Preguntas más frecuentes (P+F) sobre Network Watcher

Network Watcher proporciona un conjunto de herramientas para supervisar. diagnosticar, ver métricas y habilitar o deshabilitar registros para recursos IaaS (Infraestructura como servicio), lo que incluye máquinas virtuales, redes virtuales, puerta de enlace de aplicación, equilibradores de carga y otros recursos en una red virtual de Azure. No es una solución para supervisar la infraestructura de PaaS (plataforma como servicio) u obtener análisis web/móviles.

Network Watcher proporciona tres conjuntos principales de funcionalidades:

• Supervisión
  • Vista de la topología muestra los recursos de la red virtual y las relaciones entre ellos.
  • Connection Monitor le permite supervisar la conectividad y la latencia entre puntos de conexión dentro y fuera de Azure.
• Herramientas de diagnóstico de red
  • Comprobación del flujo de IP permite detectar incidencias en el filtrado del tráfico a nivel de máquina virtual.
  • Diagnóstico de NSG le permite detectar incidencias en el filtrado de tráfico a nivel de máquina virtual, conjunto de escalado de máquinas virtuales o puerta de enlace de aplicación.
  • Próximo salto le ayuda a comprobar las rutas de tráfico y a detectar problemas de enrutamiento.
  • Solucionar problemas de conexión habilita una comprobación de conectividad y latencia que se realiza una única vez entre una máquina virtual y un host de Bastion, puerta de enlace de aplicación u otra máquina virtual.
  • Captura de paquetes le permite capturar el tráfico de su máquina virtual.
  • Solución de problemas de VPN ejecuta varias comprobaciones de diagnóstico en las puertas de enlace de VPN y las conexiones para facilitar la depuración de problemas.
• Traffic
  • Los registros de flujo de grupo de seguridad de red y los registros de flujo de red virtual (versión preliminar) permiten registrar el tráfico de red que pasa por los grupos de seguridad de red (NSG) y las redes virtuales, respectivamente.
  • Análisis de tráfico procesa los datos del registro de flujo del registro de flujo de grupo de seguridad de red para que pueda visualizar, consultar, analizar y comprender el tráfico.

Para información más detallada, consulte la Información general de Network Watcher.

Consulte Precios de Network Watcher para más detalles sobre el precio de los distintos componentes de Network Watcher.

Consulte Regiones de Network Watcher para saber las regiones que admiten Network Watcher.

Consulte Permisos de Azure RBAC requeridos para usar Network Watcher para una lista detallada de los permisos de cada capacidad de Network Watcher.

El servicio Network Watcher se habilita automáticamente en cada suscripción. Debe activar manualmente Network Watcher si deshabilitó la activación automática de Network Watcher. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

El recurso primario de Network Watcher se implementa con una instancia única en todas las regiones. Formato de nomenclatura predeterminado: NetworkWatcher_RegionName. Ejemplo: NetworkWatcher_centralus es el recurso de Network Watcher para la región "Central US" (Centro de EE. UU.). Puede personalizar el nombre de la instancia de Network Watcher mediante PowerShell o la API de REST.

Network Watcher solo necesita ser habilitado una vez por región y suscripción para que funcionen sus características. Network Watcher se habilita en una región al crear una instancia de Network Watcher en esa misma región.

El recurso Network Watcher representa el servicio back-end para Network Watcher, que está totalmente administrado por Azure. Sin embargo, puede crear o eliminar el recurso Network Watcher para habilitarlo o deshabilitarlo en una región determinada. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

No, no se admite el traslado del recurso Network Watcher o cualquiera de sus recursos secundarios entre regiones. Para obtener más información, vea Compatibilidad con la operación de traslado para recursos de red.

Sí, se admite el traslado de recurso de Network Watcher entre grupos de recursos. Para obtener más información, vea Compatibilidad con la operación de traslado para recursos de red.

NetworkWatcherRG es un grupo de recursos que se crea automáticamente para los recursos de Network Watcher. Por ejemplo, los recursos instancias regionales de Network Watcher y registro de flujo de grupo de seguridad de red se crean en el grupo de recursos NetworkWatcherRG. Puede personalizar el nombre del grupo de recursos de Network Watcher mediante PowerShell, la CLI de Azure o la API de REST.

Azure Network Watcher no almacena los datos de los clientes, excepto para Connection Monitor. El monitor de conexión almacena los datos de los clientes, que Network Watcher almacena automáticamente en una sola región para satisfacer los requisitos de residencia de datos en la región.

Network Watcher tiene los límites siguientes:

Sí, el servicio Network Watcher es resistente a las zonas de manera predeterminada.

No se necesita configurar nada para habilitar la resistencia de zonas. La resistencia de zonas para los recursos de Network Watcher está disponible de manera predeterminada y la administra el propio servicio.

El agente Network Watcher es necesario para cualquier función de Network Watcher que genere o intercepte tráfico desde una máquina virtual.

La características de captura de paquetes, solución de problemas de conexión y Connection Monitor requieren que la extensión Network Watcher esté presente.

La versión más reciente de la extensión Network Watcher es 1.4.3206.1. Para obtener más información, consulte Actualizar la extensión Azure Network Watcher a la versión más reciente.

• Linux: el agente de Network Watcher usa puertos disponibles a partir de port 50000 y posteriores hasta que alcanza port 65535.
• Windows: el agente de Network Watcher usa los puertos con los que responde el sistema operativo cuando se consulta para los puertos disponibles.

El agente de Network Watcher requiere conectividad TCP saliente para 169.254.169.254 a través de port 80 y 168.63.129.16 a través de port 8037. El agente usa estas direcciones IP para comunicarse con la plataforma Azure.

