Cet article fournit des réponses aux questions les plus fréquemment posées sur Azure Network Watcher.
Général
Qu’est-ce que Network Watcher ?
Network Watcher fournit une suite d’outils pour surveiller, diagnostiquer, afficher des métriques et activer ou désactiver des journaux pour les ressources IaaS (Infrastructure as a Service), notamment les machines virtuelles, les réseaux virtuels, les passerelles applicatives, les équilibreurs de charge et autres ressources d’un réseau virtuel Azure. Il ne s’agit pas d’une solution pour superviser l’infrastructure PaaS (plateforme en tant que service) ni pour obtenir une analytique web/mobile.
Quels sont les outils fournis par Network Watcher ?
Network Watcher propose trois principaux ensembles de fonctionnalités :
- Monitoring
- La vue Topologie vous montre les ressources figurant dans votre réseau virtuel et les relations entre ces ressources.
- Le moniteur de connexion vous permet de surveiller la connectivité et la latence entre les points de terminaison à l’intérieur et à l’extérieur d’Azure.
- Outils de diagnostic réseau
- La vérification des flux IP vous permet de détecter les problèmes de filtrage du trafic au niveau d’une machine virtuelle.
- Les diagnostics de groupe de sécurité réseau vous permettent de détecter les problèmes de filtrage du trafic au niveau d’une machine virtuelle, d’un groupe de machines virtuelles identiques ou d’une passerelle applicative.
- Le tronçon suivant vous aide à vérifier les itinéraires de trafic et à détecter les problèmes de routage.
- La résolution des problèmes de connexion permet une connexion ponctuelle et la vérification de la latence entre une machine virtuelle et un hôte Bastion, une passerelle applicative ou une autre machine virtuelle.
- La capture de paquets vous permet de capturer le trafic de votre machine virtuelle.
- La résolution des problèmes liés au VPN exécute plusieurs vérifications de diagnostic sur vos connexions et passerelles VPN pour aider à résoudre les problèmes.
-
Trafic
- Les journaux de flux de groupes de sécurité réseau et les journaux de flux de réseaux virtuels vous permettent de journaliser le trafic réseau passant respectivement par vos groupes de sécurité réseau (NSG) et vos réseaux virtuels.
- Analyse du trafic traite les données de vos journaux de flux de groupes de sécurité réseau, ce qui vous permet de visualiser, d’interroger, d’analyser et de comprendre votre trafic réseau.
Pour plus d’informations, consultez la vue d’ensemble de Network Watcher.
Comment fonctionne la tarification de Network Watcher ?
Pour plus d’informations sur la tarification des différents composants Network Watcher, consultez Tarification Network Watcher.
Dans quelles régions Network Watcher est-il actuellement pris en charge et disponible ?
Consultez Régions Network Watcher pour en savoir plus sur les régions qui prennent en charge Network Watcher.
Quelles sont les autorisations requises pour utiliser Network Watcher ?
Consultez Autorisations RBAC Azure requises pour utiliser Network Watcher pour obtenir la liste détaillée des autorisations requises pour chacune des fonctionnalités de Network Watcher.
Comment faire pour activer Network Watcher ?
Le service Network Watcher est automatiquement activé pour chaque abonnement. Vous devez activer manuellement Network Watcher si vous avez refusé de l’activer automatiquement. Pour plus d’informations, consultez Activer ou désactiver Azure Network Watcher.
Qu’est-ce que le modèle de déploiement Network Watcher ?
La ressource parente Network Watcher est déployée avec une instance unique sur chaque région. Format de nommage par défaut : NetworkWatcher_RegionName. Exemple : NetworkWatcher_centralus est la ressource Network Watcher pour la région « USA Centre ». Vous pouvez personnaliser le nom de Network Watcher instance à l’aide de PowerShell ou de l’API REST.
Pourquoi Azure n’autorise qu’une seule instance de Network Watcher par région ?
Network Watcher a juste besoin d’être activé une seule fois par région dans un abonnement pour que ses fonctionnalités fonctionnent. Network Watcher est activé dans une région en créant une instance Network Watcher dans cette région.
Comment puis-je gérer une ressource Network Watcher ?
