Наблюдатель за сетями часто задаваемые вопросы (вопросы и ответы)

В этой статье приведены ответы на наиболее часто задаваемые вопросы о Azure Наблюдатель за сетями.

Общие

Что такое Наблюдатель за сетями?

Наблюдатель за сетями предоставляет набор средств для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов IaaS (инфраструктура как услуга), которые включают виртуальные машины, виртуальные сети, шлюзы приложений, подсистемы балансировки нагрузки и другие ресурсы в виртуальной сети Azure. Это не решение для мониторинга инфраструктуры PaaS (платформа как услуга) или получения веб-аналитики или мобильных устройств.

Какие средства предоставляет Наблюдатель за сетями?

Наблюдатель за сетями предоставляет три основных набора возможностей:

  • Контроль
    • В представлении топологии отображаются ресурсы в виртуальной сети и связи между ними.
    • Монитор подключений позволяет отслеживать подключение и задержку между конечными точками внутри и за пределами Azure.
  • Средства диагностики сети
    • Проверка IP-потока позволяет обнаруживать проблемы с фильтрацией трафика на уровне виртуальной машины.
    • NSG диагностика позволяет обнаруживать проблемы с фильтрацией трафика на уровне виртуальной машины, масштабируемого набора виртуальных машин или шлюза приложений.
    • Следующий прыжок помогает проверить маршруты трафика и обнаружить проблемы с маршрутизацией.
    • Устранение неполадок подключения обеспечивает однократную проверку подключения и задержки между виртуальной машиной и узлом Бастиона, шлюзом приложений или другой виртуальной машиной.
    • Запись пакетов позволяет записывать трафик виртуальной машины.
    • Устранение неполадок VPN выполняет несколько проверок диагностика vpn-шлюзов и подключений для отладки проблем.
  • Движение
    • Журналы потоков группы безопасности сети и журналы потоков виртуальной сети позволяют регистрировать сетевой трафик, проходящий через группы безопасности сети (NSG) и виртуальные сети соответственно.
    • Аналитика трафика обрабатывает данные журнала потоков группы безопасности сети, позволяющие визуализировать, запрашивать, анализировать и анализировать сетевой трафик.

Дополнительные сведения см. в Наблюдатель за сетями обзоре.

Как устанавливаются цены на Наблюдатель за сетями?

См. Наблюдатель за сетями цены на различные компоненты Наблюдатель за сетями.

В каких регионах в настоящее время поддерживается и доступно Наблюдатель за сетями?

Ознакомьтесь с Наблюдатель за сетями регионами, чтобы узнать о регионах, поддерживающих Наблюдатель за сетями.

Какие разрешения необходимы для использования Наблюдатель за сетями?

Подробный список необходимых разрешений для каждой возможности Наблюдатель за сетями см. в разрешениях Azure RBAC, необходимых для использования Наблюдатель за сетями.

Как включить Наблюдатель за сетями?

Служба Наблюдатель за сетями автоматически включена для каждой подписки. Вы должны вручную включить Наблюдатель за сетями, если вы отказались от автоматического включения Наблюдатель за сетями. Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

Какая модель развертывания Наблюдателя за сетями используется?

Родительский ресурс Наблюдателя за сетями развертывается с использованием уникального экземпляра в каждом регионе. Формат именования по умолчанию: NetworkWatcher_RegionName. Пример: NetworkWatcher_centralus — это ресурс Наблюдателя за сетями для региона "Центральная часть США". Имя экземпляра Наблюдатель за сетями можно настроить с помощью PowerShell или REST API.

Почему Azure разрешает только один экземпляр Наблюдатель за сетями в каждом регионе?

Наблюдатель за сетями необходимо включить один раз в каждом регионе для каждой подписки, чтобы ее функции работали. Наблюдатель за сетями включен в регионе путем создания экземпляра Наблюдатель за сетями в этом регионе.

