Použití monitorovacích a diagnostických nástrojů služby Network Watcher k řešení potíží se sítí
Azure Network Watcher obsahuje několik nástrojů, které můžete použít k monitorování virtuálních sítí a virtuálních počítačů. K efektivnímu použití služby Network Watcher je důležité rozumět všem dostupným možnostem a znát účel každého nástroje.
Ve vaší technické společnosti chcete svým zaměstnancům pomoct zvolit pro každý úkol řešení potíží správný nástroj Network Watcher. Musí porozumět všem dostupným možnostem a také všem druhům problémů, které může každý nástroj vyřešit.
Tady se podíváte na kategorie nástrojů služby Network Watcher, na nástroje v každé kategorii a na ukázkové případy použití každého nástroje.
Co je Network Watcher?
Network Watcher je služba Azure, která na jednom místě sdružuje nástroje pro diagnostiku stavu sítí Azure. Nástroje Network Watcher jsou rozdělené do tří kategorií:
- Monitorovací nástroje
- Nástroje pro diagnostiku sítě
- Nástroje pro protokolování provozu
Služba Network Watcher s nástroji k monitorování a diagnostice problémů je centrum, které vám umožňuje identifikovat chyby v síti, procesorové špičky, problémy s připojením, nevracení paměti a další problémy ještě před tím, než ovlivní firmu.
Monitorovací nástroje služby Network Watcher
Network Watcher poskytuje tři monitorovací nástroje:
- Topologie
- Monitorování připojení
- Network Performance Monitor
Pojďme se na každý z těchto nástrojů podívat.
Co je topologický nástroj?
Topologický nástroj generuje grafické zobrazení virtuální sítě Azure, jejích prostředků, vzájemných propojení a vztahů.
Řekněme, že musíte řešit potíže s virtuální sítí, kterou vytvořili vaši kolegové. Pokud jste nebyli zapojeni do procesu vytváření sítě, možná nevíte o všech aspektech infrastruktury. Topologický nástroj slouží k vizualizaci a pochopení příslušné infrastruktury, než začnete řešit potíže.
K zobrazení topologie sítě Azure se používá Azure Portal. Na webu Azure Portal:
Přihlaste se k webu Azure Portal a vyhledejte a vyberte Network Watcher.
V nabídce Network Watcher vyberte v části Monitorování topologii.
Vyberte nějaké předplatné, skupinu prostředků virtuální sítě a pak vyberte samotnou virtuální síť.
Poznámka:
K vygenerování topologie potřebujete instanci služby Network Watcher ve stejné geografické oblasti jako virtuální síť.
Tady je ukázka vygenerované topologie virtuální sítě s názvem MyVNet.
Co je nástroj na monitorování připojení?
Nástrojem na monitorování připojení můžete zkontrolovat funkčnost spojení prostředků Azure. Pomocí tohoto nástroje ověřte, že dva virtuální počítače můžou komunikovat, pokud je chcete.
Tento nástroj měří také latenci mezi prostředky. Dokáže zaznamenat změny, které ovlivní připojení, například změny v konfiguraci sítě nebo změny pravidel skupin zabezpečení sítě (NSG). V pravidelných intervalech kontroluje virtuální počítače a hledá chyby nebo změny.
Pokud najde problém, sdělí vám nástroj Monitorování připojení, proč k němu došlo a jak ho můžete opravit. Monitorování připojení může vedle monitorování virtuálních počítačů zkontrolovat IP adresu nebo plně kvalifikovaný název domény (FQDN).
Co je nástroj Network Performance Monitor?
Nástroj Network Sledování výkonu umožňuje sledovat a upozorňovat na latenci a poklesy paketů v průběhu času. Poskytuje centralizovaný pohled na vaši síť.
Když se rozhodnete monitorovat hybridní připojení pomocí síťového Sledování výkonu, zkontrolujte, jestli je přidružený pracovní prostor v podporované oblasti.
Network Performance Monitor můžete používat k monitorování připojení mezi koncovými body:
- Mezi pobočkami a datovými centry
- Mezi virtuálními sítěmi
- Pro připojení mezi místním prostředím a cloudem
- Pro okruhy Azure ExpressRoute
Diagnostické nástroje služby Network Watcher
Network Watcher obsahuje následující diagnostické nástroje:
- Ověření toku protokolu IP
- Diagnostika skupiny zabezpečení sítě
- Další směrování
- Platná pravidla zabezpečení
- Zachycení paketů
- Řešení potíží s připojením
- Řešení potíží se sítí VPN
Pojďme se podívat na každý nástroj, abychom zjistili, jak můžou pomoct řešit problémy.