La ressource Network Watcher représente le service back-end pour Network Watcher qui est entièrement géré par Azure. Cependant, vous pouvez créer ou supprimer la ressource Network Watcher pour l’activer ou la désactiver dans une région particulière. Pour plus d’informations, consultez Activer ou désactiver Azure Network Watcher.
Puis-je déplacer mon instance Network Watcher d’une région vers une autre ?
Non, le déplacement d’une ressource Network Watcher ou de l’une de ses ressources enfants entre des régions n’est pas pris en charge. Pour plus d’informations, consultez Prise en charge des opérations de déplacement pour les ressources réseau.
Puis-je déplacer une instance Network Watcher d’un groupe de ressources à un autre ?
Oui, le déplacement d’une ressource Network Watcher entre les groupes de ressources est pris en charge. Pour plus d’informations, consultez Prise en charge des opérations de déplacement pour les ressources réseau.
Qu’est-ce que NetworkWatcherRG ?
NetworkWatcherRG est un groupe de ressources créé automatiquement pour les ressources Network Watcher. Par exemple, les instances régionales Network Watcher et les ressources du journal de flux de groupe de sécurité réseau sont créées dans le groupe de ressources NetworkWatcherRG. Vous pouvez personnaliser le nom de Network Watcher groupe de ressources à l’aide de PowerShell, d’Azure CLI ou de l’API REST.
Est-ce que Network Watcher stocke des données client ?
Azure Network Watcher ne stocke pas les données client à l’exception du Moniteur de connexion. Le moniteur de connexion stocke des données client, qui sont automatiquement stockées par Network Watcher, dans une seule région pour répondre aux exigences de résidence des données dans la région.
Quelles sont les limites des ressources sur Network Watcher ?
Network Watcher a les limites suivantes :
Ressource | Limite |
---|---|
Instances Network Watcher par région et par abonnement | 1 (Une instance dans une région pour activer l’accès au service dans la région) |
Moniteurs de connexion par région et par abonnement | 100 |
Nombre maximum de groupes de tests par moniteur de connexion | 20 |
Nombre maximum de sources et de destinations par moniteur de connexion | 100 |
Nombre maximum de configurations de test par moniteur de connexion | 20 |
Sessions de capture de paquets par région et par abonnement | 10 000 (nombre de sessions uniquement, sans captures enregistrées) |
Résoudre les problèmes liés aux opérations VPN par abonnement | 1 (nombre d’opérations à la fois) |
Disponibilité et redondance du service
Network Watcher est-il résilient aux zones ?
Oui, le service Network Watcher est résilient aux zones par défaut.
Comment configurer le service Network Watcher pour qu’il soit résilient aux zones ?
Aucune configuration n’est nécessaire pour activer la résilience des zones. La résilience des zones pour les ressources Network Watcher est disponible par défaut et gérée par le service lui-même.
Agent Network Watcher
Pourquoi installer l’agent Network Watcher ?
L’agent Network Watcher est requis pour toute fonctionnalité Network Watcher qui génère ou intercepte le trafic d’une machine virtuelle.
Quelles fonctionnalités nécessitent l’agent Network Watcher ?
Les fonctionnalités Capture de paquets, Résolution des problèmes de connexion et Moniteur de connexion nécessitent la présence de l’extension Network Watcher.
Quelle est la dernière version de l’agent Network Watcher ?
La version la plus récente de l’extension Network Watcher est 1.4.3422.1
. Pour plus d’informations, consultez Mettre à jour l’extension Azure Network Watcher vers la dernière version.
Quels ports utilise l’agent Network Watcher ?
- Linux : l’agent Network Watcher utilise les ports disponibles à partir de
port 50000
jusqu’à atteindreport 65535
. - Windows : l’agent Network Watcher utilise les ports par lesquels le système d’exploitation répond lorsqu’il est interrogé sur les ports disponibles.
Avec quelles adresses IP l’agent Network Watcher communique-t-il ?
L’agent Network Watcher nécessite une connectivité TCP sortante vers 169.254.169.254
plutôt que port 80
et 168.63.129.16
plutôt que port 8037
. L’agent utilise ces adresses IP pour communiquer avec la plateforme Azure.
Moniteur de connexion
Le Moniteur de connexion prend-il en charge les machines virtuelles classiques ?