Как управлять Наблюдатель за сетями ресурсом?

Ресурс Наблюдатель за сетями представляет серверную службу для Наблюдатель за сетями, которая полностью управляется Azure. Однако можно создать или удалить ресурс Наблюдатель за сетями, чтобы включить или отключить его в определенном регионе. Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

Можно ли переместить экземпляр Наблюдатель за сетями из одного региона в другой?

Нет, перемещение Наблюдатель за сетями ресурса или любого дочернего ресурса в разных регионах не поддерживается. Дополнительные сведения см. в разделе "Поддержка операций перемещения для сетевых ресурсов".

Можно ли переместить экземпляр Наблюдатель за сетями из одной группы ресурсов в другую?

Да, поддерживается перемещение ресурсов Наблюдатель за сетями между группами ресурсов. Дополнительные сведения см. в разделе "Поддержка операций перемещения для сетевых ресурсов".

Что такое NetworkWatcherRG?

NetworkWatcherRG — это группа ресурсов, которая автоматически создается для Наблюдатель за сетями ресурсов. Например, в группе ресурсов NetworkWatcherRG создаются Наблюдатель за сетями региональные экземпляры и ресурсы журнала потоков группы безопасности сети. Вы можете настроить имя группы ресурсов Наблюдатель за сетями с помощью PowerShell, Azure CLI или REST API.

Хранит ли Наблюдатель за сетями данные клиента?

Azure Наблюдатель за сетями не хранит данные клиентов, за исключением монитора подключений. Монитор подключений хранит данные клиента, которые автоматически хранятся Наблюдатель за сетями в одном регионе для удовлетворения требований к месту расположения данных в регионе.

Каковы ограничения ресурсов на Наблюдатель за сетями?

Наблюдатель за сетями имеет следующие ограничения:

Ресурс Ограничение
Наблюдатель за сетями экземпляры для каждого региона на подписку 1 (один экземпляр в регионе для включения доступа к службе в регионе)
Мониторы подключений для каждого региона на подписку 100
Максимальное количество тестовых групп на монитор подключения 20
Максимальное количество источников и назначений для монитора подключений 100
Максимальное количество конфигураций тестов для монитора подключений 20
Сеансы записи пакетов для каждого региона на подписку 10 000 (только количество сеансов, не сохраненных записей)
Операции устранения неполадок VPN для каждой подписки 1 (количество операций одновременно)

Доступность и избыточность службы

Устойчива ли зона Наблюдатель за сетями?

Да, служба Наблюдатель за сетями по умолчанию устойчива к зонам.

Как настроить службу "Наблюдатель за сетями" для устойчивости в пределах зоны?

Настройка не требуется для включения устойчивости зоны. Устойчивость в пределах зоны для ресурсов Наблюдателя за сетями доступна по умолчанию и находится под управлением самой службой.

Агент службы "Наблюдатель за сетями"

Почему необходимо установить агент Наблюдатель за сетями?

Агент Наблюдатель за сетями необходим для любой функции Наблюдатель за сетями, которая создает или перехватывает трафик из виртуальной машины.

Какие функции требуют агента Наблюдатель за сетями?

Функции отслеживания пакетов, устранения неполадок подключения и монитора подключений требуют наличия расширения Наблюдатель за сетями.

Что такое последняя версия агента Наблюдатель за сетями?

Последняя версия расширения 1.4.3422.1Наблюдатель за сетями . Дополнительные сведения см. в статье об обновлении расширения Azure Наблюдатель за сетями до последней версии.

Какие порты использует агент Наблюдатель за сетями?

  • Linux: агент Наблюдатель за сетями использует доступные порты, начиная с port 50000 его достиженияport 65535.
  • Windows: агент Наблюдатель за сетями использует порты, с которыми отвечает операционная система при запросе доступных портов.

С какими IP-адресами взаимодействует агент Наблюдатель за сетями?