Co je nástroj k ověření toku protokolu IP?
Nástroj pro ověření toku protokolu IP vám řekne, jestli jsou pro konkrétní virtuální počítač povolené nebo zakázané pakety. Pokud skupina zabezpečení sítě zamítá paket, nástroj vám řekne název této skupiny, abyste mohli problém vyřešit.
Tento nástroj používá ke zjištění, jestli jsou příchozí nebo odchozí pakety u virtuálního počítače povolené nebo zakázané, ověřovací mechanismus založený na pěti parametrech. V nástroji zadáte místní a vzdálený port, protokol (TCP nebo UDP), místní IP adresu, vzdálenou IP adresu, virtuální počítač a síťový adaptér tohoto virtuálního počítače.
Co je diagnostický nástroj NSG?
Nástroj Pro diagnostiku skupiny zabezpečení sítě (NSG) poskytuje podrobné informace, které vám pomůžou pochopit a ladit konfiguraci zabezpečení sítě.
U daného páru cíle zdroje nástroj zobrazí skupiny zabezpečení sítě, které se budou projít, pravidla, která se použijí v každé skupině zabezpečení sítě, a konečný stav povolení/zamítnutí toku. Když pochopíte, které toky provozu se ve vaší virtuální síti Azure povolí nebo odepře, můžete určit, jestli jsou vaše pravidla skupiny zabezpečení sítě správně nakonfigurovaná.
Co je nástroj pro další směrování?
Když virtuální počítač pošle do cíle paket, může být na cestě několikrát přesměrován. Pokud je cílem například virtuální počítač v jiné virtuální síti, může být dalším segmentem směrování brána virtuální sítě, která směruje paket na cílový virtuální počítač.
Nástrojem na další směrování dokážete zjistit, jak se paket dostane z virtuálního počítače do libovolného cíle. Určíte zdrojový virtuální počítač, zdrojový síťový adaptér, zdrojovou IP adresu a cílovou IP adresu. Nástroj pak určí trasu paketu. Tento nástroj můžete použít k diagnostice problémů způsobených nesprávnými směrovacími tabulkami.
Co je nástroj pro platná pravidla zabezpečení?
Nástroj pro platná pravidla zabezpečení ve službě Network Watcher zobrazuje všechna platná pravidla skupin zabezpečení sítě (NSG) použitá v síťovém rozhraní.
Skupiny zabezpečení sítě (NSG) se v sítích Azure používají k filtrování paketů na základě jejich zdrojových a cílových IP adres a čísel portů. Skupiny zabezpečení sítě (NSG) jsou nezbytné k zajištění bezpečnosti, protože pomáhají pečlivě kontrolovat možnosti útoku na virtuální počítače, ke kterým mají uživatelé přístup. Nicméně nezapomeňte, že chybně nakonfigurované pravidlo skupiny zabezpečení sítě (NSG) může zabránit oprávněné komunikaci. Proto jsou skupiny zabezpečení sítě (NSG) častým zdrojem problémů v síti.
Pokud například dva virtuální počítače spolu nemůžou komunikovat, protože je blokuje pravidlo NSG, může být obtížné zjistit, jaké pravidlo problém způsobuje. K zobrazení všech platných pravidel skupin zabezpečení sítě (NSG) použijete nástroj pro platná pravidla zabezpečení ve službě Network Watcher, který vám pomůže zjistit, které pravidlo konkrétní problém způsobuje.
Pokud chcete nástroj použít, zvolte virtuální počítač a jeho síťový adaptér. Nástroj zobrazí všechna pravidla skupin zabezpečení sítě (NSG), která platí pro tento adaptér. Z tohoto seznamu jednoduše poznáte, které pravidlo komunikaci blokuje.
Tento nástroj také můžete použít ke zjištění zranitelných míst virtuálního počítače, které jsou způsobené zbytečně otevřenými porty.
Co je nástroj na zachycení paketů?
Nástroj pro zachytávání paketů zaznamenává všechny pakety odeslané do a z virtuálního počítače. Pokud je tato možnost povolená, můžete zkontrolovat zachytávání a shromažďovat statistiky o síťovém provozu nebo diagnostikovat anomálie, například neočekávaný síťový provoz v privátní virtuální síti.