Non, le Moniteur de connexion ne prend pas en charge les machines virtuelles classiques. Pour plus d'informations, consultez Migration de ressources IaaS d’un environnement Classic vers Azure Resource Manager.
Que se passe-t-il si ma topologie n’est pas décorée ou si mes tronçons présentent des informations manquantes ?
La topologie peut être décorée de Non-Azure en Azure uniquement si la ressource Azure de destination et la ressource du Moniteur de connexion se trouvent dans la même région.
Que se passe-t-il si la création du Moniteur de connexion échoue avec l’erreur suivante : « Nous n’autorisons pas la création de différents points de terminaison pour la même machine virtuelle » ?
La même machine virtuelle Azure ne peut pas être utilisée avec différentes configurations dans le même moniteur de connexion. Par exemple, l’utilisation de la même machine virtuelle avec un filtre et sans filtre dans le même moniteur de connexion n’est pas prise en charge.
Que se passe-t-il si le motif de l’échec du test est « Rien à afficher » ?
Les problèmes affichés sur le tableau de bord du Moniteur de connexion sont détectés lors de la découverte de la topologie ou de l'exploration des tronçons. Il peut arriver que le seuil fixé pour le % de perte ou le RTT soit dépassé, mais qu'aucun problème ne soit détecté au niveau des tronçons.
Lors de la migration d’un moniteur de connexion existant (classique) vers le dernier moniteur de connexion, que se passe-t-il si les tests de point de terminaison externe sont migrés uniquement avec le protocole TCP ?
Il n’y a pas d’option de sélection du protocole dans le Moniteur de connexion (classique). Les tests dans le moniteur de connexion (classique) utilisent uniquement le protocole TCP, et c’est pourquoi, pendant la migration, nous créons une configuration TCP dans les tests dans le nouveau moniteur de connexion.
Existe-t-il des limitations à l'utilisation d'Azure Monitor et d'Arc Agents avec le moniteur de connexion ?
Il existe actuellement une limite régionale lorsqu'un point de terminaison utilise Azure Monitor et les agents Arc avec l'espace de travail Log Analytics associé. En raison de cette limitation, l'espace de travail Log Analytics associé doit se trouver dans la même région que le point de terminaison Arc. Les données ingérées dans des espaces de travail individuels peuvent être regroupées pour une vue unique, consultez Interroger des données sur des espaces de travail, des applications et des ressources Log Analytics dans Azure Monitor.
Journaux de flux
Que fait la journalisation des flux ?
Les journaux de flux vous permettent de journaliser les informations de flux à cinq tuples concernant le trafic IP Azure qui passe par un groupe de sécurité réseau ou un réseau virtuel Azure. Les journaux de flux bruts sont placés dans un compte de stockage Azure. Vous pouvez ensuite les traiter, les analyser, les interroger ou les exporter selon vos besoins.
Est-ce que les journaux de flux affectent la latence ou les performances de réseau ?
Les données du journal de flux sont collectées en dehors du chemin d’accès de votre trafic réseau ; ils n’affectent donc pas le débit ou la latence du réseau. Vous pouvez créer ou supprimer des journaux de flux sans risque d’impact sur les performances du réseau.
Quelle est la différence entre les journaux de flux NSG et les diagnostics NSG ?
Les journaux de flux de groupes de sécurité réseau enregistrent le trafic passant par un groupe de sécurité réseau. D'autre part, les diagnostics NSG renvoient tous les groupes de sécurité réseau que votre trafic traverse et les règles de chaque groupe de sécurité réseau qui sont appliquées à ce trafic. Utilisez les diagnostics de NSG pour vérifier que vos règles de groupe de sécurité réseau sont appliquées comme prévu.
Puis-je journaliser le trafic ESP et AH à l’aide des journaux de flux de groupes de sécurité réseau ?
Non, les journaux de flux de groupes de sécurité réseau ne prennent pas en charge les protocoles ESP et AH.
Puis-je journaliser le trafic ICMP à l’aide des journaux de flux ?
Non, les journaux de flux de groupe de sécurité réseau et les journaux de flux de réseau virtuel ne prennent pas en charge le protocole ICMP.
Puis-je supprimer un groupe de sécurité réseau pour lequel la journalisation des flux est activée ?
