Funcionamiento de Azure Network Watcher

  • 5 minutos

Network Watcher está disponible automáticamente al crear una red virtual en una región de Azure en su suscripción. Puede acceder a Network Watcher directamente en Azure Portal escribiendo Network Watcher en la barra de búsqueda.

Screenshot that shows how to search for Network Watcher in the Azure portal.

Herramienta de topología de Network Watcher

La capacidad de topología de Azure Network Watcher permite ver todos los recursos siguientes en una red virtual. Entre ellos, los recursos asociados a los recursos de una red virtual y las relaciones entre ellos.

  • Subredes
  • Interfaces de red
  • Grupos de seguridad de red
  • Equilibrador de carga
  • Sondeos de estado de Load Balancer
  • Direcciones IP públicas
  • Emparejamiento de redes virtuales de Azure
  • Puertas de enlace de red virtual
  • Conexiones de VPN Gateway
  • Máquinas virtuales
  • Virtual Machine Scale Sets

Todos los recursos que se devuelven en una topología tienen las siguientes propiedades:

  • Nombre: nombre del recurso.
  • Id: identificador URI del recurso.
  • Ubicación: la región de Azure en la que se encuentra el recurso.
  • Associations: lista de asociaciones para el objeto al que se hace referencia. Cada asociación tiene las siguientes propiedades:
    • AssociationType: hace referencia a la relación entre los objetos secundario y principal. Los valores válidos son Contains y Associated.
    • Name: nombre del recurso al que se hace referencia.
    • ResourceId: identificador URI del recurso al que se hace referencia en la asociación.

Herramienta Connection Monitor

Connection Monitor proporciona una supervisión unificada e integral de la conexión en Azure Network Watcher. Connection Monitor admite implementaciones híbridas y en la nube de Azure. Puede usar la herramienta Connection Monitor para medir la latencia entre los recursos. Connection Monitor puede detectar los cambios que afectan a la conectividad, como los cambios en la configuración de red o modificaciones en las reglas de grupo de seguridad de red. Puede configurar Connection Monitor para que sondee las máquinas virtuales a intervalos regulares con el fin de buscar errores o cambios. Connection Monitor puede diagnosticar problemas y proporcionar explicaciones sobre por qué se produjo el problema y los pasos que puede seguir para corregir un problema.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Para usar Connection Monitor para la supervisión, debe instalar agentes de supervisión en los hosts que supervise. Connection Monitor utiliza archivos ejecutables ligeros para ejecutar comprobaciones de conectividad, tanto si un host se encuentra en una red virtual de Azure como en una red local. Con las máquinas virtuales de Azure, se puede instalar la máquina virtual del agente de Network Watcher, también conocida como extensión Network Watcher. En los equipos locales esta funcionalidad se puede habilitar mediante la instalación del agente de Log Analytics.

Comprobación del flujo de IP

La herramienta de comprobación del flujo de IP usa un mecanismo de comprobación basado en parámetros de paquete de cinco tuplas para detectar si los paquetes entrantes o salientes se permiten o deniegan en una máquina virtual. Dentro de la herramienta, se puede especificar un puerto local y remoto, el protocolo (TCP/UDP), la dirección IP local, la dirección IP remota, la máquina virtual y el adaptador de red de la máquina virtual.

Próximo salto

El tráfico de una máquina virtual IaaS se envía a un destino en función de las rutas efectivas asociadas a una interfaz de red (NIC). La funcionalidad Próximo salto obtiene el tipo de próximo salto y la dirección IP de un paquete de una máquina virtual y una NIC específicas. Conocer el próximo salto le ayuda a determinar si el tráfico se dirige al destino previsto o si el tráfico se envía sin problemas. Una configuración incorrecta de las rutas, en las que el tráfico se dirige a una ubicación local o a una aplicación virtual, podría provocar problemas de conectividad. La funcionalidad Próximo salto también devuelve la tabla de ruta asociada con el próximo salto. Si la ruta se define como una ruta definida por el usuario, se devolverá esa ruta. De lo contrario, el próximo salto devuelve System Route.

Reglas de seguridad vigentes

Los grupos de seguridad de red (NSG) filtran los paquetes en función de sus números de puerto y dirección IP de origen y destino. Se puede aplicar más de un grupo de seguridad de red a un recurso de IaaS en una red virtual de Azure. Teniendo en cuenta todas las reglas que se aplican en todos los grupos de seguridad de red de un recurso, la herramienta de reglas de seguridad efectivas permite determinar por qué se podría denegar o permitir cierto tráfico.

Captura de paquetes

La captura de paquetes es una extensión de máquina virtual que se inicia de forma remota a través de Network Watcher. Esta funcionalidad facilita la carga de ejecutar una captura de paquetes manualmente en una máquina virtual específica mediante herramientas de sistema operativo o utilidades de terceros. La captura de paquetes se puede desencadenar a través del portal, PowerShell, la CLI de Azure o la API REST. Network Watcher permite configurar filtros para la sesión de captura para asegurarse de capturar el tráfico que desea supervisar. Los filtros se basan en la información de 5-tupla (protocolo, dirección IP local, dirección IP remota, el puerto local y puerto remoto). Los datos capturados se almacenan en el disco local o en un blob de almacenamiento.

Solución de problemas de conexión

La herramienta de solución de problemas de conexión comprueba la conectividad TCP entre una máquina virtual de origen y de destino. Puede especificar la máquina virtual de destino mediante un FQDN, un URI o una dirección IP. Si la conexión es correcta, aparecerá información sobre la comunicación, incluido lo siguiente:

  • La latencia en milisegundos.
  • El número de paquetes de sondeo enviados.
  • El número de saltos en la ruta completa al destino.

Si la conexión no se realiza correctamente, la herramienta muestra detalles sobre el error. Es posible que vea los siguientes tipos de error:

  • CPU: no se ha podido realizar la conexión debido a un uso elevado de CPU.
  • Memoria: no se ha podido realizar la conexión debido a un uso elevado de la memoria.
  • GuestFirewall: un firewall externo a Azure ha bloqueado la conexión.
  • DNSResolution: no se ha podido resolver la dirección IP de destino.
  • NetworkSecurityRule: un grupo de seguridad de red ha bloqueado la conexión.
  • UserDefinedRoute: hay una ruta de usuario incorrecta en una tabla de enrutamiento.

Solución de problemas de VPN

Network Watcher proporciona la funcionalidad para solucionar problemas con las puertas de enlace y las conexiones. Se puede llamar a la funcionalidad a través del portal, PowerShell, la CLI de Azure o la API REST. Cuando se le llama, Network Watcher diagnostica el estado de la puerta de enlace o la conexión y, a continuación, devuelve los resultados adecuados. La solicitud es una transacción de larga duración. Los resultados preliminares que se devuelven dan una imagen general del estado del recurso.

En la lista siguiente se describen los valores que se devuelven con la API de solución de problemas:

  • startTime: hora a la que se inició la solución de problemas.
  • endTime: hora a la que finalizó la solución de problemas.
  • code: este valor es UnHealthy si hay un único error de diagnóstico.
  • Resultados: una colección de resultados devueltos en la conexión o en la puerta de enlace de red virtual.
    • id: el tipo de error.
    • summary: resumen del error.
    • detailed: descripción detallada del error.
    • recommendedActions: colección de acciones recomendadas que se deben realizar.
    • actionText: texto que describe qué acción realizar.
    • actionUri: URI de la documentación donde se describe la acción que se debe realizar.
    • actionUriText: breve descripción del texto de la acción.