Este artigo fornece respostas para as perguntas mais frequentes feitas sobre o Azure Network Watcher.
Geral
O que é o Observador de Rede?
O Inspetor de Rede fornece um conjunto de ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos IaaS (Infraestrutura como Serviço), que incluem máquinas virtuais, redes virtuais, gateways de aplicativos, balanceadores de carga e outros recursos em uma rede virtual do Azure. Não é uma solução para monitorar a infraestrutura PaaS (Platform-as-a-Service) ou obter análises web/móveis.
Que ferramentas o Network Watcher oferece?
O Network Watcher fornece três conjuntos principais de recursos:
- Monitorização
- O modo de exibição de topologia mostra os recursos em sua rede virtual e as relações entre eles.
- O monitor de conexão permite monitorar a conectividade e a latência entre pontos de extremidade dentro e fora do Azure.
- Ferramentas de diagnóstico de rede
- A verificação do fluxo de IP permite detetar problemas de filtragem de tráfego no nível da máquina virtual.
- O diagnóstico NSG permite detetar problemas de filtragem de tráfego em uma máquina virtual, conjunto de dimensionamento de máquina virtual ou nível de gateway de aplicativo.
- O próximo salto ajuda você a verificar rotas de tráfego e detetar problemas de roteamento.
- A solução de problemas de conexão permite uma verificação única de conectividade e latência entre uma máquina virtual e o host Bastion, o gateway de aplicativo ou outra máquina virtual.
- A captura de pacotes permite capturar o tráfego da máquina virtual.
- A solução de problemas de VPN executa várias verificações de diagnóstico em seus gateways e conexões VPN para ajudar a depurar problemas.
- Trânsito
- Os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual permitem que você registre o tráfego de rede que passa pelos NSGs (grupos de segurança de rede) e redes virtuais, respectivamente.
- A análise de tráfego processa os dados do log de fluxo do grupo de segurança de rede, permitindo visualizar, consultar, analisar e entender o tráfego da rede.
Para obter informações mais detalhadas, consulte Visão geral do Inspetor de Rede.
Como funciona o preço do Network Watcher?
Consulte Preços do Observador de Rede para obter detalhes de preços sobre diferentes componentes do Observador de Rede.
Em que regiões o Network Watcher é atualmente suportado e disponível?
Consulte Regiões do Observador de Rede para saber mais sobre as regiões que suportam o Observador de Rede.
Que permissões são necessárias para utilizar o Observador de Rede?
Consulte Permissões RBAC do Azure necessárias para usar o Inspetor de Rede para obter uma lista detalhada das permissões necessárias para cada um dos recursos do Inspetor de Rede.
Como posso ativar o Observador de Rede?
O serviço Inspetor de Rede é ativado automaticamente para cada assinatura. Tem de ativar manualmente o Observador de Rede se tiver optado por não ativar automaticamente o Observador de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Azure Network Watcher.
O que é o modelo de implantação do Network Watcher?
O recurso pai do Inspetor de Rede é implantado com uma instância exclusiva em cada região. Formato de nomenclatura padrão: NetworkWatcher_RegionName. Exemplo: NetworkWatcher_centralus é o recurso Network Watcher para a região "EUA Central". Você pode personalizar o nome da instância do Inspetor de Rede usando PowerShell ou API REST.
Por que o Azure permite apenas uma instância do Observador de Rede por região?
O Observador de Rede só precisa ser ativado uma vez por região e por assinatura para que seus recursos funcionem. O Inspetor de Rede é habilitado em uma região criando uma instância do Inspetor de Rede nessa região.
Como posso gerir o recurso Network Watcher?
O recurso Inspetor de Rede representa o serviço de back-end para o Inspetor de Rede, que é totalmente gerenciado pelo Azure. No entanto, você pode criar ou excluir o recurso Inspetor de Rede para habilitá-lo ou desabilitá-lo em uma região específica. Para obter mais informações, consulte Habilitar ou desabilitar o Azure Network Watcher.
