Acquisire il traffico di rete con Network Watcher

  • 10 minuti

Durante la pianificazione della migrazione di Contoso a Microsoft Azure, è possibile continuare a valutare le funzionalità di sicurezza di rete che gestiscono il traffico di rete. Per raccogliere dati sul traffico di rete aziendale, implementare Azure Network Watcher.

Cos'è Azure Network Watcher?

Azure Network Watcher può eseguire questi servizi:

  • Monitoraggio
  • Diagnostica
  • Revisione delle metriche
  • Gestione dei log

Monitoraggio

Monitoraggio delle comunicazioni tra una macchina virtuale e un endpoint

È possibile usare Azure Network Watcher per monitorare le comunicazioni tra macchine virtuali ed endpoint.

Nota

Un endpoint può essere costituito da un'altra macchina virtuale, un nome di dominio completo, un URI o un indirizzo IPv4.

Azure Network Watcher usa la funzionalità di monitoraggio della connessione per eseguire questa attività. La funzionalità di monitoraggio della connessione monitora la comunicazione a intervalli regolari e notifica le azioni nella tabella seguente.

Notifica Spiegazione
Raggiungibilità Se un endpoint non è raggiungibile, la risoluzione dei problemi di connessione fornisce informazioni sul motivo. Di seguito sono elencate le possibili cause: problema di risoluzione dei nomi DNS (Domain Name System); CPU, memoria o firewall all'interno del sistema operativo di una macchina virtuale; tipo di hop di una route personalizzata; regola di sicurezza per la macchina virtuale o subnet della connessione in uscita.
Latenza La funzionalità di monitoraggio connessione indica anche la latenza minima, media e massima registrata nel tempo. Una volta individuata la latenza di una connessione tramite il monitoraggio della connessione, potrebbe essere possibile ridurre la latenza spostando le risorse di Azure in aree di Azure diverse.
Modifiche della topologia di rete Una modifica della topologia di rete può verificarsi in presenza di una macchina virtuale del server Web che comunica con una macchina virtuale del server di database e un altro amministratore dell'organizzazione applica una regola di sicurezza di rete al server Web all'insaputa dell'utente.

Per ulteriori informazioni sul monitoraggio della connessione, vedere Esercitazione: Monitorare la comunicazione di rete tra due macchine virtuali usando il portale di Azure.

Monitoraggio prestazioni rete è una soluzione di monitoraggio di rete ibrida basata sul cloud che consente di monitorare le prestazioni di rete tra vari punti nell'infrastruttura di rete. Consente inoltre di monitorare la connettività di rete agli endpoint del servizio e dell'applicazione e di monitorare le prestazioni di Azure ExpressRoute.

Monitoraggio prestazioni rete:

  • Rileva i problemi di rete che non è possibile rilevare con metodi di monitoraggio di rete tradizionali, ad esempio gli errori di routing.
  • Genera avvisi e invia notifiche quando viene superata la soglia di un collegamento di rete.
  • Garantisce una tempestiva individuazione dei problemi legati alle prestazioni di rete e localizza l'origine del problema in un dispositivo o segmento di rete specifico.

Nota

Per ulteriori informazioni sul monitoraggio delle prestazioni di rete, vedere Soluzione Monitoraggio prestazioni rete in Azure.

Accesso alle risorse in una rete virtuale

Man mano che si aggiungono risorse a una rete virtuale, può risultare più difficile sapere quali risorse si trovano nella rete virtuale e come sono correlate tra loro. La funzionalità di topologia permette di generare un diagramma delle risorse in una rete virtuale. Il diagramma mostra anche le relazioni tra le risorse.

A screenshot of the Network Watcher - Topology blade in Azure portal. The displayed VNet contains three subnets, one with has a virtual machine (VM) deployed in it. The VM has one network interface attached to it and a public IP address associated to it. The other two subnets have a route table associated to them. Each route table contains two routes.

Nota

Per ulteriori informazioni sulla topologia, vedere Visualizzare la topologia di una rete virtuale di Azure.

Diagnostica

Network Watcher offre una serie di utili funzionalità di diagnostica, come illustra la tabella seguente.

Requisito di diagnostica Funzionalità Descrizione
Diagnosticare i problemi di filtro del traffico di rete da o verso una macchina virtuale Funzionalità di verifica flusso IP Quando si distribuisce una macchina virtuale, Azure applica diverse regole di sicurezza predefinite alla macchina virtuale. Successivamente, è possibile creare regole aggiuntive o eseguire l'override delle regole predefinite di Azure. A seguito di una modifica errata di una regola di sicurezza, una macchina virtuale potrebbe non essere in grado di comunicare con altre risorse. Per risolvere il problema, è possibile usare la funzionalità di verifica flusso IP. Definire prima di tutto un indirizzo IPv4 di origine e di destinazione, una porta, un protocollo TCP (Transmission Control Protocol) o UDP (User Datagram Protocol) e la direzione del traffico (in ingresso o in uscita). Verifica flusso IP verifica quindi la comunicazione configurata e notifica l'esito positivo o negativo della connessione. In caso di errore di comunicazione, verifica flusso IP può notificare all'utente quale regola di sicurezza ha consentito o negato la comunicazione selezionata, per permettere di risolvere il problema.
Diagnosticare i problemi di routing di rete da una macchina virtuale Funzionalità hop successivo Quando si crea una rete virtuale, Azure crea diverse route predefinite in uscita. Il traffico in uscita da tutte le risorse di una rete virtuale viene instradato in base alle route predefinite di Azure. Successivamente, è possibile creare route aggiuntive o eseguire l'override delle route predefinite di Azure. A seguito di una modifica errata della route, una macchina virtuale potrebbe non essere più in grado di comunicare con altre risorse. La funzionalità hop successivo consente di specificare un indirizzo IPv4 di origine e di destinazione. L'hop successivo testa quindi la comunicazione e notifica all'utente il tipo di hop successivo usato per instradare il traffico. È quindi possibile riconfigurare le route per risolvere il problema di routing.
Diagnosticare i problemi delle connessioni in uscita da una macchina virtuale Funzionalità di risoluzione dei problemi di connessione La funzionalità di risoluzione dei problemi di connessione consente di testare una connessione tra una macchina virtuale e altre risorse, ad esempio un'altra macchina virtuale, un nome di dominio completo, un URI o un indirizzo IPv4. Il test restituisce informazioni simili a quelle fornite dalla funzionalità di monitoraggio connessione, ma viene eseguito in un determinato momento, anziché eseguire l'analisi nel tempo come avviene con il monitoraggio connessione.
Acquisire i pacchetti da e verso una macchina virtuale Funzionalità di acquisizione pacchetti La funzionalità di acquisizione pacchetti usa opzioni di filtro avanzate e fornisce controlli ottimizzati, che consentono di impostare limiti di tempo e dimensioni e quindi di offrire versatilità. È possibile archiviare i dati acquisiti in un account di archiviazione di Azure, nel disco di una macchina virtuale o in entrambi. È quindi possibile analizzare il file di acquisizione usando diversi strumenti di analisi dell'acquisizione di rete standard.
Diagnosticare problemi relativi a connessioni e gateway di rete virtuale di Azure Funzionalità di risoluzione dei problemi della rete VPN I gateway di rete virtuale forniscono la connettività tra le risorse locali e le reti virtuali di Azure. Il monitoraggio di questi gateway e delle rispettive connessioni è essenziale per assicurare che le comunicazioni non siano interrotte. La funzionalità di diagnostica VPN consente di eseguire attività di diagnostica su gateway e connessioni. La diagnostica VPN consente di diagnosticare l'integrità del gateway, o della connessione gateway, e notifica all'utente se sono disponibili un gateway e connessioni gateway. Se il gateway o la connessione non è disponibile, la diagnostica VPN indica il motivo, per consentire di risolvere il problema.
Determinare le latenze relative tra aree di Azure e ISP (provider di servizi Internet) Funzionalità di latenza relativa È possibile eseguire una query in Network Watcher per ottenere informazioni sulla latenza tra aree di Azure e tra provider di servizi Internet (ISP). Quando si conoscono le latenze tra aree di Azure e tra ISP, è possibile distribuire le risorse di Azure in modo da ottimizzare il tempo di risposta di rete.
Esaminare le regole di sicurezza per un'interfaccia di rete Regole di sicurezza valide Le regole di sicurezza effettive per un'interfaccia di rete sono una combinazione tra tutte le regole di sicurezza applicate all'interfaccia di rete e la subnet in cui si trova l'interfaccia di rete. La funzionalità di analisi del gruppo di sicurezza segnala tutte le regole di sicurezza applicate all'interfaccia di rete, la subnet in cui si trova l'interfaccia di rete e l'aggregazione di entrambi gli elementi. Comprendendo quali regole vengono applicate a un'interfaccia di rete, è possibile aggiungere, rimuovere o modificare le regole per modificare il traffico consentito o bloccato.

Revisione delle metriche

All'interno di una sottoscrizione e di un'area di Azure ci sono limiti al numero di risorse di rete che è possibile creare e non si possono creare altre risorse una volta raggiunti tali limiti. È possibile usare la funzionalità Limite sottoscrizioni di rete per fornire un riepilogo delle singole risorse di rete distribuite in una sottoscrizione e un'area specifiche. È anche possibile individuare il limite per una determinata risorsa. Nello screenshot seguente, ad esempio, la risorsa VirtualNetworks ha un limite di 50 e l'uso visualizzato è due.

A screenshot displays the partial output for network resources deployed in the East US region for an example subscription. Resources listed include: VirtualNetworks, NetworkSecurityGroups, and LoadBalancers. Current limit and usage columns display against these resources.

Gestione dei log

Analizzare il traffico di un gruppo di sicurezza di rete

I gruppi di sicurezza di rete possono negare o consentire il traffico verso un'interfaccia di rete in una macchina virtuale. La funzionalità log dei flussi del gruppo di sicurezza di rete consente di acquisire informazioni su tale traffico. È possibile analizzare i log usando diversi strumenti, ad esempio Power BI e la funzionalità di analisi del traffico. La funzionalità log dei flussi del gruppo di sicurezza di rete permette di acquisire quanto segue:

  • Indirizzo IP di origine
  • Indirizzo IP di destinazione
  • Porta IP
  • Protocollo
  • Se il traffico è stato negato o consentito dal gruppo di sicurezza di rete

Esaminare i log di diagnostica delle risorse di rete

La funzionalità di log di diagnostica offre una singola interfaccia per abilitare e disabilitare i log di diagnostica per qualsiasi risorsa di rete esistente che genera un log di diagnostica. È possibile abilitare la registrazione diagnostica per le risorse di rete di Azure, tra cui:

  • Gruppi di sicurezza di rete
  • Indirizzi IP pubblici
  • Servizi di bilanciamento del carico
  • Gateway di rete virtuale
  • Gateway applicazione

È possibile esaminare i log di diagnostica usando strumenti come Power BI e i log di Monitoraggio di Azure.

Creare un'istanza di Azure Network Watcher

Quando si crea o si aggiorna una rete virtuale nella sottoscrizione di Azure, Network Watcher viene abilitato automaticamente nell'area della rete virtuale. Se si abilita Network Watcher tramite il portale di Azure, il nome dell'istanza di Network Watcher viene impostato automaticamente su NetworkWatcher_GUID, dove GUID è un'identità univoca.

Nota

L'istanza di Network Watcher viene creata automaticamente in un gruppo di risorse denominato NetworkWatcherRG. Se il gruppo di risorse non esiste già, viene creato.