Cvičení – použití metrik a protokolů služby Network Watcher k řešení potíží se sítí

  • 30 min

Ve službě Azure Network Watcher můžete metriky a protokoly použít k diagnostice složitých konfiguračních problémů.

Představte si, že máte dva virtuální počítače, které spolu nekomunikují. Chcete získat co nejvíce informací, abyste mohli problém diagnostikovat.

V této lekci použijete k řešení problému metriky a protokoly služby Network Watcher. K diagnostice problémů s připojením mezi dvěma virtuálními počítači pak použijete protokoly toku skupin zabezpečení sítě (NSG).

Registrace poskytovatele platformy Microsoft.Insights

Protokolování toku NSG vyžaduje poskytovatele Microsoft.Insights. Registrace microsoftu. Přehledy poskytovatele proveďte následující kroky.

  1. Přihlaste se na Azure Portal a k adresáři s přístupem k předplatnému, ve kterém jste prostředky vytvořili.

  2. Na webu Azure Portal vyhledejte, vyberte Předplatná a pak vyberte své předplatné. Zobrazí se podokno Předplatné .

  3. V nabídce Předplatné v části Nastavení vyberte Poskytovatele prostředků. Zobrazí se podokno Poskytovatelé prostředků vašeho předplatného.

  4. Na panelu filtrů zadejte microsoft.insights.

  5. Pokud je stav poskytovatele microsoft.insights notRegistered, vyberte na panelu příkazů Možnost Zaregistrovat.

    Screenshot showing the registered Microsoft.Insights provider.

Vytvoření účtu úložiště

Teď vytvoříte účet úložiště pro protokoly toku NSG.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. V nabídce prostředků vyberte Úložiště, vyhledejte a vyberte Účet úložiště. Zobrazí se podokno Účet úložiště.

  3. Vyberte Vytvořit. Zobrazí se podokno Vytvořit účet úložiště.

  4. Na kartě Základy zadejte pro každé nastavení následující hodnoty.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Název účtu úložiště Vytvořte jedinečný název.
    Oblast Vyberte stejnou oblast jako u skupiny prostředků.

  5. Vyberte Další: Karta Upřesnit a ujistěte se, že je nastavená následující hodnota.

    Nastavení Hodnota
    Blob Storage
    Úroveň přístupu Horká (výchozí)

  6. Vyberte Zkontrolovat a vytvořit a po ověření vyberte Vytvořit.

Vytvoření pracovního prostoru služby Log Analytics

K zobrazení protokolů toku NSG použijete službu Log Analytics.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyhledejte a vyberte pracovní prostory služby Log Analytics. Zobrazí se podokno pracovních prostorů služby Log Analytics.

  2. Na panelu příkazů vyberte Vytvořit. Zobrazí se podokno Vytvořit pracovní prostor služby Log Analytics.

  3. Na kartě Základy zadejte pro každé nastavení následující hodnoty.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Název testsworkspace
    Oblast Vyberte stejnou oblast jako u skupiny prostředků.

  4. Vyberte Zkontrolovat a vytvořit a po ověření vyberte Vytvořit.

Povolení protokolů toku

Pokud chcete nastavit protokoly, musíte nakonfigurovat skupinu zabezpečení sítě (NSG), aby se připojila k účtu úložiště, a přidat této skupině zabezpečení sítě (NSG) analýzu provozu.

  1. V nabídce webu Azure Portal vyberte Všechny prostředky. Pak vyberte skupinu zabezpečení sítě MyNsg .

  2. V nabídce MyNsg v části Monitorování vyberte protokoly toku NSG. MyNsg | Zobrazí se podokno protokolů toku NSG.

  3. Vyberte Vytvořit. Zobrazí se podokno Vytvořit protokol toku.

  4. Na kartě Základy vyberte nebo zadejte následující hodnoty.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné V rozevíracím seznamu vyberte své předplatné.
    + Vybrat prostředek V podokně Vybrat skupinu zabezpečení sítě vyhledejte a vyberte MyNsg a Potvrdit výběr.
    Podrobnosti o instanci
    Předplatné V rozevíracím seznamu vyberte své předplatné.
    Účty úložiště Vyberte jedinečný název účtu úložiště.
    Doba uchování (dny) 0