Posso mover a instância do Inspetor de Rede de uma região para outra?
Não, não há suporte para mover o recurso Inspetor de Rede ou qualquer um de seus recursos filhos entre regiões. Para obter mais informações, consulte Suporte a operações de movimentação para recursos de rede.
Posso mover a instância do Inspetor de Rede de um grupo de recursos para outro?
Sim, há suporte para mover o recurso Inspetor de Rede entre grupos de recursos. Para obter mais informações, consulte Suporte a operações de movimentação para recursos de rede.
O que é o NetworkWatcherRG?
NetworkWatcherRG é um grupo de recursos que é criado automaticamente para recursos do Network Watcher. Por exemplo, as instâncias regionais do Inspetor de Rede e os recursos de log de fluxo do grupo de segurança de rede são criados no grupo de recursos NetworkWatcherRG . Você pode personalizar o nome do grupo de recursos do Inspetor de Rede usando PowerShell, CLI do Azure ou API REST.
O Network Watcher armazena dados de clientes?
O Observador de Rede do Azure não armazena dados do cliente, exceto para o monitor de Conexão. O monitor de conexão armazena dados do cliente, que são armazenados automaticamente pelo Inspetor de Rede em uma única região para atender aos requisitos de residência de dados na região.
Quais são os limites de recursos no Network Watcher?
O Network Watcher tem os seguintes limites:
Recurso | Limite |
---|---|
Instâncias do Inspetor de Rede por região e por assinatura | 1 (Uma instância em uma região para permitir o acesso ao serviço na região) |
Monitores de ligação por região e por subscrição | 100 |
Máximo de grupos de teste por um monitor de conexão | 20 |
Fontes e destinos máximos por um monitor de conexão | 100 |
Configurações máximas de teste por um monitor de conexão | 20 |
Sessões de captura de pacotes por região e por assinatura | 10.000 (Apenas número de sessões, capturas não salvas) |
VPN solucionar problemas de operações por assinatura | 1 (Número de operações ao mesmo tempo) |
Disponibilidade e redundância do serviço
A zona do Observador de Rede é resiliente?
Sim, o serviço Inspetor de Rede é resiliente a zonas por padrão.
Como configuro o serviço Inspetor de Rede para ser resiliente à zona?
Nenhuma configuração é necessária para habilitar a resiliência de zona. A resiliência de zona para recursos do Inspetor de Rede está disponível por padrão e é gerenciada pelo próprio serviço.
Agente do Observador de Rede
Por que preciso instalar o Network Watcher Agent?
O Agente Inspetor de Rede é necessário para qualquer recurso do Inspetor de Rede que gere ou intercete tráfego de uma máquina virtual.
Quais recursos exigem o Network Watcher Agent?
Os recursos de captura de pacotes, solução de problemas de conexão e Monitor de conexão exigem a presença da extensão Network Watcher.
Qual é a versão mais recente do Network Watcher Agent?
A última versão da extensão Network Watcher é 1.4.3422.1
. Para obter mais informações, consulte Atualizar a extensão do Azure Network Watcher para a versão mais recente.
Quais portas o Network Watcher Agent usa?
- Linux: o Network Watcher Agent usa portas disponíveis a partir de
port 50000
até chegar aoport 65535
. - Windows: o Agente Inspetor de Rede usa as portas com as quais o sistema operacional responde quando consultado por portas disponíveis.
Com quais endereços IP o Network Watcher Agent se comunica?
O Agente Inspetor de Rede requer conectividade TCP de saída para 169.254.169.254
várias vezes 168.63.129.16
port 80
port 8037
. O agente usa esses endereços IP para se comunicar com a plataforma Azure.
Monitor de ligação
O monitor de conexão suporta VMs clássicas?
Não, o monitor de ligação não suporta VMs clássicas. Para obter mais informações, consulte Migrar recursos IaaS do clássico para o Azure Resource Manager.
