Usługa Network Watcher — często zadawane pytania

Ten artykuł zawiera odpowiedzi na najczęściej zadawane pytania dotyczące usługi Azure Network Watcher.

Ogólne

Co to jest usługa Network Watcher?

Usługa Network Watcher udostępnia zestaw narzędzi do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów IaaS (infrastruktura jako usługa), które obejmują maszyny wirtualne, sieci wirtualne, bramy aplikacji, moduły równoważenia obciążenia i inne zasoby w sieci wirtualnej platformy Azure. Nie jest to rozwiązanie do monitorowania infrastruktury PaaS (platforma jako usługa) ani uzyskiwania analizy internetowej/mobilnej.

Jakie narzędzia zapewnia usługa Network Watcher?

Usługa Network Watcher udostępnia trzy główne zestawy możliwości:

  • Monitoring
    • Widok topologii przedstawia zasoby w sieci wirtualnej i relacje między nimi.
    • Monitor połączeń umożliwia monitorowanie łączności i opóźnień między punktami końcowymi wewnątrz i na zewnątrz platformy Azure.
  • Narzędzia diagnostyczne sieci
    • Weryfikacja przepływu adresów IP umożliwia wykrywanie problemów z filtrowaniem ruchu na poziomie maszyny wirtualnej.
    • Diagnostyka sieciowej grupy zabezpieczeń umożliwia wykrywanie problemów z filtrowaniem ruchu na poziomie maszyny wirtualnej, zestawu skalowania maszyn wirtualnych lub bramy aplikacji.
    • Następny przeskok pomaga zweryfikować trasy ruchu i wykryć problemy z routingiem.
    • Rozwiązywanie problemów z połączeniem umożliwia jednorazowe sprawdzanie łączności i opóźnień między maszyną wirtualną a hostem usługi Bastion, bramą aplikacji lub inną maszyną wirtualną.
    • Przechwytywanie pakietów umożliwia przechwytywanie ruchu maszyny wirtualnej.
    • Rozwiązywanie problemów z siecią VPN uruchamia wiele testów diagnostycznych bram sieci VPN i połączeń w celu ułatwienia debugowania problemów.
  • Ruch
    • Dzienniki przepływu sieciowych grup zabezpieczeń i dzienniki przepływu sieci wirtualnej umożliwiają rejestrowanie ruchu sieciowego przechodzącego odpowiednio przez sieciowe grupy zabezpieczeń i sieci wirtualne.
    • Analiza ruchu przetwarza dane dziennika przepływu sieciowej grupy zabezpieczeń, umożliwiając wizualizowanie, wykonywanie zapytań, analizowanie i zrozumienie ruchu sieciowego.

Aby uzyskać bardziej szczegółowe informacje, zobacz Omówienie usługi Network Watcher.

Jak działa cennik usługi Network Watcher?

Zobacz Cennik usługi Network Watcher, aby uzyskać szczegółowe informacje o różnych składnikach usługi Network Watcher.

W których regionach usługa Network Watcher jest obecnie obsługiwana i dostępna?

Zobacz Regiony usługi Network Watcher, aby dowiedzieć się więcej o regionach, które obsługują usługę Network Watcher.

Jakie uprawnienia są wymagane do korzystania z usługi Network Watcher?

Zobacz Uprawnienia RBAC platformy Azure wymagane do korzystania z usługi Network Watcher , aby uzyskać szczegółową listę wymaganych uprawnień dla każdej funkcji usługi Network Watcher.

Jak mogę włączyć usługę Network Watcher?

Usługa Network Watcher jest automatycznie włączona dla każdej subskrypcji. Należy ręcznie włączyć usługę Network Watcher, jeśli zrezygnowano z automatycznego włączania usługi Network Watcher. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.

Co to jest model wdrażania usługi Network Watcher?

Zasób nadrzędny usługi Network Watcher jest wdrażany z unikatowym wystąpieniem w każdym regionie. Domyślny format nazewnictwa: NetworkWatcher_RegionName. Przykład: NetworkWatcher_centralus to zasób usługi Network Watcher dla regionu "Środkowe stany USA". Nazwę wystąpienia usługi Network Watcher można dostosować przy użyciu programu PowerShell lub interfejsu API REST.

Dlaczego platforma Azure zezwala na tylko jedno wystąpienie usługi Network Watcher na region?

Usługa Network Watcher musi być włączona tylko raz na region dla subskrypcji, aby jej funkcje działały. Usługa Network Watcher jest włączona w regionie przez utworzenie wystąpienia usługi Network Watcher w tym regionie.

Jak zarządzać zasobem usługi Network Watcher?

