Funcionamiento de Azure Network Watcher

  • 5 minutos

Network Watcher estará disponible automáticamente al crear una red virtual en una región de Azure de la suscripción. Para acceder a Network Watcher directamente en Azure Portal, escriba Network Watcher en la barra de búsqueda .

Captura de pantalla que muestra cómo buscar Network Watcher en Azure Portal.

Herramienta de topología de Network Watcher

La funcionalidad de topología de Azure Network Watcher permite ver todos los recursos siguientes en una red virtual. Incluidos, los recursos asociados a los recursos de una red virtual y las relaciones entre los recursos.

  • Subredes
  • Interfaces de red
  • Grupos de seguridad de red
  • Equilibrador de carga
  • Sondeos de estado de Load Balancer
  • Direcciones IP públicas
  • Emparejamiento de redes virtuales de Azure
  • Puertas de enlace de red virtual
  • Conexiones de VPN Gateway
  • Máquinas virtuales
  • Conjuntos de máquinas virtuales escalables

Todos los recursos devueltos en una topología tienen las siguientes propiedades:

  • Nombre: nombre del recurso.
  • Identificador: el URI del recurso.
  • Ubicación: la región de Azure en la que se encuentra el recurso.
  • Asociaciones: una lista de asociaciones al objeto al que se hace referencia. Cada asociación tiene las siguientes propiedades:
    • AssociationType: Hace referencia a la relación entre el objeto hijo y el objeto padre. Los valores válidos son Contains y Associated.
    • Nombre: nombre del recurso al que se hace referencia.
    • ResourceId: El URI del recurso referido en la asociación.

Herramienta Connection Monitor

Connection Monitor proporciona supervisión unificada de conexiones de un extremo a otro en Azure Network Watcher. Connection Monitor admite implementaciones híbridas y en la nube de Azure. Puede usar la herramienta Connection Monitor para medir la latencia entre los recursos. Connection Monitor puede detectar cambios que afectan a la conectividad, como cambios de configuración de red o modificaciones en las reglas de NSG. Puede configurar Connection Monitor para sondear las máquinas virtuales a intervalos regulares para buscar errores o cambios. El Monitor de conexión puede diagnosticar problemas y proporcionar explicaciones sobre por qué se produjo el problema y los pasos que puede seguir para corregir un problema.

Diagrama que muestra cómo interactúa Connection Monitor con Azure Virtual Machines, hosts que no son de Azure, puntos de conexión y ubicaciones de almacenamiento de datos.

Para usar Connection Monitor para la supervisión, debe instalar agentes de supervisión en los hosts que supervisa. Connection Monitor usa archivos ejecutables ligeros para ejecutar comprobaciones de conectividad, tanto si un host se encuentra en una red virtual de Azure como en una red local. Con las máquinas virtuales de Azure, se puede instalar la máquina virtual del agente de Network Watcher, también conocida como extensión Network Watcher.

Verificación del flujo de IP

La herramienta de comprobación del flujo de IP utiliza un mecanismo de verificación basado en parámetros de paquetes de 5 tuplas para detectar si se permiten o deniegan paquetes entrantes o salientes hacia o desde una máquina virtual. Dentro de la herramienta, puede especificar un puerto local y remoto, el protocolo (TCP o UDP), la dirección IP local, la dirección IP remota, la máquina virtual y el adaptador de red de la máquina virtual.

Próximo salto

El tráfico de una máquina virtual iaaS se envía a un destino en función de las rutas efectivas asociadas a una interfaz de red (NIC). El próximo salto obtiene el tipo de próximo salto y la dirección IP de un paquete de una máquina virtual y una NIC específicas. Conocer el próximo salto le ayuda a determinar si el tráfico se dirige al destino previsto o si el tráfico se envía sin problemas. Una configuración incorrecta de las rutas, en las que el tráfico se dirige a una ubicación local o a una aplicación virtual, podría provocar problemas de conectividad. La funcionalidad Próximo salto también devuelve la tabla de ruta asociada con el próximo salto. Si la ruta se define como una ruta definida por el usuario, se devolverá esa ruta. De lo contrario, el próximo salto devuelve System Route.

Reglas de seguridad eficaces

Los grupos de seguridad de red (NSG) filtran los paquetes en función de su dirección IP de origen y destino y números de puerto. Se puede aplicar más de un grupo de seguridad de red (NSG) a un recurso de IaaS en una red virtual de Azure. Al considerar todas las reglas que se aplican en todos los NSG para un recurso, la herramienta Reglas de Seguridad Efectivas le permite determinar por qué se puede denegar o permitir cierto tráfico.

Captura de paquetes

La captura de paquetes es una extensión de máquina virtual que se inicia de forma remota a través de Network Watcher. Esta funcionalidad facilita la carga de ejecutar manualmente una captura de paquetes en una máquina virtual específica mediante herramientas del sistema operativo o utilidades de terceros. La captura de paquetes se puede desencadenar a través del portal, PowerShell, la CLI de Azure o la API REST. Network Watcher permite configurar filtros para la sesión de captura para asegurarse de que captura el tráfico que desea supervisar. Los filtros se basan en una información 5-tupla (protocolo, dirección IP local, dirección IP remota, el puerto local y el puerto remoto). Los datos capturados se almacenan en el disco local o en un blob de almacenamiento.

Solución de problemas de conexión

La herramienta de solución de problemas de conexión comprueba la conectividad TCP entre un origen y una máquina virtual de destino. Puede especificar la máquina virtual de destino mediante un FQDN, un URI o una dirección IP. Si la conexión se realiza correctamente, aparece información sobre la comunicación, entre las que se incluyen:

  • Latencia en milisegundos.
  • Número de paquetes de sondeo enviados.
  • Cantidad de saltos en la ruta completa hacia el destino.

Si la conexión no se realiza correctamente, la herramienta muestra detalles sobre el error. Es posible que vea los siguientes tipos de error:

  • CPU: se produjo un error en la conexión debido a un uso elevado de la CPU.
  • Memoria: error en la conexión debido a un uso elevado de memoria.
  • GuestFirewall: un firewall fuera de Azure bloqueó la conexión.
  • DNSResolution: no se pudo resolver la dirección IP de destino.
  • NetworkSecurityRule: un grupo de seguridad de red bloqueó la conexión.
  • UserDefinedRoute: hay una ruta de usuario incorrecta en una tabla de enrutamiento.

Solución de problemas de VPN

Network Watcher proporciona la capacidad de solucionar problemas de puertas de enlace y conexiones. La funcionalidad se puede llamar a través del portal, PowerShell, la CLI de Azure o la API REST. Cuando se llama a Network Watcher, diagnostica el estado de la puerta de enlace o la conexión y luego devuelve los resultados adecuados. La solicitud es una transacción de larga duración. Los resultados preliminares que se devuelven proporcionan una imagen general del estado del recurso.

En la lista siguiente se describen los valores que se devuelven mediante una llamada a la API de solución de problemas de VPN:

  • startTime: hora en que se inició la solución de problemas.
  • endTime: hora en que finalizó la solución de problemas.
  • code: este valor es UnHealthy si hay un único error de diagnóstico.
  • results: Una colección de resultados devueltos en la conexión o en la puerta de enlace de la red virtual.
    • id: el tipo de error.
    • summary: un resumen del error.
    • detallado: una descripción detallada del error.
    • recommendedActions: una colección de acciones recomendadas que se van a realizar.
    • actionText: texto que describe qué acción realizar.
    • actionUri: el URI de la documentación que describe qué acción realizar.
    • actionUriText: descripción breve del texto de la acción.