika sítě VPN diagnostikuje stav brány nebo připojení brány a upozorní vás, jestli jsou k dispozici připojení brány a brány. Pokud brána nebo připojení nejsou dostupné, diagnostika sítě VPN vám řekne, proč je možné problém vyřešit. |
| Určení relativní latence mezi oblastmi Azure a poskytovateli internetových služeb (ISP) | Funkce relativní latence | Network Watcher se můžete dotazovat na informace o latenci mezi oblastmi Azure a mezi poskytovateli isPs. Pokud znáte latence mezi oblastmi Azure a napříč poskytovateli služeb internetu, můžete prostředky Azure nasadit za účelem optimalizace doby odezvy sítě. |
| Kontrola pravidel zabezpečení pro síťové rozhraní | Platná pravidla zabezpečení | Platná pravidla zabezpečení pro síťové rozhraní jsou kombinací všech pravidel zabezpečení použitých na síťové rozhraní a podsítě, ve které je síťové rozhraní. Skupina zabezpečení zkontroluje možnosti pro vás všechna pravidla zabezpečení použitá pro síťové rozhraní, podsíť, ve které je síťové rozhraní, a agregace obou. Když pochopíte, která pravidla se použijí pro síťové rozhraní, můžete přidat, odebrat nebo změnit pravidla, pokud povolují nebo zakazují provoz, který chcete změnit. |
Kontrola metrik
V rámci předplatného a oblasti Azure platí omezení počtu síťových prostředků, které můžete vytvořit, a když dosáhnete těchto limitů, nemůžete vytvářet žádné další prostředky. Pomocí možnosti limitu předplatného sítě můžete poskytnout souhrn o tom, kolik síťových prostředků jste nasadili v konkrétním předplatném a oblasti. Můžete také zjistit, jaký je limit pro konkrétní prostředek. Například na následujícím snímku obrazovky má prostředek VirtualNetworks limit 50 a zobrazené využití je dvě.
Správa protokolů
Analýza provozu skupin zabezpečení sítě
Jak si budete pamatovat, skupiny zabezpečení sítě zamítnou nebo povolí síťový provoz do síťového rozhraní ve virtuálním počítači. Funkce protokolu toku NSG umožňuje zaznamenávat informace o tomto provozu. Shromážděné protokoly pak můžete analyzovat pomocí různých nástrojů, jako je Power BI, a možností analýzy provozu. K zachycení následujících možností můžete použít funkci protokolu toku NSG:
- Zdrojová IP adresa
- Cílová IP adresa
- Port IP adresy
- Protokol
- Jestli skupina zabezpečení sítě zakázala nebo povolila provoz
Kontrola diagnostických protokolů síťových prostředků
Funkce diagnostických protokolů poskytuje jednotné rozhraní umožňující povolení a zakázání diagnostických protokolů všech síťových prostředků, které generují diagnostické protokoly. Protokolování diagnostiky můžete povolit pro síťové prostředky Azure, včetně následujících:
- Skupiny zabezpečení sítě
- veřejné IP adresy,
- Nástrojů pro vyrovnávání zatížení
- Brány virtuální sítě
- brány Application Gateway.
Diagnostické protokoly můžete zkontrolovat pomocí nástrojů, jako jsou protokoly Power BI a Azure Monitoru.
Vytvoření instance služby Azure Network Watcher
Když ve svém předplatném Azure vytvoříte nebo aktualizujete virtuální síť, služba Network Watcher se automaticky povolí v oblasti vaší virtuální sítě. Pokud službu Network Watcher povolíte pomocí webu Azure Portal, název instance služby Network Watcher se automaticky nastaví na NetworkWatcher_GUID, kde identifikátor GUID je jedinečná identita.
Poznámka:
Instance Network Watcher se automaticky vytvoří ve skupině prostředků s názvem NetworkWatcherRG. Pokud skupina prostředků ještě neexistuje, vytvoří se.