Menangkap lalu lintas jaringan dengan network watcher

Selesai

Saat merencanakan migrasi Contoso ke Microsoft Azure, Anda harus terus mengevaluasi fitur keamanan jaringan yang mengelola lalu lintas jaringan. Untuk mengumpulkan data tentang lalu lintas jaringan perusahaan, terapkan Azure Network Watcher.

Apa itu Azure Network Watcher?

Azure Network Watcher dapat memberikan layanan berikut:

  • Pemantauan
  • Mendiagnosis
  • Meninjau metrik
  • Mengelola log

Pemantauan

Memantau komunikasi antara komputer virtual dan titik akhir

Anda dapat menggunakan Azure Network Watcher untuk memantau komunikasi antara komputer virtual dan titik akhir.

Catatan

Titik akhir dapat menjadi komputer virtual, FQDN, URI, atau alamat IPv4 lain.

Azure Network Watcher menggunakan fitur monitor koneksi untuk melakukan pemantauan ini. Kemampuan monitor koneksi memantau komunikasi secara berkala dan memberi tahu Anda tentang tindakan tersebut dalam tabel berikut.

Pemberitahuan Penjelasan
Keterjangkauan Jika titik akhir tidak dapat dijangkau, pemecahan masalah koneksi akan menginformasikan alasannya kepada Anda. Alasan yang memungkinkan termasuk: masalah resolusi nama Sistem Nama Domain (DNS); CPU, memori, atau firewall dalam sistem operasi (OS) komputer virtual; jenis lompatan dari rute kustom; atau aturan keamanan untuk komputer virtual atau subnet koneksi keluar.
Latensi Monitor koneksi juga menyediakan latensi minimum, rata-rata, dan maksimum yang direkam dari waktu ke waktu. Setelah monitor koneksi mempelajari latensi untuk koneksi, Anda mungkin menemukan bahwa Anda dapat mengurangi latensi dengan memindahkan sumber daya Azure Anda ke wilayah Azure yang berbeda.
Perubahan topologi jaringan Perubahan topologi jaringan mungkin terjadi ketika Anda memiliki komputer virtual server web yang berkomunikasi dengan komputer virtual server database, dan administrator lain di organisasi Anda menerapkan aturan keamanan jaringan ke server web tanpa sepengetahuan Anda.

Untuk mempelajari selengkapnya tentang monitor koneksi, lihat Tutorial: Memantau komunikasi jaringan antara dua komputer virtual menggunakan portal Microsoft Azure.

Monitor performa jaringan adalah solusi pemantauan jaringan hibrid berbasis cloud yang dapat membantu Anda memantau performa jaringan di antara berbagai titik dalam infrastruktur jaringan Anda. Ini juga dapat membantu Anda memantau konektivitas jaringan ke titik akhir layanan dan aplikasi dan memantau performa Azure ExpressRoute.

Monitor performa jaringan:

  • Mendeteksi masalah jaringan yang tidak dapat Anda deteksi dengan metode pemantauan jaringan konvensional, seperti kesalahan perutean.
  • Membuat pemberitahuan dan memberi tahu Anda ketika ambang tautan jaringan terlampaui.
  • Memastikan deteksi masalah performa jaringan secara tepat waktu dan melokalkan sumber masalah ke segmen atau perangkat jaringan tertentu.

Catatan

Pelajari selengkapnya tentang monitor performa jaringan di Solusi Monitor Performa Jaringan di Azure.

Mengakses sumber daya di VNet

Saat menambahkan sumber daya ke VNet, Anda mungkin mulai merasa kesulitan untuk memahami sumber daya apa yang ada di VNet, dan bagaimana sumber daya tersebut berhubungan satu sama lain. Kemampuan topologi memungkinkan Anda membuat diagram sumber daya dalam VNet. Diagram juga menampilkan hubungan antara sumber daya tersebut.

Cuplikan layar bilah Network Watcher - Topologi di portal Azure. VNet yang ditampilkan berisi tiga subnet, satu dengan memiliki komputer virtual (VM) yang disebarkan di dalamnya. VM memiliki satu antarmuka jaringan yang melekat padanya dan alamat IP publik yang terkait dengannya. Dua subnet lainnya memiliki tabel rute yang terkait dengannya. Setiap tabel rute berisi dua rute.