Nástroj pro zachytávání paketů je rozšíření virtuálního počítače spuštěné vzdáleně prostřednictvím služby Network Watcher. Spustí se automaticky při spuštění relace zachytávání paketů.
Mějte na paměti, že existuje omezení počtu relací zachytávání paketů povolených pro každou oblast. Výchozí limit využití je 100 relací zachytávání paketů na oblast a celkový limit je 10 000. Tyto limity platí jenom pro počet relací, nikoli pro uložená zachycení. Zachycené pakety můžete ukládat do úložiště Azure Storage nebo místně do svého počítače.
Zachytávání paketů je závislé na Rozšíření virtuálního počítače o agenta Network Watcher nainstalovaném na daném virtuálním počítači. Odkazy na pokyny, které podrobně uvádějí instalaci rozšíření na virtuálních počítačích s Windows a Linuxem, najdete v části Další informace na konci tohoto modulu.
Co je nástroj na řešení potíží s připojením?
Nástroj na řešení potíží s připojením se používá ke kontrole připojení prostřednictvím protokolu TCP mezi zdrojovým a cílovým virtuálním počítačem. Cílový virtuální počítač můžete určit pomocí plně kvalifikovaného názvu domény, identifikátoru URI nebo IP adresy.
Pokud je připojení úspěšné, zobrazí se informace o komunikaci, včetně:
- latence v milisekundách,
- počet odeslaných zkušebních paketů,
- počet směrování na celé trase do cíle.
Při neúspěšném připojení se zobrazí podrobnosti o chybě. Typy chyb:
- CPU. Připojení selhalo kvůli vysokému využití procesoru.
- Paměť. Připojení selhalo kvůli vysokému využití paměti.
- GuestFirewall. Připojení zablokovala brána firewall mimo Azure.
- DNSResolution. Nepodařilo se přeložit cílovou IP adresu.
- NetworkSecurityRule. Připojení zablokovala skupina zabezpečení sítě (NSG).
- UserDefinedRoute. Ve směrovací tabulce je nesprávná uživatelská trasa.
Co je nástroj na řešení potíží se sítí VPN?
Nástroj k řešení potíží se sítí VPN můžete použít k diagnostice problémů s připojením k bráně virtuální sítě. Tento nástroj spouští diagnostiku připojení k bráně virtuální sítě a vrací diagnostické informace o stavu.
Když spustíte nástroj pro řešení potíží se sítí VPN, Network Watcher diagnostikuje stav brány nebo připojení a vrátí odpovídající výsledky. Požadavek představuje transakci, která trvá dlouho.
V následující tabulce jsou uvedeny příklady různých typů chyb.
| Typ chyby | Důvod | Protokol |
|---|---|---|
| NoFault | Nebyla zjištěna žádná chyba. | Ano |
| GatewayNotFound | Bránu nejde najít nebo není zřízená. | No |
| PlannedMaintenance | V instanci brány probíhá údržba. | No |
| UserDrivenUpdate | Probíhá uživatelská aktualizace. Touto aktualizací by mohla být operace týkající se změny velikosti. | No |
| VipUnResponsive | Nelze se spojit s primární instancí brány kvůli neúspěšnému testu stavu. | No |
| PlatformInActive | Je nějaký problém s platformou. | No |
Nástroje pro protokolování provozu
Network Watcher obsahuje dva následující nástroje pro provoz:
- Protokoly toku
- Analýza provozu
Co je nástroj pro protokoly toku?
Protokoly toku umožňují protokolovat informace o provozu PROTOKOLU IP procházejících skupinou zabezpečení sítě. Protokoly toku ukládají data v úložišti Azure. Data toku se odesílají do Služby Azure Storage, odkud k ní máte přístup, a exportují je do libovolného řešení pro vizualizaci, informací o zabezpečení a správě událostí (SIEM) nebo do systému pro detekci neoprávněných vniknutí (IDS). Tato data můžete použít k analýze vzorů provozu a řešení potíží s připojením.
Případy použití protokolů toku je možné kategorizovat do dvou typů. Monitorování sítě a monitorování a optimalizace využití
Monitorování sítě
- Identifikace neznámého nebo nežádoucího provozu
- Monitorujte úrovně provozu a spotřebu šířky pásma.
- Filtrujte protokoly toku podle IP adresy a portu, abyste porozuměli chování aplikace.
- Exportujte protokoly toku do analytických a vizualizačních nástrojů podle vašeho výběru a nastavte řídicí panely monitorování.