Zasób usługi Network Watcher reprezentuje usługę zaplecza dla usługi Network Watcher, która jest w pełni zarządzana przez platformę Azure. Można jednak utworzyć lub usunąć zasób usługi Network Watcher, aby włączyć lub wyłączyć go w określonym regionie. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.

Czy mogę przenieść wystąpienie usługi Network Watcher z jednego regionu do innego?

Nie, przenoszenie zasobu usługi Network Watcher ani żadnych zasobów podrzędnych w różnych regionach nie jest obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa operacji przenoszenia dla zasobów sieciowych.

Czy mogę przenieść wystąpienie usługi Network Watcher z jednej grupy zasobów do innej?

Tak, przenoszenie zasobu usługi Network Watcher między grupami zasobów jest obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa operacji przenoszenia dla zasobów sieciowych.

Co to jest NetworkWatcherRG?

NetworkWatcherRG to grupa zasobów, która jest automatycznie tworzona dla zasobów usługi Network Watcher. Na przykład wystąpienia regionalne usługi Network Watcher i zasoby dziennika przepływu sieciowej grupy zabezpieczeń są tworzone w grupie zasobów NetworkWatcherRG . Nazwę grupy zasobów usługi Network Watcher można dostosować przy użyciu programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Czy usługa Network Watcher przechowuje dane klientów?

Usługa Azure Network Watcher nie przechowuje danych klientów, z wyjątkiem monitora połączeń. Monitor połączeń przechowuje dane klientów, które są automatycznie przechowywane przez usługę Network Watcher w jednym regionie w celu spełnienia wymagań dotyczących przechowywania danych w regionie.

Jakie są limity zasobów w usłudze Network Watcher?

Usługa Network Watcher ma następujące limity:

Zasób Limit
Wystąpienia usługi Network Watcher na region na subskrypcję 1 (Jedno wystąpienie w regionie w celu umożliwienia dostępu do usługi w regionie)
Monitory połączeń na region na subskrypcję 100
Maksymalna liczba grup testowych na monitor połączeń 20
Maksymalna liczba źródeł i miejsc docelowych na monitor połączeń 100
Maksymalna liczba konfiguracji testów na monitor połączenia 20
Sesje przechwytywania pakietów na region na subskrypcję 10 000 (liczba sesji, a nie zapisanych przechwytywania)
Operacje rozwiązywania problemów z siecią VPN na subskrypcję 1 (Liczba operacji jednocześnie)

Dostępność i nadmiarowość usługi

Czy strefa usługi Network Watcher jest odporna?

Tak, usługa Network Watcher jest domyślnie odporna na strefy.

Jak mogę skonfigurować usługę Network Watcher tak, aby były odporne na strefy?

Żadna konfiguracja nie jest konieczna do włączenia odporności strefy. Odporność strefy dla zasobów usługi Network Watcher jest domyślnie dostępna i zarządzana przez samą usługę.

Agent usługi Network Watcher

Dlaczego muszę zainstalować agenta usługi Network Watcher?

Agent usługi Network Watcher jest wymagany dla dowolnej funkcji usługi Network Watcher, która generuje lub przechwytuje ruch z maszyny wirtualnej.

Które funkcje wymagają agenta usługi Network Watcher?

Funkcje przechwytywania pakietów, rozwiązywania problemów z połączeniem i monitorowania połączeń wymagają obecności rozszerzenia usługi Network Watcher.

Jaka jest najnowsza wersja agenta usługi Network Watcher?

Najnowszą wersją rozszerzenia usługi Network Watcher jest 1.4.3422.1. Aby uzyskać więcej informacji, zobacz Aktualizowanie rozszerzenia usługi Azure Network Watcher do najnowszej wersji.

Jakich portów używa agent usługi Network Watcher?

  • Linux: agent usługi Network Watcher używa dostępnych portów rozpoczynających się od port 50000 momentu, gdy osiągnie wartość port 65535.
  • Windows: agent usługi Network Watcher używa portów, które system operacyjny odpowiada podczas wykonywania zapytania o dostępne porty.

Z jakimi adresami IP komunikuje się agent usługi Network Watcher?

Agent usługi Network Watcher wymaga wychodzącej łączności TCP z usługą 169.254.169.254 port 80 over and 168.63.129.16 over port 8037. Agent używa tych adresów IP do komunikowania się z platformą Azure.

Monitor połączeń

Czy monitor połączeń obsługuje klasyczne maszyny wirtualne?

Nie, monitor połączeń nie obsługuje klasycznych maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Migrowanie zasobów IaaS z modelu klasycznego do usługi Azure Resource Manager.

Co zrobić, jeśli moja topologia nie jest ozdobiona lub moje przeskoki mają brakujące informacje?

Topologię można dekorować z platformy spoza platformy Azure do platformy Azure tylko wtedy, gdy docelowy zasób platformy Azure i zasób monitora połączeń znajdują się w tym samym regionie.

