Memecahkan masalah jaringan menggunakan alat pemantauan dan diagnostik Network Watcher
Azure Network Watcher mencakup beberapa alat yang dapat Anda gunakan untuk memantau jaringan virtual dan mesin virtual (VM). Agar secara efektif menggunakan Network Watcher, Anda sebaiknya memahami semua opsi yang tersedia dan tujuan dari tiap-tiap alat.
Di perusahaan teknik Anda, Anda ingin membantu staf Anda memilih alat Network Watcher yang tepat untuk setiap tugas pemecahan masalah. Mereka harus memahami semua opsi yang tersedia dan jenis masalah yang dapat diselesaikan oleh setiap alat.
Di sini, Anda akan melihat kategori alat Network Watcher, alat di setiap kategori, dan bagaimana setiap alat diterapkan dalam contoh penggunaan.
Apa itu Network Watcher?
Network Watcher adalah layanan Azure yang menggabungkan alat di tempat terpusat untuk mendiagnosis kesehatan jaringan Azure. Alat Network Watcher dibagi menjadi tiga kategori:
- Alat pemantauan
- Alat diagnostik jaringan
- Alat pengelogan lalu lintas
Dengan alat untuk memantau dan mendiagnosis masalah, Network Watcher memberi Anda hub terpusat untuk mengidentifikasi gangguan jaringan, lonjakan CPU, masalah konektivitas, kebocoran memori, dan masalah-masalah lainnya sebelum memengaruhi bisnis Anda.
Alat pemantauan Network Watcher
Network Watcher menyediakan tiga alat pemantauan:
- Topologi
- Monitor Sambungan
- Pemantau Performa Jaringan
Mari kita lihat tiap-tiap alat ini.
Apa alat topologi itu?
Alat topologi menghasilkan tampilan grafis jaringan virtual Azure Anda, sumber dayanya, interkoneksinya, dan bagaimana hubungannya.
Misalkan Anda harus memecahkan masalah jaringan virtual yang dibuat oleh kolega Anda. Kecuali Anda terlibat dalam proses pembuatan jaringan, Anda mungkin tidak tahu tentang semua aspek infrastruktur. Anda dapat menggunakan alat topologi untuk memvisualisasi dan memahami infrastruktur yang Anda hadapi sebelum mulai memecahkan masalah.
Anda menggunakan portal Microsoft Azure untuk melihat topologi jaringan Azure. Di portal Microsoft Azure:
Masuk ke portal Microsoft Azure, lalu cari dan pilih Network Watcher.
Di menu Network Watcher, di bagian Pemantauan, pilih Topologi.
Pilih langganan, grup sumber daya dari jaringan virtual, lalu jaringan virtual itu sendiri.
Catatan
Untuk menghasilkan topologi, Anda memerlukan instans Network Watcher di wilayah geografis yang sama dengan jaringan virtual tersebut.
Berikut adalah contoh topologi yang dihasilkan untuk jaringan virtual bernama MyVNet.
Apa itu alat Pemantau Koneksi?
Alat Pemantau Koneksi menyediakan cara untuk memeriksa apakah koneksi berfungsi di antara sumber daya Azure. Gunakan alat ini untuk memverifikasi bahwa dua VM dapat berkomunikasi jika Anda menginginkannya.
Alat ini juga mengukur latensi antar sumber daya. Alat ini dapat menangkap perubahan yang akan memengaruhi konektivitas, seperti perubahan pada konfigurasi jaringan atau perubahan pada aturan Network Security Group (NSG). Alat ini dapat menyelidiki VM secara berkala untuk mencari kegagalan atau perubahan.
Jika ada masalah, Pemantau Koneksi memberi tahu Anda mengapa masalah terjadi dan cara memperbaikinya. Seiring dengan pemantauan VM, Pemantau Koneksi dapat memeriksa alamat IP atau nama domain yang sepenuhnya memenuhi syarat (FQDN).
Apa itu alat Network Performance Monitor?
Alat Network Performance Monitor memungkinkan Anda melacak dan memperingatkan latensi dan penurunan paket dari waktu ke waktu. Ini memberi Anda tampilan terpusat dari jaringan Anda.
Ketika Anda memutuskan untuk memantau koneksi hibrida Anda menggunakan Network Performance Monitor, periksa apakah ruang kerja terkait berada di wilayah yang didukung.