Oui. La ressource de journal de flux associée sera également supprimée. Les données du journal de flux sont conservées dans le compte de stockage pendant la période de rétention configurée dans le journal de flux.
Puis-je déplacer un groupe de sécurité réseau pour lequel la journalisation des flux est activée vers un autre groupe de ressources ou un autre abonnement ?
Oui, mais vous devez supprimer la ressource du journal de flux associée. Après la migration du groupe de sécurité réseau, vous devez recréer les journaux de flux pour activer la journalisation de flux sur celui-ci.
Puis-je utiliser un compte de stockage dans un abonnement différent de celui du groupe de sécurité réseau ou du réseau virtuel pour lequel le journal de flux est activé ?
Oui, vous pouvez utiliser un compte de stockage d’un autre abonnement tant que celui-ci se trouve dans la même région que le groupe de sécurité réseau et qu’il est associé au même locataire Microsoft Entra que le groupe de sécurité réseau ou l’abonnement du réseau virtuel.
Comment utiliser les journaux de flux de groupes de sécurité réseau avec un compte de stockage derrière un pare-feu ?
Pour utiliser un compte de stockage derrière un pare-feu, vous devez fournir une exception aux services Microsoft approuvés pour accéder à votre compte de stockage :
- Accédez au compte de stockage en entrant le nom du compte de stockage dans la zone de recherche en haut du portail.
- Sous Sécurité + mise en réseau, sélectionnez Mise en réseau, puis Pare-feu et réseaux virtuels.
- Dans Accès au réseau public, choisissez Activé à partir des réseaux virtuels et adresses IP sélectionnés. Sous Exceptions, cochez la case Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage.
- Activez les journaux de flux de groupes de sécurité réseau en créant un journal de flux pour votre groupe de sécurité réseau cible à l’aide du compte de stockage. Pour plus d’informations, consultez Créer un journal de flux.
Vous pouvez vérifier les journaux de stockage après quelques minutes. Vous devriez voir un horodatage mis à jour ou un fichier JSON nouvellement créé.
Pourquoi des erreurs 403 apparaissent-elles dans les journaux d’activité du compte de stockage ?
Network Watcher dispose d’un mécanisme de secours intégré qu’il utilise lors de la connexion à un compte de stockage situé derrière un pare-feu. Il tente de se connecter au compte de stockage à l’aide d’une clé et, en cas d’échec, il bascule vers l’utilisation d’un jeton. Dans ce cas, une erreur 403 est consignée dans le journal d’activité du compte de stockage.
Network Watcher peut-il envoyer des données de journaux de flux de groupes de sécurité réseau à un compte de stockage activé avec un point de terminaison privé ?
Oui, Network Watcher prend en charge l’envoi de données de journaux de flux de groupes de sécurité réseau à un compte de stockage activé avec un point de terminaison privé.
Comment utiliser les journaux de flux de groupes de sécurité réseau avec un compte de stockage derrière point de terminaison de service ?
Les journaux de flux de groupes de sécurité réseau sont compatibles avec les points de terminaison de service et ne nécessitent aucune configuration supplémentaire. Pour plus d’informations, consultez Activer un point de terminaison de service.
Quelle est la différence entre les versions 1 et 2 des journaux de flux ?
La version 2 des journaux de flux introduit le concept d’état de flux et stocke des informations sur les octets et les paquets transmis. Pour plus d’informations, consultez Format de journaux de flux de groupes de sécurité réseau.
Puis-je créer un journal de flux pour un groupe de sécurité réseau doté d’un verrou en lecture seule ?
Non, un verrou en lecture seule sur un groupe de sécurité réseau empêche la création du journal de flux de groupe de sécurité réseau correspondant.
Puis-je créer un journal de flux pour un groupe de sécurité réseau doté d’un verrou impossible à supprimer ?
Oui, un verrou impossible à supprimer sur le groupe de sécurité réseau n’empêche pas la création ou la modification du journal de flux de groupe de sécurité réseau correspondant.
Puis-je automatiser les journaux de flux de groupes de sécurité réseau ?
Oui, vous pouvez automatiser les journaux de flux de groupes de sécurité réseau via des modèles Azure Resource Manager (modèles ARM). Pour plus d’informations, consultez Configurer les journaux de flux NSG à l’aide d’un modèle Azure Resource Manager (ARM).