Catatan

Baca selengkapnya tentang topologi dengan meninjau di Melihat topologi Azure VNet.

Mendiagnosis

Network Watcher memberikan sejumlah kemampuan diagnostik yang berguna, seperti yang dijelaskan dalam tabel berikut.

Persyaratan diagnostik Kemampuan Deskripsi
Mendiagnosis masalah pemfilteran lalu lintas jaringan ke atau dari komputer virtual Kemampuan verifikasi alur IP Saat Anda menggunakan komputer virtual, Azure menerapkan beberapa aturan keamanan default ke komputer virtual. Nantinya, Anda dapat membuat aturan tambahan, atau mengambil alih aturan default Azure. Sebagai konsekuensi dari perubahan aturan keamanan yang salah, komputer virtual mungkin tidak dapat berkomunikasi dengan sumber daya lain. Anda dapat menggunakan kapabilitas verifikasi alur IP untuk membantu mengatasi masalah ini. Pertama, tentukan alamat IPv4 sumber dan tujuan, port, protokol—Protokol Kendali Transmisi (TCP) atau Protokol Datagram Pengguna (UDP)—dan arah lalu lintas (masuk atau keluar). Alur IP memverifikasi, lalu menguji komunikasi yang dikonfigurasi dan memberi tahu Anda apakah koneksi berhasil atau tidak. Jika terjadi kegagalan komunikasi, verifikasi alur IP dapat memberi tahu Anda aturan keamanan mana yang mengizinkan (atau menolak) komunikasi yang dipilih sehingga Anda dapat mengatasi masalah.
Mendiagnosis masalah perutean jaringan dari komputer virtual Kemampuan lompatan berikutnya Saat Anda membuat VNet, Azure membuat beberapa rute keluar default. Lalu lintas keluar dari semua sumber daya di VNet dirutekan berdasarkan rute default Azure. Nantinya, Anda dapat membuat rute tambahan atau mengambil alih rute default Azure. Sebagai konsekuensi dari perubahan rute yang salah, Anda mungkin mendapati bahwa komputer virtual tidak dapat lagi berkomunikasi dengan sumber daya lain. Kemampuan hop berikutnya memungkinkan Anda menentukan alamat IPv4 sumber dan tujuan. Lompatan berikutnya kemudian menguji komunikasi dan memberi tahu Anda jenis lompatan berikutnya yang digunakan untuk merutekan lalu lintas. Lalu, Anda dapat mengonfigurasi ulang rute untuk mengatasi masalah perutean.
Mendiagnosis sambungan keluar dari sebuah VM Kapabilitas pemecahan masalah koneksi Kemampuan pemecahan masalah koneksi memungkinkan Anda menguji koneksi antara komputer virtual dan sumber daya lainnya, seperti komputer virtual, FQDN, Pengidentifikasi Sumber Daya Seragam (URI), atau alamat IPv4 lain. Pengujian menampilkan informasi serupa dengan yang disediakan oleh kemampuan monitor koneksi, tetapi melakukan pengujian pada satu waktu daripada memantau dari waktu ke waktu, seperti halnya monitor koneksi.
Mengambil paket ke dan dari komputer virtual Kapabilitas pengambilan paket Kemampuan mengambil paket menggunakan opsi pemfilteran tingkat lanjut dan menyediakan kontrol yang disempurnakan, yang memungkinkan Anda mengatur batasan waktu dan ukuran, dan karenanya memberikan fleksibilitas. Anda dapat menyimpan pengambilan di akun Azure Storage, di disk komputer virtual, atau keduanya. Anda kemudian dapat menganalisis file pengambilan menggunakan beberapa alat analisis pengambilan jaringan standar.
Mendiagnosis masalah dengan gateway dan koneksi Azure VNet Kemampuan pemecahan masalah VPN Gateway VNet memberikan konektivitas antara sumber daya lokal dan Azure VNet. Memantau gateway ini dan koneksi gateway sangat penting untuk memastikan bahwa komunikasi tidak terputus. Kemampuan diagnostik VPN memungkinkan Anda mendiagnosis gateway dan koneksi. Diagnostik VPN mendiagnosis kesehatan gateway, atau koneksi gateway, dan memberi tahu Anda apakah koneksi gateway dan gateway tersedia. Jika gateway atau koneksi tidak tersedia, diagnostik VPN memberi tahu Anda alasannya sehingga Anda dapat mengatasi masalah tersebut.
Menentukan latensi relatif antara wilayah Azure dan penyedia layanan internet (ISP) Kemampuan latensi relatif Anda dapat mengkueri informasi latensi antara wilayah Azure dan seluruh ISP kepada Network Watcher. Saat mengetahui latensi antara wilayah Azure dan seluruh ISP, Anda dapat menggunakan sumber daya Azure untuk mengoptimalkan waktu respons jaringan.
Meninjau aturan keamanan untuk antarmuka jaringan Aturan keamanan yang efektif Aturan keamanan yang efektif untuk antarmuka jaringan adalah kombinasi dari semua aturan keamanan yang diterapkan pada antarmuka jaringan dan subnet tempat antarmuka jaringan berada. Kapabilitas peninjauan kelompok keamanan melaporkan semua aturan keamanan yang diterapkan pada antarmuka jaringan, subnet tempat antarmuka jaringan berada, dan agregat keduanya kepada Anda. Dengan pemahaman tentang aturan mana yang diterapkan ke antarmuka jaringan, Anda dapat menambahkan, menghapus, atau mengubah aturan jika aturan mengizinkan atau menolak lalu lintas yang ingin Anda ubah.