Anda dapat menggunakan Network Performance Monitor untuk memantau konektivitas endpoint-to-endpoint:
- Antara cabang dan pusat data
- Antara jaringan virtual
- Untuk koneksi Anda antara lokal dan cloud
- Untuk sirkuit Azure ExpressRoute
Alat diagnostik Network Watcher
Network Watcher mencakup enam alat diagnostik:
- Verifikasi alur IP
- Diagnostik NSG
- Lompatan berikutnya
- Aturan keamanan yang efektif
- Tangkapan paket
- Pemecahan masalah koneksi
- Pemecahan masalah VPN
Mari kita periksa setiap alat dan cari tahu bagaimana alat-alat tersebut dapat membantu Anda memecahkan masalah.
Apa itu alat verifikasi alur IP?
Alat verifikasi alur IP memberi tahu Anda apakah paket diizinkan atau ditolak untuk mesin virtual tertentu. Jika grup keamanan jaringan menolak sebuah paket, alat ini memberi tahu Anda nama grup tersebut sehingga Anda dapat memperbaiki masalahnya.
Alat ini menggunakan mekanisme verifikasi berbasis parameter paket 5-tuple untuk mendeteksi apakah paket masuk atau keluar diizinkan atau ditolak dari VM. Dalam alat ini, Anda menentukan port lokal dan jarak jauh, protokol (TCP atau UDP), IP lokal, IP jarak jauh, VM, dan adaptor jaringan VM.
Apa itu alat diagnostik NSG?
Alat Diagnostik Network Security Group (NSG) menyediakan informasi terperinci untuk membantu Anda memahami dan men-debug konfigurasi keamanan jaringan Anda.
Untuk pasangan tujuan sumber tertentu, alat ini menunjukkan NSG yang akan dilalui, aturan yang akan diterapkan di setiap NSG, dan status izinkan/tolak akhir untuk alur. Dengan memahami arus lalu lintas mana yang akan diizinkan atau ditolak di Microsoft Azure Virtual Network Anda, Anda dapat menentukan apakah aturan NSG Anda dikonfigurasi dengan benar.
Apa itu alat lompatan berikutnya?
Ketika VM mengirimkan paket ke tujuan, mungkin perlu beberapa lompatan dalam perjalanannya. Misalnya, jika tujuannya adalah sebuah VM di jaringan virtual yang berbeda, lompatan berikutnya mungkin berupa gateway jaringan virtual yang merutekan paket ke VM tujuan.
Dengan alat lompatan berikutnya, Anda dapat menentukan bagaimana paket mendapatkan dari VM ke tujuan apa pun. Anda menentukan sumber VM, adaptor jaringan sumber, alamat IP sumber, dan alamat IP tujuan. Alat ini selanjutnya menentukan rute paket. Anda dapat menggunakan alat ini untuk mendiagnosis masalah yang disebabkan oleh tabel perutean yang salah.
Apa itu alat aturan keamanan yang efektif?
Alat aturan keamanan yang efektif di Network Watcher menampilkan semua aturan NSG efektif yang diterapkan ke antarmuka jaringan.
Grup keamanan jaringan (NSGs) digunakan di jaringan Azure untuk memfilter paket berdasarkan alamat IP sumber dan tujuan serta nomor port mereka. NSG sangat penting untuk keamanan karena membantu Anda dengan hati-hati mengontrol area permukaan VM yang dapat diakses oleh pengguna. Namun perlu diingat bahwa aturan NSG yang dikonfigurasi secara keliru mungkin mencegah komunikasi yang sah. Akibatnya, NSG sering menjadi sumber masalah jaringan.
Misalnya, jika dua VM tidak dapat berkomunikasi karena aturan NSG memblokirnya, mungkin sulit untuk mendiagnosis aturan mana yang menyebabkan masalah. Anda akan menggunakan alat aturan keamanan yang efektif di Network Watcher untuk menampilkan semua aturan NSG yang efektif dan membantu Anda mendiagnosis aturan mana yang menyebabkan masalah tertentu.
Untuk menggunakan alat ini, Anda memilih VM dan adaptor jaringannya. Alat ini menampilkan semua aturan NSG yang berlaku untuk adaptor tersebut. Sangat mudah untuk menentukan aturan pemblokiran dengan melihat daftar ini.
Anda juga dapat menggunakan alat ini untuk melihat kerentanan pada VM Anda yang disebabkan oleh port terbuka yang tidak perlu.
Apa itu alat penangkapan paket?
Alat pengambil paket merekam semua paket yang dikirim ke dan dari VM. Saat diaktifkan, Anda dapat meninjau tangkapan tersebut untuk mengumpulkan statistik tentang lalu lintas jaringan atau mendiagnosis anomali, seperti lalu lintas jaringan yang tidak terduga di jaringan virtual privat.
Alat pengambilan paket adalah ekstensi mesin virtual yang dimulai dari jarak jauh melalui Network Watcher. Alat ini dimulai secara otomatis ketika Anda memulai sesi pengambilan paket.