Co się stanie, jeśli tworzenie monitora połączeń zakończy się niepowodzeniem z powodu następującego błędu: "Nie zezwalamy na tworzenie różnych punktów końcowych dla tej samej maszyny wirtualnej"?

Tej samej maszyny wirtualnej platformy Azure nie można używać z różnymi konfiguracjami w tym samym monitorze połączeń. Na przykład używanie tej samej maszyny wirtualnej z filtrem i bez filtru w tym samym monitorze połączeń nie jest obsługiwane.

Co się stanie, jeśli przyczyną niepowodzenia testu jest "Nic do wyświetlenia"?

Problemy wyświetlane na pulpicie nawigacyjnym monitora połączeń znajdują się podczas odnajdywania topologii lub eksploracji przeskoku. Mogą wystąpić przypadki, w których próg ustawiony dla % utraty lub RTT jest osiągany, ale nie znaleziono żadnych problemów na przeskokach.

Co się stanie w przypadku migracji istniejącego monitora połączeń (klasycznego) do najnowszego monitora połączeń, co się stanie, jeśli testy zewnętrznego punktu końcowego zostaną zmigrowane tylko za pomocą protokołu TCP?

W monitorze połączeń (klasycznym) nie ma opcji wyboru protokołu. Testy w monitorze połączeń (klasycznym) używają tylko protokołu TCP i dlatego podczas migracji tworzymy konfigurację PROTOKOŁU TCP w testach w nowym monitorze połączeń.

Czy istnieją ograniczenia dotyczące używania usług Azure Monitor i Agentów usługi Arc z monitorem połączeń?

Obecnie istnieje granica regionalna, gdy punkt końcowy korzysta z agentów usługi Azure Monitor i Arc ze skojarzonym obszarem roboczym usługi Log Analytics. W związku z tym ograniczeniem skojarzony obszar roboczy usługi Log Analytics musi znajdować się w tym samym regionie co punkt końcowy usługi Arc. Dane pozyskane w poszczególnych obszarach roboczych można połączyć w jednym widoku, zobacz Wykonywanie zapytań o dane w obszarach roboczych, aplikacjach i zasobach usługi Log Analytics w usłudze Azure Monitor.

Dzienniki przepływu

Co robi rejestrowanie przepływu?

Dzienniki przepływu umożliwiają rejestrowanie 5-krotkowego przepływu informacji o ruchu ip platformy Azure, który przechodzi przez sieciową grupę zabezpieczeń lub sieć wirtualną platformy Azure. Nieprzetworzone dzienniki przepływu są zapisywane na koncie usługi Azure Storage. W tym miejscu możesz dalej przetwarzać, analizować, wykonywać zapytania lub eksportować je zgodnie z potrzebami.

Czy dzienniki przepływu wpływają na opóźnienie sieci lub wydajność?

Dane dziennika przepływu są zbierane poza ścieżką ruchu sieciowego, więc nie mają wpływu na przepływność ani opóźnienie sieci. Dzienniki przepływu można tworzyć lub usuwać bez ryzyka wpływu na wydajność sieci.

Jaka jest różnica między dziennikami przepływów sieciowej grupy zabezpieczeń a diagnostyką sieciowej grupy zabezpieczeń?

Dzienniki przepływu sieciowej grupy zabezpieczeń rejestrują ruch przepływujący przez sieciową grupę zabezpieczeń. Z drugiej strony diagnostyka sieciowej grupy zabezpieczeń zwraca wszystkie sieciowe grupy zabezpieczeń, które są przesyłane przez ruch i reguły każdej sieciowej grupy zabezpieczeń, które są stosowane do tego ruchu. Użyj diagnostyki sieciowej grupy zabezpieczeń, aby sprawdzić, czy reguły sieciowej grupy zabezpieczeń są stosowane zgodnie z oczekiwaniami.

Czy mogę rejestrować ruch ESP i AH przy użyciu dzienników przepływu sieciowej grupy zabezpieczeń?

Nie, dzienniki przepływu sieciowej grupy zabezpieczeń nie obsługują protokołów ESP i AH.

Czy mogę rejestrować ruch ICMP przy użyciu dzienników przepływu?

Nie, dzienniki przepływu sieciowej grupy zabezpieczeń i dzienniki przepływu sieci wirtualnej nie obsługują protokołu ICMP.

Czy mogę usunąć sieciową grupę zabezpieczeń z włączonym rejestrowaniem przepływu?

Tak. Skojarzony zasób dziennika przepływu również zostanie usunięty. Dane dziennika przepływu są przechowywane na koncie magazynu dla okresu przechowywania skonfigurowanego w dzienniku przepływu.