Агент Наблюдатель за сетями требует исходящего TCP-подключения для 169.254.169.254 перебора и 168.63.129.16 перебора port 80 port 8037. Агент использует эти IP-адреса для взаимодействия с платформой Azure.

Монитор подключения

Поддерживает ли монитор подключений классические виртуальные машины?

Нет, монитор подключений не поддерживает классические виртуальные машины. Дополнительные сведения см. в статье Перенос ресурсов IaaS из классической модели в модель Azure Resource Manager.

Что, если моя топология не формируется, или для моих прыжков не хватает данных?

Топология может быть украшена из Azure, отличной от Azure, только если целевой ресурс Azure и ресурс монитора подключений находятся в одном регионе.

Что происходит, если создание монитора подключения завершается сбоем со следующей ошибкой: "Мы не разрешаем создавать разные конечные точки для одной виртуальной машины"?

Одну и ту же виртуальную машину Azure нельзя использовать с разными конфигурациями в одном мониторе подключений. Например, использование одной виртуальной машины с фильтром и без фильтра в одном мониторе подключений не поддерживается.

Что произойдет, если тест завершается сбоем по причине "Отсутствия данных для отображения"?

Проблемы, отображаемые на панели мониторинга монитора подключений, обнаруживаются во время обнаружения топологии или просмотра прыжков. В некоторых случаях пороговое значение, заданное для % потери или RTT, достигается, но проблемы не найдены при прыжках.

При переносе существующего монитора подключения (классического) на последний монитор подключения происходит, что происходит, если тесты внешней конечной точки переносятся только с протоколом TCP?

В мониторе подключений (классическом) отсутствует параметр выбора протокола. Тесты в мониторе подключений (классический) используют только протокол TCP, поэтому во время миграции мы создадим конфигурацию TCP в тестах в новом мониторе подключения.

Существуют ли ограничения на использование Azure Monitor и агентов Arc с монитором подключений?

В настоящее время существует региональная граница, когда конечная точка использует агенты Azure Monitor и Arc с связанной рабочей областью Log Analytics. В результате этого ограничения связанная рабочая область Log Analytics должна находиться в том же регионе, что и конечная точка Arc. Данные, которые принимаются в отдельные рабочие области, можно объединить для единого представления, см. в статье "Запрос данных" в рабочих областях, приложениях и ресурсах Log Analytics в Azure Monitor.

Журналы потоков

Что делает ведение журнала потоков?

Журналы потоков позволяют регистрировать данные потока 5 кортежей о IP-трафике Azure, который проходит через группу безопасности сети или виртуальную сеть Azure. Необработанные журналы потоков записываются в учетную запись хранения Azure. Оттуда можно дополнительно обрабатывать, анализировать, запрашивать или экспортировать их по мере необходимости.

Влияют ли журналы потоков на задержку сети или производительность?

Данные журнала потоков собираются вне пути сетевого трафика, поэтому он не влияет на пропускную способность сети или задержку. Вы можете создавать и удалять журналы потоков без риска, что они скажутся на производительности сети.

Какова разница между журналами потоков NSG и NSG диагностика?

Журналы потоков группы безопасности сети записывают трафик журнала, проходящий через группу безопасности сети. С другой стороны, NSG диагностика возвращает все группы безопасности сети, которые выполняет трафик, и правила каждой группы безопасности сети, применяемой к этому трафику. Используйте группу безопасности сети диагностика, чтобы убедиться, что правила группы безопасности сети применяются должным образом.

Можно ли регистрировать трафик ESP и AH с помощью журналов потоков групп безопасности сети?

Нет, журналы потоков группы безопасности сети не поддерживают протоколы ESP и AH.

Можно ли записывать трафик ICMP с помощью журналов потоков?

Нет, журналы потоков группы безопасности сети и журналы потоков виртуальной сети не поддерживают протокол ICMP.

Можно ли удалить группу безопасности сети, включающую ведение журнала потоков?