Perlu diingat bahwa ada batasan jumlah sesi penangkapan paket yang diizinkan per wilayah. Batas penggunaan default adalah 100 sesi pengambilan paket per wilayah, dan batas keseluruhannya adalah 10.000. Batasan ini hanya untuk jumlah sesi, bukan tangkapan yang disimpan. Anda dapat menyimpan paket yang diambil di Azure Storage atau secara lokal di komputer Anda.
Penangkapan paket memiliki dependensi pada Network Watcher Agent VM Extension yang diinstal pada VM. Untuk tautan ke instruksi yang memerinci penginstalan ekstensi pada VM Windows dan Linux, lihat bagian "Pelajari lebih lanjut" di bagian akhir modul ini.
Apa itu alat pemecahan masalah koneksi?
Anda menggunakan alat pemecahan masalah koneksi untuk memeriksa konektivitas TCP antara sumber dan VM tujuan. Anda dapat menentukan VM tujuan dengan menggunakan FQDN, URI, atau alamat IP.
Jika koneksinya berhasil, informasi tentang komunikasi akan muncul, termasuk:
- Latensi dalam milidetik.
- Jumlah paket probe yang dikirim.
- Jumlah lompatan dalam rute lengkap ke tujuan.
Jika koneksi tidak berhasil, Anda akan melihat detail kesalahannya. Jenis kesalahannya meliputi:
- CPU. Koneksi gagal karena penggunaan CPU yang tinggi.
- Memori. Koneksi gagal karena penggunaan CPU yang tinggi.
- GuestFirewall. Koneksi diblokir oleh firewall di luar Azure.
- DNSResolution. Alamat IP tujuan tak bisa diatasi.
- NetworkSecurityRule. Koneksi diblokir oleh NSG.
- UserDefinedRoute. Ada rute pengguna yang salah dalam tabel perutean.
Apa itu alat pemecahan masalah VPN?
Anda dapat menggunakan alat pemecahan masalah VPN untuk mendiagnosis masalah dengan koneksi gateway jaringan virtual. Alat ini menjalankan diagnostik pada koneksi gateway jaringan virtual dan mengembalikan diagnosis kesehatan.
Saat Anda memulai alat pemecahan masalah VPN, Network Watcher mendiagnosis kesehatan gateway atau koneksi, dan mengembalikan hasil yang sesuai. Permintaan ini merupakan transaksi yang berjalan lama.
Tabel berikut memperlihatkan contoh jenis kesalahan yang berbeda.
| Jenis Kesalahan | Alasan | Log |
|---|---|---|
| NoFault | Tidak terdeteksi kesalahan. | Ya |
| GatewayNotFound | Gateway tidak dapat ditemukan atau tidak disediakan. | No |
| PemeliharaanTerencana | Instans gateway sedang dalam pemeliharaan. | No |
| UserDrivenUpdate | Pemutakhiran pengguna sedang berlangsung. Pemutakhiran mungkin merupakan operasi mengubah ukuran. | No |
| VipUnResponsive | Instans utama gateway tidak dapat dicapai karena kegagalan pemeriksaan kesehatan. | No |
| PlatformInActive | Ada masalah dengan platform. | No |
Alat pengelogan lalu lintas
Network Watcher menyertakan dua alat lalu lintas berikut:
- Log alur
- Analitik lalu lintas
Apa itu alat log alur?
Log alur memungkinkan Anda mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Log alur menyimpan data di penyimpanan Azure. Data aliran dikirim ke Azure Storage tempat Anda dapat mengaksesnya dan mengekspornya ke alat visualisasi, solusi manajemen informasi keamanan dan peristiwa (SIEM), atau sistem deteksi intrusi (IDS) pilihan Anda. Anda dapat menggunakan data ini untuk menganalisis pola lalu lintas dan memecahkan masalah konektivitas.
Kasus penggunaan log alur dapat dikategorikan ke dalam dua jenis. Pemantauan dan pengoptimalan penggunaan dan pemantauan jaringan.
Pemantauan jaringan
- Identifikasi lalu lintas yang tidak diketahui atau tidak diinginkan.
- Pantau tingkat lalu lintas dan konsumsi bandwidth.
- Filter log alur menurut IP dan port untuk memahami perilaku aplikasi.
- Ekspor log alur ke alat analitik dan visualisasi pilihan Anda untuk menyiapkan dasbor pemantauan.
Pemantauan dan pengoptimalan penggunaan
- Identifikasi pembicara teratas dalam jaringan Anda.
- Gabungkan dengan data GeoIP untuk mengidentifikasi lalu lintas wilayah.