E se a minha topologia não estiver decorada ou se o meu lúpulo tiver informações em falta?
A topologia pode ser decorada de não-Azure para o Azure somente se o recurso do Azure de destino e o recurso do monitor de conexão estiverem na mesma região.
O que acontece se a criação do monitor de conexão falhar com o seguinte erro: "Não permitimos a criação de pontos de extremidade diferentes para a mesma VM"?
A mesma VM do Azure não pode ser usada com configurações diferentes no mesmo monitor de conexão. Por exemplo, não há suporte para o uso da mesma VM com um filtro e sem um filtro no mesmo monitor de conexão.
O que acontece se o motivo da falha no teste for "Nada a exibir"?
Problemas exibidos no painel do monitor de conexão são encontrados durante a descoberta de topologia ou exploração de salto. Pode haver casos em que o limite definido para % de perda ou RTT é atingido, mas não são encontrados problemas no lúpulo.
Ao migrar um monitor de conexão existente (clássico) para o monitor de conexão mais recente, o que acontece se os testes de ponto de extremidade externo forem migrados apenas com o protocolo TCP?
Não há nenhuma opção de seleção de protocolo no monitor de conexão (clássico). Os testes no monitor de conexão (clássico) usam apenas o protocolo TCP, e é por isso que, durante a migração, criamos uma configuração TCP em testes no novo monitor de conexão.
Há alguma limitação para usar o Azure Monitor e o Arc Agents com o monitor de conexão?
Atualmente, há um limite regional quando um ponto de extremidade usa agentes do Azure Monitor e Arc com o espaço de trabalho associado do Log Analytics. Como resultado dessa limitação, o espaço de trabalho associado do Log Analytics deve estar na mesma região que o ponto de extremidade Arc. Os dados ingeridos em espaços de trabalho individuais podem ser sindicalizados para uma única exibição, consulte Consultar dados em espaços de trabalho, aplicativos e recursos do Log Analytics no Azure Monitor.
Registos de fluxo
O que faz o registro de fluxo?
Os logs de fluxo permitem que você registre informações de fluxo de 5 tuplas sobre seu tráfego IP do Azure que passa por um grupo de segurança de rede ou rede virtual do Azure. Os logs de fluxo brutos são gravados em uma conta de armazenamento do Azure. A partir daí, você pode processá-los, analisá-los, consultá-los ou exportá-los conforme necessário.
Os logs de fluxo afetam a latência ou o desempenho da rede?
Os dados do log de fluxo são coletados fora do caminho do tráfego de rede, portanto, não afetam a taxa de transferência ou a latência da rede. Você pode criar ou excluir logs de fluxo sem qualquer risco de impacto no desempenho da rede.
Qual é a diferença entre logs de fluxo NSG e diagnósticos NSG?
O fluxo do grupo de segurança de rede registra o tráfego de log que flui através de um grupo de segurança de rede. Por outro lado, o diagnóstico NSG retorna todos os grupos de segurança de rede que seu tráfego está atravessando e as regras de cada grupo de segurança de rede que são aplicadas a esse tráfego. Use o diagnóstico NSG para verificar se as regras do grupo de segurança de rede estão sendo aplicadas conforme o esperado.
Posso registrar o tráfego ESP e AH usando logs de fluxo de grupo de segurança de rede?
Não, os logs de fluxo do grupo de segurança de rede não suportam protocolos ESP e AH.
Posso registrar o tráfego ICMP usando logs de fluxo?
Não, os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual não suportam o protocolo ICMP.
Posso excluir um grupo de segurança de rede que tenha o log de fluxo habilitado?
Sim. O recurso de log de fluxo associado também será excluído. Os dados do log de fluxo são retidos na conta de armazenamento durante o período de retenção configurado no log de fluxo.
Posso mover um grupo de segurança de rede que tenha o log de fluxo habilitado para um grupo de recursos ou assinatura diferente?