Да. Связанный ресурс журнала потоков также будет удален. Данные журнала потоков хранятся в учетной записи хранения за период хранения, настроенный в журнале потоков.

Можно ли переместить группу безопасности сети, которая включила ведение журнала потоков в другую группу ресурсов или подписку?

Да, но необходимо удалить связанный ресурс журнала потоков. После переноса группы безопасности сети можно повторно создать журналы потоков, чтобы включить ведение журнала потоков.

Можно ли использовать учетную запись хранения в подписке, отличной от группы безопасности сети или виртуальной сети, для которую включен журнал потоков?

Да, вы можете использовать учетную запись хранения из другой подписки, если эта подписка находится в том же регионе группы безопасности сети и связана с тем же клиентом Microsoft Entra группы безопасности сети или подписки виртуальной сети.

Разделы справки использовать журналы потоков группы безопасности сети с учетной записью хранения за брандмауэром?

Чтобы использовать учетную запись хранения за брандмауэром, необходимо предоставить исключение для доверенных служб Майкрософт для доступа к учетной записи хранения:

  1. Перейдите к учетной записи хранения, введя имя учетной записи хранения в поле поиска в верхней части портала.
  2. В разделе "Безопасность и сеть" выберите "Сеть" и выберите "Брандмауэры" и "Виртуальные сети".
  3. В общедоступном сетевом доступе выберите "Включено" из выбранных виртуальных сетей и IP-адресов. Затем в разделе "Исключения" установите флажок "Разрешить службам Azure" в списке доверенных служб доступ к этой учетной записи хранения.
  4. Включите журналы потоков группы безопасности сети, создав журнал потока для целевой группы безопасности сети с помощью учетной записи хранения. Дополнительные сведения см. в разделе "Создание журнала потоков".

Журналы хранения можно проверить через несколько минут. Вы увидите обновленную метку времени или новый json-файл.

Почему в журналах действий учетной записи хранения отображается около 403 ошибок?

Наблюдатель за сетями имеет встроенный резервный механизм, который он использует при подключении к учетной записи хранения за брандмауэром (включен брандмауэр). Он пытается подключиться к учетной записи хранения с помощью ключа, и при сбое он переключается на маркер. В этом случае ошибка 403 регистрируется в журнале действий учетной записи хранения.

Может ли Наблюдатель за сетями отправлять данные журналов потоков группы безопасности сети в учетную запись хранения, включенную с помощью частной конечной точки?

Да, Наблюдатель за сетями поддерживает отправку данных журналов потока группы безопасности сети в учетную запись хранения, включенную с помощью частной конечной точки.

Разделы справки использовать журналы потоков групп безопасности сети с учетной записью хранения за конечной точкой службы?

Журналы потоков группы безопасности сети совместимы с конечными точками службы без дополнительной настройки. Дополнительные сведения см. в разделе "Включить конечную точку службы".

Какова разница между журналами потоков версии 1 и 2?

Журналы потоков версии 2 представляют концепцию состояния потока и хранят сведения о байтах и пакетах, передаваемых. Дополнительные сведения см . в формате журнала потоков группы безопасности сети.

Можно ли создать журнал потоков для группы безопасности сети с блокировкой только для чтения?

Нет, блокировка только для чтения в группе безопасности сети предотвращает создание соответствующего журнала потока группы безопасности сети.

Можно ли создать журнал потоков для группы безопасности сети, в которую не удается удалить блокировку?

Да, блокировка не удаляемая в группе безопасности сети не предотвращает создание или изменение соответствующего журнала потока группы безопасности сети.

Можно ли автоматизировать журналы потоков группы безопасности сети?

Да, вы можете автоматизировать журналы потоков групп безопасности сети с помощью шаблонов Azure Resource Manager (шаблонов ARM). Дополнительные сведения см. в разделе "Настройка журналов потоков NSG" с помощью шаблона Azure Resource Manager (ARM).