  5. Vyberte Další: Analýza a pak vyberte nebo zadejte následující hodnoty.

    Nastavení Hodnota
    Verze protokolů toku Verze 2
    Analýza provozu Je zaškrtnuto políčko Povolit analýzu provozu.
    Interval zpracování analýzy provozu Každých 10 minut
    Předplatné V rozevíracím seznamu vyberte své předplatné.
    Pracovní prostor Log Analytics Vyberte testworkspace z rozevíracího seznamu.

  6. Vyberte Zkontrolovat a vytvořit.

  7. Vyberte Vytvořit.

  8. Až se nasazení dokončí, vyberte Přejít k prostředku.

Generování testovacích přenosů

Teď můžete začít generovat nějaký síťový provoz mezi virtuálními počítači, který se zaznamená do protokolu toku.

  1. V nabídce prostředků vyberte Všechny prostředky a pak vyberte FrontendVM.

  2. Na panelu příkazů vyberte Připojení, pak vyberte RDP a pak vyberte Stáhnout soubor RDP. Pokud se zobrazí upozornění týkající se vydavatele vzdáleného připojení, vyberte Připojit.

  3. Spusťte soubor FrontendVM.rdp a vyberte Připojení.

  4. Po zobrazení výzvy k zadání přihlašovacích údajů vyberte Další volby a přihlaste se pomocí uživatelského jména azureuser a hesla, které jste zadali při vytváření virtuálního počítače.

  5. Po zobrazení výzvy k zadání certifikátu zabezpečení vyberte Ano.

  6. V relaci RDP v případě výzvy povolte, aby vaše zařízení bylo zjistitelné pouze v případě, že je v privátní síti.

  7. Otevřete příkazový řádek PowerShellu a spusťte následující příkaz.

    Test-NetConnection 10.10.2.4 -port 80

Test připojení TCP po několika sekundách selže.

Diagnostika problému

Teď k zobrazení protokolů toku NSG použijeme analytiku protokolů.

  1. V nabídce prostředků webu Azure Portal vyberte Všechny služby, vyberte Sítě a pak vyberte Network Watcher. Zobrazí se podokno Network Watcher .

  2. V nabídce prostředků v části Protokoly vyberte Analýza provozu. Network Watcher | Zobrazí se podokno Analýza provozu.

  3. V rozevíracím seznamu Předplatná flowLog vyberte své předplatné.

  4. V rozevíracím seznamu pracovního prostoru služby Log Analytics vyberte testworkspace.

  5. K diagnostice problémů, které brání komunikaci virtuálního počítače front-endu s virtuálním počítačem back-endu, použijte různá zobrazení.

Oprava problému

Pravidlo NSG blokuje příchozí provoz do back-endové podsítě všude přes porty 80, 443 a 3389 místo pouhého blokování příchozího provozu z internetu. Pojďme toto pravidlo nakonfigurovat znovu.

  1. V nabídce prostředků webu Azure Portal vyberte Všechny prostředky a ze seznamu vyberte MyNsg .

  2. V nabídce MyNsg v části Nastavení vyberte Příchozí pravidla zabezpečení a pak vyberte MyNSGRule. Zobrazí se podokno MyNSGRule .

  3. V rozevíracím seznamu Zdroj vyberte Značku služby a v rozevíracím seznamu Značky zdrojové služby vyberte Internet.

  4. Na panelu příkazů MyNSGRule vyberte Uložit a aktualizujte pravidlo zabezpečení.

Opětovné otestování připojení

Teď by měla připojení na portu 80 bez problémů fungovat.

  1. V klientovi RDP se připojte k virtuálnímu počítači FrontendVM. Na příkazovém řádku PowerShellu spusťte následující příkaz.

    Test-NetConnection 10.10.2.4 -port 80

Test připojení by nyní měl být úspěšný.