Sim, mas você deve excluir o recurso de log de fluxo associado. Depois de migrar o grupo de segurança de rede, você pode recriar os logs de fluxo para habilitar o log de fluxo nele.
Posso usar uma conta de armazenamento em uma assinatura diferente do grupo de segurança de rede ou da rede virtual para a qual o log de fluxo está habilitado?
Sim, você pode usar uma conta de armazenamento de uma assinatura diferente, desde que essa assinatura esteja na mesma região do grupo de segurança de rede e associada ao mesmo locatário Microsoft Entra do grupo de segurança de rede ou da assinatura da rede virtual.
Como faço para usar os logs de fluxo do grupo de segurança de rede com uma conta de armazenamento atrás de um firewall?
Para usar uma conta de armazenamento atrás de um firewall, você precisa fornecer uma exceção para que os Serviços Microsoft Confiáveis acessem sua conta de armazenamento:
- Vá para a conta de armazenamento digitando o nome da conta de armazenamento na caixa de pesquisa na parte superior do portal.
- Em Segurança + rede, selecione Rede e, em seguida, selecione Firewalls e redes virtuais.
- Em Acesso à rede pública, selecione Habilitado a partir de redes virtuais e endereços IP selecionados. Em seguida, em Exceções, marque a caixa ao lado de Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.
- Habilite os logs de fluxo do grupo de segurança de rede criando um log de fluxo para o grupo de segurança de rede de destino usando a conta de armazenamento. Para obter mais informações, consulte Criar um log de fluxo.
Você pode verificar os logs de armazenamento após alguns minutos. Você verá um TimeStamp atualizado ou um novo arquivo JSON criado.
Por que vejo alguns erros 403 nos logs de atividade da conta de armazenamento?
O Observador de Rede tem um mecanismo de fallback integrado que ele usa ao se conectar a uma conta de armazenamento atrás de um firewall (firewall habilitado). Ele tenta se conectar à conta de armazenamento usando uma chave e, se isso falhar, alterna para um token. Nesse caso, um erro 403 é registrado no log de atividades da conta de armazenamento.
O Inspetor de Rede pode enviar dados de logs de fluxo do grupo de segurança de rede para uma conta de armazenamento habilitada com o Ponto de Extremidade Privado?
Sim, o Inspetor de Rede suporta o envio de dados de logs de fluxo do grupo de segurança de rede para uma conta de armazenamento habilitada com um ponto de extremidade privado.
Como faço para usar os logs de fluxo do grupo de segurança de rede com uma conta de armazenamento atrás de um ponto de extremidade de serviço?
Os logs de fluxo do grupo de segurança de rede são compatíveis com os Pontos de Extremidade de Serviço sem exigir nenhuma configuração extra. Para obter mais informações, consulte Habilitar um ponto de extremidade de serviço.
Qual é a diferença entre as versões 1 e 2 dos logs de fluxo?
Os logs de fluxo versão 2 introduzem o conceito de estado de fluxo e armazenam informações sobre bytes e pacotes transmitidos. Para obter mais informações, consulte Formato de log de fluxo do grupo de segurança de rede.
Posso criar um log de fluxo para um grupo de segurança de rede que tenha um bloqueio somente leitura?
Não, um bloqueio somente leitura em um grupo de segurança de rede impede a criação do log de fluxo do grupo de segurança de rede correspondente.
Posso criar um log de fluxo para um grupo de segurança de rede que tenha um bloqueio de não exclusão?
Sim, um bloqueio não pode excluir no grupo de segurança de rede não impede a criação ou modificação do log de fluxo do grupo de segurança de rede correspondente.
Posso automatizar os logs de fluxo do grupo de segurança de rede?
Sim, você pode automatizar os logs de fluxo do grupo de segurança de rede por meio de modelos do Azure Resource Manager (modelos ARM). Para obter mais informações, consulte Configurar logs de fluxo do NSG usando um modelo do Azure Resource Manager (ARM).