Øvelse – Foretag fejlfinding af et netværk ved hjælp af Målepunkter og logge for Network Watcher

  • 30 minutter

I Azure Network Watcher kan målepunkter og logge diagnosticere komplekse konfigurationsproblemer.

Antag, at du har to virtuelle maskiner (VM'er), der ikke kan kommunikere. Du vil gerne have så mange oplysninger som muligt for at diagnosticere problemet.

I dette undermodul foretager du fejlfinding ved hjælp af Network Watcher-målepunkter og -logge. Hvis du vil diagnosticere forbindelsesproblemet mellem de to VM'er, skal du derefter bruge NSG-flowlogfilerne (Network Security Group).

Registrer Microsoft.Insights-udbyderen

Logføring af NSG-flow kræver udbyderen af Microsoft.Insights. Hvis du vil tilmelde dig Microsoft.Insights-udbyderen, skal du udføre følgende trin.

  1. Log på Azure Portal, og log på mappen med adgang til det abonnement, du oprettede ressourcer i.

  2. Søg efter på Azure Portal, vælg Abonnementer, og vælg derefter dit abonnement. Ruden Abonnement vises.

  3. I menuen Abonnement under Indstillingerskal du vælge Ressourceprovidere. Ruden ressourceudbydere for dit abonnement vises.

  4. Angiv microsoft.insightspå filterlinjen.

  5. Hvis status for udbyderen af microsoft.insights er NotRegistered, skal du vælge Registrer på kommandolinjen.

    Skærmbillede, der viser den registrerede Microsoft.Insights-udbyder.

Opret en lagerkonto

Opret nu en lagerkonto til NSG-flowlogfilerne.

  1. Vælg Opret en ressourcei menuen på Azure Portal eller på siden Start .

  2. I ressourcemenuen skal du vælge Storageog derefter søge efter og vælge Lagerkonto. Ruden Lagerkonto vises.

  3. Vælg Opret. Ruden Opret lagerkonto vises.

  4. På fanen Basics skal du angive følgende værdier for hver indstilling.

    Indstilling Værdi
    Projektdetaljer
    Abonnement Vælg dit abonnement
    Ressourcegruppe Vælg din ressourcegruppe
    oplysninger om forekomst
    Navn på lagerkonto Opret et entydigt navn
    Land/område Vælg det samme område som din ressourcegruppe

  5. Vælg Næste: Fanen Avanceret, og sørg for, at følgende værdi er angivet.

    Indstilling Værdi
    bloblager
    Adgangsniveau Hot (standard)

  6. Vælg Gennemse + opret, og når valideringen er udført, skal du vælge Opret.

Opret et Log Analytics-arbejdsområde

Hvis du vil have vist NSG-flowlogge, skal du bruge Log Analytics.

  1. Søg efter og vælg Log Analytics-arbejdsområderi menuen på Azure Portal eller på siden Start . Ruden Log Analytics-arbejdsområder vises.

  2. Vælg Opretpå kommandolinjen. Ruden Opret loganalyse-arbejdsområde vises.

  3. På fanen Basics skal du angive følgende værdier for hver indstilling.

    Indstilling Værdi
    Projektdetaljer
    Abonnement Vælg dit abonnement
    Ressourcegruppe Vælg din ressourcegruppe
    oplysninger om forekomst
    Navn testsworkspace
    Land/område Vælg det samme område som din ressourcegruppe

  4. Vælg Gennemse + Opret, og når valideringen er udført, skal du vælge Opret.

Aktivér flowlogge

Hvis du vil konfigurere flowlogge, skal du konfigurere NSG for at oprette forbindelse til lagerkontoen og tilføje trafikanalyser for NSG.