Monitorování a optimalizace využití
- Identifikujte hlavní talkery ve vaší síti.
- Zkombinujte s daty GeoIP a identifikujte provoz mezi oblastmi.
- Seznamte se s růstem provozu pro prognózování kapacity.
- Data můžete použít k odebrání příliš omezujících pravidel provozu.
Co je nástroj pro analýzu provozu?
Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací ve vašich cloudových sítích. Analýzy provozu konkrétně analyzují protokoly toku NSG služby Azure Network Watcher, aby poskytovaly přehledy o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:
- Vizualizujte síťovou aktivitu napříč předplatnými Azure.
- Identifikace horkých míst
- Zabezpečte síť pomocí informací k identifikaci hrozeb.
- Optimalizujte nasazení sítě pro výkon a kapacitu tím, že rozumíte vzorům toku provozu napříč oblastmi Azure a internetem.
- Připnutí chybných konfigurací sítě, které můžou vést k selhání připojení ve vaší síti.
Scénáře použití služby Azure Network Watcher
Pojďme se podívat na některé scénáře, ve kterých můžete ke zkoumání potíží a jejich řešení použít monitorování a diagnostiku služby Azure Network Watcher.
Problémy s připojením v síti s jedním virtuálním počítačem
Vaši kolegové nasadili v Azure virtuální počítač, ale mají potíže se síťovým připojením. Vaši kolegové se zkouší k virtuálnímu počítači připojit pomocí protokolu RDP (Remote Desktop Protocol), ale nemůžou se připojit.
K řešení tohoto problému použijte nástroj k ověření toku protokolu IP. Tímto nástrojem zjistíte místní a vzdálený port, protokol (TCP/UDP), místní adresu IP a vzdálenou adresu IP, abyste mohli zkontrolovat stav připojení. Nástrojem také zjistíte směr připojení (příchozí nebo odchozí). Ověření toku protokolu IP spustí logický test pravidel používaných ve vaší síti.
V tomto případě použijete nástroj Ověření toku protokolu IP k určení IP adresy virtuálního počítače a portu RDP číslo 3389. Pak zadejte IP adresu a port vzdáleného virtuálního počítače. Zvolte protokol TCP a pak vyberte Zkontrolovat.
Předpokládejme, že se ve výsledcích zobrazí odepřený přístup kvůli pravidlu skupiny zabezpečení sítě (NSG) DefaultInboundDenyAll. Řešením je změna pravidla ve skupině zabezpečení sítě (NSG).
Nefunkční připojení VPN
Vaši kolegové nasadili virtuální počítače do dvou virtuálních sítí, ale nemůžou se mezi nimi připojit.
K řešení potíží s připojením k síti VPN použijte nástroj na řešení potíží se sítí VPN z Azure. Tento nástroj spouští diagnostiku připojení brány virtuální sítě a vrací diagnostiku stavu. Nástroj můžete spustit z webu Azure Portal, z PowerShellu nebo z rozhraní Azure CLI.
Nástroj po spuštění zkontroluje nejčastější problémy, ke kterým může docházet u brány, a vrátí diagnostiku stavu. Další informace také můžete získat ze souboru protokolu. Diagnostika ukáže, jestli připojení VPN funguje. Pokud nefunguje, nástroj na řešení potíží se sítí VPN navrhne způsoby, jak problém vyřešit.
Předpokládejme, že diagnostika hlásí neshodu klíčů. Pokud chcete problém vyřešit, znovu nakonfigurujte vzdálenou bránu, abyste měli jistotu, že jsou klíče na obou stranách stejné. U klíčů sdílených předem se rozlišují velká a malá písmena.
Na určených cílových portech nenaslouchají žádné servery
Vaši kolegové nasadili virtuální počítače do jedné virtuální sítě, ale nemůžou se mezi nimi připojit.
K řešení tohoto problému použijte nástroj k řešení potíží s připojením. V tomto nástroji určíte místní a vzdálené virtuální počítače. V nastavení testu můžete zvolit konkrétní port.
Předpokládejme, že výsledky ukazují, že vzdálený server je nedostupný, spolu se zprávou "Provoz zablokovaný kvůli konfiguraci brány firewall virtuálního počítače". Na vzdáleném serveru zakažte bránu firewall a znovu otestujte připojení.
Řekněme, že nyní je server dostupný. Tento výsledek označuje, že problém se týká pravidel brány firewall na vzdáleném serveru a musí být opraven, aby bylo možné připojení povolit.