Como funciona o Azure Network Watcher

  • 5 minutos

O Inspetor de Rede fica automaticamente disponível quando você cria uma rede virtual em uma região do Azure em sua assinatura. Você pode acessar o Observador de Rede diretamente no portal do Azure digitando Inspetor de Rede na barra de pesquisa .

Screenshot that shows how to search for Network Watcher in the Azure portal.

Ferramenta de topologia do Inspetor de Rede

O recurso de topologia do Azure Network Watcher permite que você exiba todos os seguintes recursos em uma rede virtual. Incluindo, os recursos associados aos recursos em uma rede virtual e as relações entre os recursos.

  • Sub-redes
  • Interfaces de rede
  • Grupos de segurança de rede
  • Balanceador de carga
  • Sondas de integridade do balanceador de carga
  • Endereços IP públicos
  • Peering de rede virtual
  • Gateways de rede virtual
  • Conexões de gateway VPN
  • Máquinas virtuais
  • Conjuntos de Dimensionamento de Máquinas Virtuais

Todos os recursos retornados em uma topologia têm as seguintes propriedades:

  • Nome: O nome do recurso.
  • Id: O URI do recurso.
  • Local: a região do Azure em que o recurso está.
  • Associações: uma lista de associações ao objeto referenciado. Cada associação tem as seguintes propriedades:
    • AssociationType: Faz referência à relação entre o objeto filho e o pai. Os valores válidos são Contains e Associated.
    • Nome: O nome do recurso referenciado.
    • ResourceId: O URI do recurso referenciado na associação.

Ferramenta Monitor de Ligação

O Monitor de Ligação proporciona uma monitorização de ligação unificada ponta a ponta no Observador de Rede do Azure. O Monitor de Conexão dá suporte a implantações de nuvem híbrida e do Azure. Você pode usar a ferramenta Monitor de Conexão para medir a latência entre recursos. O Monitor de Conexão pode detetar alterações que afetam a conectividade, como alterações na configuração da rede ou modificações nas regras do NSG. Você pode configurar o Monitor de Conexão para investigar VMs em intervalos regulares para procurar falhas ou alterações. O Monitor de Conexão pode diagnosticar problemas e fornecer explicações sobre por que o problema ocorreu e as etapas que você pode tomar para corrigir um problema.

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

Para usar o Monitor de Conexão para monitoramento, você precisa instalar agentes de monitoramento nos hosts monitorados. O Monitor de Conexão usa arquivos executáveis leves para executar verificações de conectividade, quer um host esteja localizado em uma rede virtual do Azure ou em uma rede local. Com as VMs do Azure, você pode instalar a VM do Agente do Inspetor de Rede, também conhecida como extensão do Inspetor de Rede. Para computadores locais, você pode habilitar essa funcionalidade instalando o agente do Log Analytics.

Verificação do fluxo de IP

A ferramenta de verificação de fluxo de IP usa um mecanismo de verificação baseado em parâmetros de pacotes de 5 tuplas para detetar se os pacotes de entrada ou saída são permitidos ou negados de uma VM. Dentro da ferramenta, você pode especificar uma porta local e remota, o protocolo (TCP ou UDP), o IP local, o IP remoto, a VM e o adaptador de rede da VM.

Próximo salto

O tráfego de uma VM IaaS é enviado para um destino com base nas rotas efetivas associadas a uma interface de rede (NIC). O próximo salto obtém o próximo tipo de salto e o endereço IP de um pacote de uma VM e NIC específicas. Conhecer o próximo salto ajuda a determinar se o tráfego está sendo direcionado para o destino pretendido ou se o tráfego não está sendo enviado para lugar nenhum. Uma configuração inadequada de rotas, na qual o tráfego é direcionado para um local local ou para um dispositivo virtual, pode levar a problemas de conectividade. O próximo salto também retorna a tabela de rotas associada ao próximo salto. Se a rota for definida como uma rota definida pelo usuário, essa rota será retornada. Caso contrário, o próximo salto retornará System Route.

Regras de segurança em vigor

Os grupos de segurança de rede (NSGs) filtram pacotes com base em seus endereços IP de origem e destino e números de porta. Mais de um NSG pode ser aplicado a um recurso IaaS em uma rede virtual do Azure. Ao levar em consideração todas as regras aplicadas em todos os NSGs para um recurso, a ferramenta Regras de Segurança Eficazes permite determinar por que algum tráfego pode ser negado ou permitido.

Captura de pacotes

A captura de pacotes é uma extensão de máquina virtual que é iniciada remotamente através do Network Watcher. Esse recurso alivia a carga de executar uma captura de pacotes manualmente em uma máquina virtual específica usando ferramentas do sistema operacional ou utilitários de terceiros. A captura de pacotes pode ser acionada por meio do portal, PowerShell, CLI do Azure ou API REST. O Inspetor de Rede permite configurar filtros para a sessão de captura para garantir que você capture o tráfego que deseja monitorar. Os filtros são baseados em informações de 5 tuplas (protocolo, endereço IP local, endereço IP remoto, porta local e porta remota). Os dados capturados são armazenados no disco local ou em um blob de armazenamento.

Resolução de problemas de ligação

A ferramenta de solução de problemas de conexão verifica a conectividade TCP entre uma VM de origem e uma VM de destino. Pode especificar a VM de destino com um FQDN, um URI ou um endereço IP. Se a conexão for bem-sucedida, serão exibidas informações sobre a comunicação, incluindo:

  • A latência em milissegundos.
  • O número de pacotes de pesquisa enviados.
  • O número de saltos na rota completa para o destino.

Se a conexão não for bem-sucedida, a ferramenta exibirá detalhes sobre a falha. Poderá ver os seguintes tipos de falhas:

  • CPU: A conexão falhou devido à alta utilização da CPU.
  • Memória: A conexão falhou devido à alta utilização de memória.
  • GuestFirewall: Um firewall fora do Azure bloqueou a conexão.
  • DNSResolution: O endereço IP de destino não pôde ser resolvido.
  • NetworkSecurityRule: Um NSG bloqueou a conexão.
  • UserDefinedRoute: Há uma rota de usuário incorreta em uma tabela de roteamento.

Resolução de problemas da VPN

O Inspetor de Rede fornece a capacidade de solucionar problemas de gateways e conexões. O recurso pode ser chamado por meio do portal, PowerShell, CLI do Azure ou API REST. Quando chamado, o Inspetor de Rede diagnostica a integridade do gateway ou da conexão e, em seguida, retorna os resultados apropriados. O pedido é uma transação de longa duração. Os resultados preliminares que são retornados dão uma imagem geral da integridade do recurso.

A lista a seguir descreve os valores que são retornados chamando a API de solução de problemas de VPN:

  • startTime: A hora em que a solução de problemas começou.
  • endTime: A hora em que a solução de problemas terminou.
  • code: Este valor é UnHealthy se houver uma única falha de diagnóstico.
  • results: Uma coleção de resultados retornados na conexão ou no gateway de rede virtual.
    • id: O tipo de falha.
    • resumo: Um resumo da falha.
    • detalhado: Uma descrição detalhada da falha.
    • recommendedActions: uma coleção de ações recomendadas a serem tomadas.
    • actionText: texto que descreve a ação a ser tomada.
    • actionUri: O URI da documentação que descreve a ação a ser tomada.
    • actionUriText: Uma breve descrição do texto da ação.