Meninjau metrik

Dalam langganan dan wilayah Azure, ada batasan jumlah sumber daya jaringan yang dapat Anda buat, dan Anda tidak dapat membuat sumber daya lagi saat mencapai batas tersebut. Anda dapat menggunakan kemampuan batas langganan jaringan untuk memberikan ringkasan berapa banyak dari setiap sumber daya jaringan yang telah Anda terapkan di langganan dan wilayah tertentu. Anda juga dapat mengetahui berapa batasnya untuk sumber daya tertentu. Misalnya, dalam cuplikan layar berikut, sumber daya VirtualNetworks memiliki batas 50, dan penggunaan yang ditampilkan adalah dua.

Cuplikan layar menampilkan output parsial untuk sumber daya jaringan yang disebarkan di wilayah US Timur untuk contoh langganan. Sumber daya yang tercantum meliputi: VirtualNetworks, NetworkSecurityGroups, dan LoadBalancers. Batas saat ini dan kolom penggunaan ditampilkan terhadap sumber daya ini.

Mengelola log

Menganalisis lalu lintas kelompok keamanan jaringan

Seperti yang akan Anda ingat, NSG menolak atau mengizinkan lalu lintas jaringan ke antarmuka jaringan dalam komputer virtual. Kemampuan log alur NSG memungkinkan Anda mengambil informasi tentang lalu lintas ini. Anda kemudian dapat menganalisis log yang dikumpulkan menggunakan berbagai alat, seperti Power BI, dan kemampuan analisis lalu lintas. Anda dapat menggunakan kemampuan log alur NSG untuk menangkap yang berikut:

  • Alamat IP sumber
  • Alamat IP tujuan
  • Port IP
  • Protokol
  • Apakah lalu lintas ditolak atau diizinkan oleh NSG

Meninjau log diagnostik sumber daya jaringan

Kemampuan Log diagnostik memberikan satu antarmuka untuk mengaktifkan dan menonaktifkan log diagnostik sumber daya jaringan untuk sumber daya jaringan yang ada yang membuat log diagnostik. Anda dapat mengaktifkan pembuatan log diagnostik untuk sumber daya jaringan Azure, termasuk:

  • NSGs
  • Alamat IP publik
  • Penyeimbang muatan
  • Gateway VNet
  • Gateway aplikasi

Anda dapat meninjau log diagnostik menggunakan alat seperti log Power BI dan Azure Monitor.

Membuat instans Azure Network Watcher

Saat Anda membuat atau memperbarui VNet di langganan Azure, Network Watcher diaktifkan secara otomatis di wilayah VNet Anda. Jika Anda mengaktifkan Network Watcher menggunakan portal Microsoft Azure, nama instans Network Watcher secara otomatis diatur ke NetworkWatcher_GUID, di mana GUID adalah identitas unik.

Catatan

Instans Network Watcher secara otomatis dibuat dalam grup sumber daya bernama NetworkWatcherRG. Grup sumber daya dibuat jika grup sumber daya belum ada.