Czy mogę przenieść sieciową grupę zabezpieczeń z włączonym rejestrowaniem przepływu do innej grupy zasobów lub subskrypcji?

Tak, ale musisz usunąć skojarzony zasób dziennika przepływu. Po przeprowadzeniu migracji sieciowej grupy zabezpieczeń można ponownie utworzyć dzienniki przepływu, aby włączyć rejestrowanie przepływu.

Czy mogę użyć konta magazynu w innej subskrypcji niż sieciowa grupa zabezpieczeń lub sieć wirtualna, dla którego włączono dziennik przepływu?

Tak, możesz użyć konta magazynu z innej subskrypcji, o ile ta subskrypcja znajduje się w tym samym regionie sieciowej grupy zabezpieczeń i skojarzona z tą samą dzierżawą firmy Microsoft Entra sieciowej grupy zabezpieczeń lub subskrypcji sieci wirtualnej.

Jak mogę używać dzienników przepływu sieciowej grupy zabezpieczeń z kontem magazynu za zaporą?

Aby użyć konta magazynu za zaporą, należy podać wyjątek dla zaufanych usług firmy Microsoft w celu uzyskania dostępu do konta magazynu:

  1. Przejdź do konta magazynu, wprowadzając nazwę konta magazynu w polu wyszukiwania w górnej części portalu.
  2. W obszarze Zabezpieczenia i sieć wybierz pozycję Sieć, a następnie wybierz pozycję Zapory i sieci wirtualne.
  3. W obszarze Dostęp do sieci publicznej wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP. Następnie w obszarze Wyjątki zaznacz pole wyboru obok pozycji Zezwalaj usługom platformy Azure na liście zaufanych usług w celu uzyskania dostępu do tego konta magazynu.
  4. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń, tworząc dziennik przepływu dla docelowej sieciowej grupy zabezpieczeń przy użyciu konta magazynu. Aby uzyskać więcej informacji, zobacz Tworzenie dziennika przepływu.

Dzienniki magazynu można sprawdzić po kilku minutach. Powinien zostać wyświetlony zaktualizowany znacznik czasu lub utworzony nowy plik JSON.

Dlaczego w dziennikach aktywności konta magazynu są wyświetlane błędy 403?

Usługa Network Watcher ma wbudowany mechanizm rezerwowy używany podczas nawiązywania połączenia z kontem magazynu za zaporą (włączona zapora). Próbuje nawiązać połączenie z kontem magazynu przy użyciu klucza, a jeśli to się nie powiedzie, przełączy się na token. W takim przypadku w dzienniku aktywności konta magazynu jest rejestrowany błąd 403.

Czy usługa Network Watcher może wysyłać dane dzienników przepływu sieciowej grupy zabezpieczeń do konta magazynu włączonego z prywatnym punktem końcowym?

Tak, usługa Network Watcher obsługuje wysyłanie danych dzienników przepływu sieciowej grupy zabezpieczeń do konta magazynu włączonego z prywatnym punktem końcowym.

Jak mogę używać dzienników przepływu sieciowej grupy zabezpieczeń z kontem magazynu za punktem końcowym usługi?

Dzienniki przepływu sieciowej grupy zabezpieczeń są zgodne z punktami końcowymi usługi bez konieczności dodatkowej konfiguracji. Aby uzyskać więcej informacji, zobacz Włączanie punktu końcowego usługi.

Jaka jest różnica między dziennikami przepływów w wersjach 1 i 2?

Dzienniki przepływu w wersji 2 przedstawiają koncepcję stanu przepływu i przechowuje informacje o bajtach i pakietach przesyłanych. Aby uzyskać więcej informacji, zobacz Format dziennika przepływu sieciowej grupy zabezpieczeń.

Czy mogę utworzyć dziennik przepływu dla sieciowej grupy zabezpieczeń, która ma blokadę tylko do odczytu?

Nie, blokada tylko do odczytu w sieciowej grupie zabezpieczeń uniemożliwia utworzenie odpowiedniego dziennika przepływu sieciowej grupy zabezpieczeń.

Czy mogę utworzyć dziennik przepływu dla sieciowej grupy zabezpieczeń, która ma blokadę nie można usunąć?

Tak, blokada nie można usunąć w sieciowej grupie zabezpieczeń nie uniemożliwia tworzenia ani modyfikowania odpowiedniego dziennika przepływu sieciowej grupy zabezpieczeń.

Czy mogę zautomatyzować dzienniki przepływu sieciowej grupy zabezpieczeń?

Tak, możesz zautomatyzować dzienniki przepływu sieciowej grupy zabezpieczeń za pomocą szablonów usługi Azure Resource Manager (szablony usługi ARM). Aby uzyskać więcej informacji, zobacz Konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager (ARM).