No, Connection Monitor no admite máquinas virtuales clásicas. Para más información, consulte Migración de recursos de IaaS de la implementación clásica a la de Resource Manager.

La topología solo se puede decorar desde fuera de Azure a Azure si el recurso de Azure de destino y el recurso de Connection Monitor están en la misma región.

No se puede usar la misma máquina virtual de Azure con configuraciones diferentes en el mismo monitor de conexión. Por ejemplo, no se admite el uso de la misma VM con filtro y sin filtro en el mismo monitor de conexión.

Los problemas que se muestran en el panel de Connection Monitor aparecen durante la detección de la topología o la exploración de saltos. Puede haber casos en los que el umbral establecido para el porcentaje de pérdida o RTT se incumpla, pero no se encuentre ningún problema en los saltos.

No hay ninguna selección de protocolo en Connection Monitor (clásico). Las pruebas de Connection Monitor (clásico) solo usan el protocolo TCP. Por eso, durante la migración, creamos una configuración TCP en pruebas en la nueva instancia de Connection Monitor.

Actualmente hay un límite regional cuando un punto de conexión usa agentes de Azure Monitor y Arc con el área de trabajo de Log Analytics asociada. Como resultado de esta limitación, el área de trabajo de Log Analytics asociada debe estar en la misma región que el punto de conexión de Arc. Los datos ingeridos en áreas de trabajo individuales se pueden unir para una sola vista, consulte Consulta de datos en áreas de trabajo, aplicaciones y recursos de Log Analytics en Azure Monitor.

Los registros de flujo le permiten registrar información en 5 tuplas sobre el tráfico de IP de Azure que pasa a través del grupo de seguridad de red o la red virtual de Azure. Los registros de flujo sin procesar se escriben en una cuenta de Azure Storage. Desde allí, puede procesarlos, analizarlos, consultarlos o exportarlos según necesite.

Los datos de los registros de flujo se recopilan fuera de la ruta del tráfico de red y, por tanto, no afectan al rendimiento o la latencia de la red. Puede crear o eliminar registros de flujo sin riesgo de que afecte al rendimiento de la red.

Los registros de flujo de grupo de seguridad de red registran el tráfico que atraviesa un grupo de seguridad de red. Por otro lado, los diagnósticos de NSG devuelven todos los grupos de seguridad de red que el tráfico atraviesa y las reglas de cada grupo de seguridad de red que se aplican a este tráfico. Use diagnósticos de NSG para comprobar que las reglas del grupo de seguridad de red se aplican según lo previsto.

No, los registros de flujo de grupo de seguridad de red no admiten los protocolos ESP y AH.

No, los registros de flujo de grupo de seguridad de red y los registros de flujo de red virtual no admiten el protocolo ICMP.

Sí. El recurso de registro de flujo asociado también se eliminará. Los datos del registro de flujo se conservan en la cuenta de almacenamiento durante el período de retención configurado en el registro de flujo.

Sí, pero debe eliminar el recurso de registro de flujo asociado. Después de migrar el grupo de seguridad de red, puede volver a crear los registros de flujo para habilitar el registro de flujo en él.

Sí, puede usar una cuenta de almacenamiento de una suscripción diferente siempre que esta suscripción esté en la misma región del grupo de seguridad de red y asociada al mismo inquilino de Microsoft Entra del grupo de seguridad de red o la suscripción de la red virtual.

Para usar una cuenta de almacenamiento tras un firewall, debe crear una excepción para que los Servicios de confianza de Microsoft accedan a la cuenta de almacenamiento:

1. Vaya a la cuenta de almacenamiento introduciendo el nombre de la cuenta de almacenamiento en el cuadro de búsqueda en la parte superior del portal.
2. En Seguridad y redes, seleccione Redes, y después Firewalls y redes de virtuales.
3. En Acceso de red pública seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas. Entonces, en Excepciones, marque la casilla junto a Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.
4. Para habilitar los registros de flujo de grupo de seguridad de red, cree un registro de flujo para su grupo de seguridad de red de destino con la cuenta de almacenamiento anterior. Para obtener más información, consulte Crear un registro de flujo.

Puede comprobar los registros de almacenamiento tras unos minutos. Debería ver una marca de tiempo actualizada o un nuevo archivo JSON creado.

Network Watcher tiene un mecanismo de reserva integrado que usa al conectarse a una cuenta de almacenamiento detrás de un firewall (firewall habilitado). Intenta conectarse a la cuenta de almacenamiento mediante una clave y, si se produce un error, cambia a un token. En este caso, se registra un error 403 en el registro de actividad de la cuenta de almacenamiento.

Sí, Network Watcher admite el envío de datos de registros de flujo de grupo de seguridad de red a una cuenta de almacenamiento habilitada con un punto de conexión privado.

Los registros de flujo de grupo de seguridad de red son compatibles con los puntos de conexión de servicio sin necesidad de ninguna configuración adicional. Para más información, consulte Habilitación de un punto de conexión de servicio.

La versión 2 de los registros de flujo introduce el concepto de estado del flujo y almacena información sobre los bytes y los paquetes transmitidos. Para más información, consulte Formato de registros de flujo de grupo de seguridad de red.

No, un bloqueo de solo lectura en un grupo de seguridad de red impide la creación del registro de flujo de grupo de seguridad de red correspondiente.

Sí, un bloqueo que impide la eliminación en el grupo de seguridad de red no impide la creación o modificación del registro de flujo de grupo de seguridad de red correspondiente.

Sí, los registros de flujo de grupo de seguridad de red se pueden automatizar mediante plantillas de Azure Resource Manager (plantillas de ARM). Para más información, consulte Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM).