이 문서에서는 Azure Network Watcher에 대해 가장 자주 묻는 질문에 대한 답변을 제공합니다.
일반
Network Watcher란?
Network Watcher는 Azure 가상 네트워크의 가상 머신, 가상 네트워크, 애플리케이션 게이트웨이, 부하 분산 장치 및 기타 리소스를 포함하는 IaaS(Infrastructure-as-a-Service) 리소스에 대해 메트릭을 모니터링하고, 진단하고, 보고하고, 로그를 사용하거나 사용하지 않도록 설정하는 도구 모음을 제공합니다. PaaS(Platform as a Service) 인프라를 모니터링하거나 웹/모바일 분석을 위한 솔루션은 아닙니다.
Network Watcher에서 제공하는 도구는 무엇인가요?
Network Watcher는 세 가지 주요 기능 집합을 제공합니다.
- 모니터링
- 네트워크 진단 도구
- IP 흐름 확인을 사용하면 가상 머신 수준에서 트래픽 필터링 문제를 탐지할 수 있습니다.
- NSG 진단을 사용하면 가상 머신, 가상 머신 확장 집합 또는 애플리케이션 게이트웨이 수준에서 트래픽 필터링 문제를 감지할 수 있습니다.
- 다음 홉은 트래픽 경로를 확인하고 라우팅 문제를 감지하는 데 도움이 됩니다.
- 연결 문제 해결을 사용하면 가상 머신과 Bastion 호스트, 애플리케이션 게이트웨이 또는 다른 가상 머신 간에 일회성 연결 및 대기 시간을 확인할 수 있습니다.
- 패킷 캡처를 사용하면 가상 머신 트래픽을 캡처할 수 있습니다.
- VPN 문제 해결에서는 문제를 디버깅하는 데 도움이 되도록 VPN 게이트웨이 및 연결에 대한 여러 진단 검사를 실행합니다.
-
트래픽
- 네트워크 보안 그룹 흐름 로그 및 가상 네트워크 흐름 로그를 사용하면 각각 NSG(네트워크 보안 그룹) 및 가상 네트워크를 통과하는 네트워크 트래픽을 기록할 수 있습니다.
- 트래픽 분석은 네트워크 보안 그룹 흐름 로그 데이터를 처리하므로 네트워크 트래픽을 시각화하고 쿼리, 분석하여 이해할 수 있습니다.
자세한 내용은 Network Watcher 개요를 참조하세요.
Network Watcher 가격 책정은 어떻게 작동하나요?
다양한 Network Watcher 구성 요소에 대한 가격 책정 세부 정보는 Network Watcher 가격 책정을 참조하세요.
현재 지원되고 사용 가능한 Network Watcher 지역은 어디인가요?
Network Watcher를 지원하는 지역에 대해 알아보려면 Network Watcher 지역을 참조하세요.
Network Watcher를 사용하려면 어떤 권한이 필요한가요?
Network Watcher의 각 기능에 대한 필요한 권한의 자세한 목록은 Network Watcher를 사용하는 데 필요한 Azure RBAC 권한을 참조하세요.
Network Watcher를 사용하도록 설정하려면 어떻게 해야 하나요?
Network Watcher 서비스는 모든 구독에 대해 자동으로 사용하도록 설정됩니다. Network Watcher 자동 사용을 옵트아웃한 경우 수동으로 Network Watcher를 사용하도록 설정해야 합니다. 자세한 내용은 Azure Network Watcher 사용 또는 사용 안 함을 참조하세요.
Network Watcher 배포 모델은 무엇인가요?
Network Watcher 부모 리소스는 모든 지역에 고유한 인스턴스를 사용하여 배포됩니다. 기본 명명 형식: NetworkWatcher_RegionName. 예제: NetworkWatcher_centralus는 “미국 중부” 지역에 대한 Network Watcher 리소스입니다. PowerShell 또는 REST API를 사용하여 Network Watcher 인스턴스의 이름을 사용자 지정할 수 있습니다.
지역별 Network Watcher 인스턴스가 하나만 허용되는 이유는 무엇인가요?
Network Watcher의 기능이 작동하도록 하려면 구독에 대해 한 번만 사용 설정하면 됩니다. Network Watcher는 해당 지역에서 Network Watcher 인스턴스를 만들어 지역에서 사용하도록 설정됩니다.
어떻게 Network Watcher 리소스를 관리할 수 있나요?
Network Watcher 리소스는 Network Watcher에 대한 백 엔드 서비스를 나타내며 Azure를 통해 완전히 관리됩니다. 그러나 Network Watcher 리소스를 만들거나 삭제하여 특정 지역에서 리소스를 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 Azure Network Watcher 사용 또는 사용 안 함을 참조하세요.
Network Watcher를 한 지역에서 다른 지역으로 이동할 수 있나요?
아니요, Network Watcher 리소스 또는 하위 리소스를 지역 간에 이동하는 것은 지원되지 않습니다. 자세한 내용은 네트워크 리소스에 대한 작업 지원 이동을 참조하세요.
한 리소스 그룹에서 다른 리소스 그룹으로 Network Watcher 인스턴스를 이동할 수 있나요?
예, 리소스 그룹 간에 Network Watcher 리소스 이동이 지원됩니다. 자세한 내용은 네트워크 리소스에 대한 작업 지원 이동을 참조하세요.
NetworkWatcherRG란 무엇인가요?
NetworkWatcherRG는 Network Watcher 리소스에 대해 자동으로 만들어지는 리소스 그룹입니다. 예를 들어 Network Watcher 지역 인스턴스 및 네트워크 보안 그룹 흐름 로그 리소스는 NetworkWatcherRG 리소스 그룹에 만들어집니다. PowerShell, Azure CLI 또는 REST API를 사용하여 Network Watcher 리소스 그룹의 이름을 사용자 지정할 수 있습니다.
Network Watcher에서는 고객 데이터를 저장하나요?
Azure Network Watcher에서는 연결 모니터를 제외하고 고객 데이터를 저장하지 않습니다. 연결 모니터는 단일 지역에서 Network Watcher가 자동으로 저장하는 고객 데이터를 저장하여 지역 내 데이터 상주 요구 사항을 충족합니다.
Network Watcher에 대한 리소스 제한은 무엇인가요?
Network Watcher에는 다음과 같은 제한 사항이 있습니다.
리소스 | 제한 |
---|---|
구독당 지역당 Network Watcher 인스턴스 수 | 1(지역의 서비스에 액세스를 사용하도록 설정하기 위한 해당 지역의 1개 인스턴스) |
구독당 지역당 연결 모니터 수 | 100 |
연결 모니터당 최대 테스트 그룹 수 | 20 |
연결 모니터당 최대 원본 및 대상 수 | 100 |
연결 모니터당 최대 테스트 구성 수 | 20 |
구독당 지역당 패킷 캡처 세션 수 | 10,000(세션 수만, 저장된 캡처는 제외) |
구독당 VPN 문제 해결 작업 수 | 1(한 번의 작업 수) |
서비스 가용성 및 중복성
Network Watcher 서비스는 영역 복원력이 있나요?
Network Watcher 서비스는 기본적으로 영역 복원력이 있습니다.
영역 복원력을 갖도록 Network Watcher 서비스를 구성하려면 어떻게 해야 하나요?
영역 복원력을 사용하도록 설정하기 위한 구성은 필요 없습니다. Network Watcher 리소스의 영역 복원력은 기본적으로 제공되며 서비스 자체에서 관리합니다.
Network Watcher 에이전트
Network Watcher 에이전트를 설치해야 하는 이유는 무엇인가요?
가상 머신에서 트래픽을 생성하거나 가로채는 Network Watcher 기능에는 Network Watcher 에이전트가 필요합니다.
Network Watcher 에이전트에 필요한 기능은 무엇인가요?
패킷 캡처, 연결 문제 해결, 연결 모니터 기능을 사용하려면 Network Watcher 확장이 필요합니다.
Network Watcher 에이전트의 최신 버전은 무엇인가요?
Network Watcher 확장의 최신 버전은 1.4.3422.1
입니다. 자세한 내용은 Azure Network Watcher 확장을 최신 버전으로 업데이트를 참조하세요.
Network Watcher 에이전트는 어떤 포트를 사용하나요?
- Linux: Network Watcher 에이전트는
port 50000
부터port 65535
에 도달할 때까지 사용 가능한 포트를 사용합니다. - Windows: Network Watcher 에이전트는 사용 가능한 포트를 쿼리할 때 운영 체제가 응답하는 포트를 사용합니다.
Network Watcher 에이전트는 어떤 IP 주소와 통신하나요?
Network Watcher 에이전트에는 port 80
을 통한 169.254.169.254
및 port 8037
을 통한 168.63.129.16
에 대한 아웃바운드 TCP 연결이 필요합니다. 에이전트는 이러한 IP 주소를 사용하여 Azure 플랫폼과 통신합니다.
연결 모니터
연결 모니터는 클래식 VM을 지원하나요?
아니요, 연결 모니터는 클래식 VM을 지원하지 않습니다. 자세한 내용은 클래식에서 Azure Resource Manager로 IaaS 리소스 마이그레이션을 참조하세요.
토폴로지가 데코레이트되지 않았거나 홉에 누락된 정보가 있으면 어떻게 해야 하나요?
대상 Azure 리소스와 연결 모니터 리소스가 동일한 지역에 있는 경우에만 토폴로지를 비 Azure부터 Azure까지 데코레이트할 수 있습니다.
"동일한 VM에 대해 다른 엔드포인트를 만들 수 없습니다"라는 오류와 함께 연결 모니터 만들기가 실패하면 어떻게 되나요?
동일한 Azure VM을 동일한 연결 모니터에서 다르게 구성하여 사용할 수 없습니다. 예를 들어 동일한 연결 모니터에서 동일한 VM을 필터가 있는 상태와 필터가 없는 상태로 사용하는 것은 지원되지 않습니다.
테스트 불합격 이유가 “표시할 내용 없음”이면 어떻게 되나요?
연결 모니터 대시보드에 표시되는 문제는 토폴로지 검색 또는 홉 탐색 중에 발견됩니다. % 손실 또는 RTT에 대해 설정된 임곗값에 도달했지만 홉에 문제가 없는 경우가 있을 수 있습니다.
기존 연결 모니터(클래식)를 최신 연결 모니터로 마이그레이션할 때, TCP 프로토콜로만 사용하여 외부 엔드포인트 테스트를 마이그레이션하면 어떻게 되나요?
연결 모니터(클래식)에는 프로토콜 선택 옵션이 없습니다. 연결 모니터(클래식)의 테스트는 TCP 프로토콜만 사용하기 때문에 마이그레이션 시 새 연결 모니터의 테스트에서 TCP 구성을 만드는 것입니다.
연결 모니터에서 Azure Monitor 및 Arc 에이전트를 사용하는 데 제한 사항이 있나요?
현재 엔드포인트가 Azure Monitor 및 Arc 에이전트를 관련 Log Analytics 작업 영역과 함께 사용하는 경우 지역 경계가 있습니다. 이러한 제한으로 인해 연결된 Log Analytics 작업 영역은 Arc 엔드포인트와 동일한 지역에 있어야 합니다. 개별 작업 영역에 수집된 데이터는 단일 보기를 위해 통합될 수 있습니다. Azure Monitor의 Log Analytics 작업 영역, 애플리케이션, 리소스에 대한 쿼리 데이터를 참조하세요.
흐름 로그
흐름 로깅은 어떤 작업을 수행하나요?
흐름 로그를 사용하면 네트워크 보안 그룹 또는 Azure 가상 네트워크를 통과하는 Azure IP 트래픽에 대한 5튜플 흐름 정보를 기록할 수 있습니다. 원시 흐름 로그는 Azure Storage 계정에 기록됩니다. Azure Storage 계정에서 필요에 따라 원시 흐름 로그를 추가로 처리, 분석, 쿼리 또는 내보낼 수 있습니다.
흐름 로그가 네트워크 대기 시간 또는 성능에 영향을 주나요?
흐름 로그 데이터는 네트워크 트래픽 경로 외부에서 수집되므로 네트워크 처리량 또는 대기 시간에 영향을 주지 않습니다. 네트워크 성능에 영향을 미치지 않고 흐름 로그를 만들거나 삭제할 수 있습니다.
NSG 흐름 로그와 NSG 진단의 차이점은 무엇인가요?
네트워크 보안 그룹 흐름 로그는 네트워크 보안 그룹을 통해 흐르는 트래픽을 로그합니다. 반면, NSG 진단은 트래픽이 트래버스하는 모든 네트워크 보안 그룹과 이 트래픽에 적용되는 각 네트워크 보안 그룹의 규칙을 반환합니다. NSG 진단을 사용하여 네트워크 보안 그룹 규칙이 예상대로 적용되고 있는지 확인합니다.
네트워크 보안 그룹 흐름 로그를 사용하여 ESP 및 AH 트래픽을 로그할 수 있나요?
아니요, 네트워크 보안 그룹 흐름 로그는 ESP 및 AH 프로토콜을 지원하지 않습니다.
흐름 로그를 사용하여 ICMP 트래픽을 기록할 수 있나요?
아니요, 네트워크 보안 그룹 흐름 로그 및 가상 네트워크 흐름 로그는 ICMP 프로토콜을 지원하지 않습니다.
흐름 로깅을 사용하도록 설정된 네트워크 보안 그룹을 삭제할 수 있나요?
예. 연결된 흐름 로그 리소스도 삭제됩니다. 흐름 로그 데이터는 흐름 로그에 구성된 보존 기간 동안 스토리지 계정에 보존됩니다.
흐름 로깅을 사용하도록 설정된 네트워크 보안 그룹을 다른 리소스 그룹 또는 구독으로 이동할 수 있나요?
예, 하지만 연결된 흐름 로그 리소스를 삭제해야 합니다. 네트워크 보안 그룹을 마이그레이션한 후에는 흐름 로그를 다시 만들어 네트워크 보안 그룹에서 흐름 로깅을 사용하도록 설정할 수 있습니다.
흐름 로그가 사용하도록 설정된 네트워크 보안 그룹 또는 가상 네트워크와 다른 구독의 스토리지 계정을 사용할 수 있나요?
예, 이 구독이 네트워크 보안 그룹의 동일한 지역에 있고 네트워크 보안 그룹 또는 가상 네트워크 구독과 동일한 Microsoft Entra 테넌트에 연결되어 있는 한 다른 구독의 스토리지 계정을 사용할 수 있습니다.
방화벽이 있는 스토리지 계정에서 네트워크 보안 그룹 흐름 로그를 사용하려면 어떻게 해야 하나요?
방화벽이 있는 스토리지 계정을 사용하려면 스토리지 계정에 액세스하기 위해 신뢰할 수 있는 Microsoft 서비스에 대한 예외 설정을 해야 합니다.
- 포털 맨 위에 있는 검색 상자에 스토리지 계정의 이름을 입력하여 스토리지 계정으로 이동합니다.
- 보안 + 네트워킹에서 네트워킹을 선택한 다음 방화벽 및 가상 네트워크를 선택합니다.
- 공용 네트워크 액세스에서 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다. 그런 다음 예외에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용 옆의 상자를 선택합니다.
- 스토리지 계정을 사용하여 대상 네트워크 보안 그룹에 대한 흐름 로그를 만들어 네트워크 보안 그룹 흐름 로그를 사용하도록 설정합니다. 자세한 내용은 흐름 로그 만들기를 참조하세요.
몇 분 후에 스토리지 로그를 확인할 수 있습니다. 타임스탬프가 업데이트되거나 새 JSON 파일이 만들어질 것입니다.
스토리지 계정 활동 로그에 403 오류가 표시되는 이유는 무엇인가요?
Network Watcher에는 방화벽 뒤의 스토리지 계정에 연결할 때 사용하는 기본 제공 대체(fallback) 메커니즘이 있습니다(방화벽 사용). 키를 사용하여 스토리지 계정에 연결하려고 시도하고 실패하면 토큰으로 전환합니다. 이 경우 스토리지 계정 활동 로그에 403 오류가 기록됩니다.
Network Watcher는 프라이빗 엔드포인트에서 사용하도록 설정된 스토리지 계정에 네트워크 보안 그룹 흐름 로그 데이터를 보낼 수 있나요?
예, Network Watcher는 프라이빗 엔드포인트에서 사용하도록 설정된 스토리지 계정으로 네트워크 보안 그룹 흐름 로그 데이터 전송을 지원합니다.
서비스 엔드포인트가 있는 스토리지 계정에서 네트워크 보안 그룹 흐름 로그를 사용하려면 어떻게 해야 하나요?
네트워크 보안 그룹 흐름 로그는 별도의 추가 구성 없이 서비스 엔드포인트와 호환됩니다. 자세한 내용은 서비스 엔드포인트 사용을 참조하세요.
흐름 로그 버전 1과 버전 2의 차이는 무엇인가요?
흐름 로그 버전 2에서는 흐름 상태 개념이 추가되었고 전송되는 바이트와 패킷 정보를 저장합니다. 자세한 내용은 네트워크 보안 그룹 흐름 로그 형식을 참조하세요.
읽기 전용 잠금이 있는 네트워크 보안 그룹에 대한 흐름 로그를 만들 수 있나요?
네트워크 보안 그룹에 대한 읽기 전용 잠금을 사용하면 해당 네트워크 보안 그룹 흐름 로그가 생성되지 않습니다.
삭제할 수 없는 잠금이 있는 네트워크 보안 그룹에 대한 흐름 로그를 만들 수 있나요?
네트워크 보안 그룹에서 삭제할 수 없는 잠금은 해당 네트워크 보안 그룹 흐름 로그의 생성 또는 수정을 방해하지 않습니다.
네트워크 보안 그룹 흐름 로그를 자동화할 수 있나요?
예, ARM(Azure Resource Manager) 템플릿을 통해 네트워크 보안 그룹 흐름 로그를 자동화할 수 있습니다. 자세한 내용은 ARM(Azure Resource Manager) 템플릿을 사용하여 네트워크 보안 그룹 흐름 로그 구성을 참조하세요.