- Memahami pertumbuhan lalu lintas untuk perkiraan kapasitas.
- Gunakan data untuk menghapus aturan lalu lintas yang terlalu ketat.
Apa itu alat analisis lalu lintas?
Analitik lalu lintas adalah solusi berbasis cloud yang memberikan visibilitas ke aktivitas pengguna dan aplikasi di jaringan cloud Anda. Secara khusus, analitik lalu lintas menganalisis log alur NSG Azure Network Watcher untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Dengan analitik lalu lintas, Anda dapat:
- Visualisasikan aktivitas jaringan di seluruh langganan Azure Anda.
- Identifikasi titik panas.
- Amankan jaringan Anda dengan menggunakan informasi untuk mengidentifikasi ancaman.
- Optimalkan penyebaran jaringan Anda untuk performa dan kapasitas dengan memahami pola arus lalu lintas di seluruh wilayah Azure dan internet.
- Tentukan kesalahan konfigurasi jaringan yang dapat menyebabkan koneksi gagal di jaringan Anda.
Skenario kasus penggunaan Azure Network Watcher
Mari kita lihat beberapa skenario yang dapat Anda selidiki dan pecahkan masalahnya menggunakan pemantauan dan diagnostik Azure Network Watcher.
Ada masalah konektivitas dalam jaringan VM tunggal
Kolega Anda telah menerapkan VM di Azure dan mengalami masalah konektivitas jaringan. Kolega Anda sedang mencoba menggunakan Remote Desktop Protocol (RDP) untuk tersambung ke komputer virtual, tetapi tidak bisa tersambung.
Untuk memecahkan masalah ini, gunakan alat verifikasi alur IP. Alat ini memungkinkan Anda menentukan port lokal dan jarak jauh, protokol (TCP/UDP), IP lokal, dan IP jarak jauh untuk memeriksa status koneksi. Alat ini juga memungkinkan Anda menentukan arah koneksi (masuk atau keluar). Verifikasi alur IP menjalankan uji logika pada aturan yang berlaku di jaringan Anda.
Dalam kasus ini, gunakan verifikasi alur IP untuk menentukan alamat IP VM dan port RDP 3389. Selanjutnya, tentukan alamat IP dan port VM jarak jauh. Pilih protokol TCP, lalu pilih Periksa.
Misalkan hasilnya menunjukkan bahwa akses ditolak karena aturan NSG DefaultInboundDenyAll. Solusinya adalah mengubah aturan NSG.
Koneksi VPN tidak berfungsi
Kolega Anda telah menyebarkan VM dalam dua jaringan virtual dan tidak bisa saling terhubung.
Untuk memecahkan masalah koneksi VPN, gunakan pemecahan masalah Azure VPN. Alat ini menjalankan diagnostik pada koneksi gateway jaringan virtual, dan mengembalikan diagnosis kesehatan. Anda dapat menjalankan alat ini dari portal Microsoft Azure, PowerShell, atau Azure CLI.
Saat Anda menjalankan alat ini, gateway akan diperiksa untuk mendeteksi masalah umum dan mengembalikan diagnosis kesehatan. Anda juga dapat melihat file log untuk mendapatkan informasi lebih lanjut. Diagnosis akan menunjukkan apakah koneksi VPN berfungsi dengan baik. Jika koneksi VPN tidak berfungsi, pemecahan masalah VPN akan menyarankan cara untuk mengatasi masalah tersebut.
Misalkan diagnosis menunjukkan ketidakcocokan kunci. Untuk mengatasi masalah tersebut, konfigurasi ulang gateway jarak jauh untuk memastikan kuncinya cocok di kedua ujungnya. Kunci yang telah dibagikan sebelumnya sensitif huruf besar/kecil.
Tidak ada server yang mendengarkan pada port tujuan yang ditunjuk
Kolega Anda telah menyebarkan VM dalam satu jaringan virtual tunggal dan tidak bisa saling terhubung.
Gunakan alat pemecahan masalah koneksi untuk memecahkan masalah ini. Dalam alat ini, Anda menentukan VM lokal dan jarak jauh. Dalam pengaturan pemeriksaan, Anda dapat memilih port tertentu.
Misalkan hasilnya menunjukkan server jarak jauh Tidak dapat dijangkau, bersama dengan pesan "Lalu lintas diblokir karena konfigurasi firewall mesin virtual." Di server jarak jauh, nonaktifkan firewall, lalu uji koneksi kembali.
Misalkan server sekarang dapat dijangkau. Hasil ini menunjukkan bahwa aturan firewall pada server jarak jauh adalah masalahnya, dan harus diperbaiki untuk mengizinkan koneksi.