  1. Vælg Alle ressourceri Azure Portal-menuen. Vælg derefter gruppen MyNsg netværkssikkerhed.

  2. Vælg NSG-flowlogfilerunder Overvågningi menuen MyNsg . Den MyNsg | NSG-flowlogge rude vises.

  3. Vælg Opret. Ruden Opret en flowlog vises.

  4. På fanen Basics skal du vælge eller angive følgende værdier.

    Indstilling Værdi
    Projektdetaljer
    Abonnement Vælg dit abonnement på rullelisten.
    + Vælg ressource I ruden Vælg netværkssikkerhedsgruppe skal du søge efter og vælge MyNsg og Bekræft valg.
    oplysninger om forekomst
    Abonnement Vælg dit abonnement på rullelisten.
    Lagerkonti Vælg navnet på din entydige lagerkonto.
    Opbevaring (dage) 1

  5. Vælg Næste: Analytics, og vælg eller angiv derefter følgende værdier.

    Indstilling Værdi
    Version af flowlogge Version 2
    Trafikanalyse Aktivér Trafikanalyse er markeret.
    Behandlingsinterval for Trafikanalyse Hvert 10. minut
    Abonnement Vælg dit abonnement på rullelisten.
    Log Analytics-arbejdsområde Vælg testworkspace på rullelisten.

  6. Vælg Gennemse , og opret.

  7. Vælg Opret.

  8. Når installationen er fuldført, skal du vælge Gå til ressource.

Generér testtrafik

Nu er du klar til at generere netværkstrafik mellem VM'er, der skal registreres i flowloggen.

  1. Vælg Alle ressourceri ressourcemenuen, og vælg derefter FrontendVM.

  2. Vælg Opret forbindelsepå kommandolinjen , vælg derefter RDP-, og vælg derefter Hent RDP-fil. Hvis du får vist en advarsel om udgiveren af fjernforbindelsen, skal du vælge Opret forbindelse.

  3. Start filen FrontendVM.rdp, og vælg Opret forbindelse.

  4. Når du bliver bedt om dine legitimationsoplysninger, skal du vælge Flere valgmuligheder. Log på med brugernavnet azureuser og den adgangskode, du angav, da du oprettede vm'en.

  5. Når du bliver bedt om at angive et sikkerhedscertifikat, skal du vælge Ja.

  6. Hvis du bliver bedt om det i RDP-sessionen, skal du kun tillade, at enheden kan findes, hvis den er på et privat netværk.

  7. Åbn en PowerShell-prompt, og kør følgende kommando.

    Test-NetConnection 10.10.2.4 -port 80

TCP-forbindelsestesten mislykkes efter et par sekunder.

Diagnosticer problemet

Lad os nu bruge loganalyse til at få vist NSG-flowlogfilerne.

  1. Azure Portal ressourcemenu skal du vælge Alle tjenester, vælge Netværkog derefter vælge Network Watcher. Ruden Network Watcher vises.

  2. Vælg Traffic Analyticsunder Logsi ressourcemenuen. Den Network Watcher | Ruden Traffic Analytics vises.

  3. Vælg dit abonnement på rullelisten FlowLog-abonnementer.

  4. På rullelisten Log Analytics-arbejdsområde skal du vælge testworkspace.

  5. Brug de forskellige visninger til at diagnosticere det problem, der forhindrer kommunikation fra frontend-VM'en til backend-VM'en.

Løs problemet

En NSG-regel blokerer indgående trafik til backend-undernettet overalt over portene 80, 443 og 3389 i stedet for blot at blokere indgående trafik fra internettet. Lad os omkonfigurere reglen nu.

  1. Vælg Alle ressourceri ressourcemenuen i Azure Portal, og vælg derefter MyNsg- på listen.

  2. I menuen MyNsg under Indstillingerskal du vælge Indgående sikkerhedsreglerog derefter vælge MyNSGRule. Ruden MyNSGRule vises.

  3. På rullelisten Kilde skal du vælge Service Tag, og på rullelisten Kildetjenestekode skal du vælge Internet.

  4. Vælg Gem på kommandolinjen MyNSGRule for at opdatere sikkerhedsreglen.

Prøv forbindelsen igen

Forbindelser på port 80 bør nu fungere uden problemer.

  1. Opret forbindelse til FrontendVM-i RDP-klienten. Kør følgende kommando ved PowerShell-prompten.

    Test-NetConnection 10.10.2.4 -port 80

Forbindelsestesten skulle nu lykkes.