Felsöka nätverk med hjälp av verktygen för övervakning och diagnostisering i Network Watcher
Azure Network Watcher innehåller flera verktyg som du kan använda för att övervaka dina virtuella nätverk och virtuella datorer . Om du ska kunna använda Network Watcher effektivt är det viktigt att du förstår de alternativ som är tillgängliga och syftet med respektive verktyg.
I ditt ingenjörsföretag vill du hjälpa personalen att välja rätt Network Watcher-verktyg för varje felsökningsuppgift. De måste förstå vilka alternativ som är tillgängliga och vilka typer av problem som respektive verktyg kan lösa.
Nu ska vi ta en titt på de olika kategorierna för Network Watcher-verktyg, verktygen i respektive kategori och hur varje verktyg används i olika användningsexempel.
Vad är Network Watcher?
Network Watcher är en Azure-tjänst som samlar en mängd verktyg för diagnostisering av Azure-nätverk på en och samma plats. Network Watcher-verktygen är indelade i tre kategorier:
- Övervakningsverktyg
- Diagnostiska verktyg för nätverk
- Verktyg för trafikloggning
Eftersom Network Watcher har verktyg för att både övervaka och diagnostisera problem så får du en central hubb där du kan identifiera nätverksproblem, toppar i processoranvändningen, anslutningsproblem, minnesläckor och andra problem innan de påverkar verksamheten.
Övervakningsverktyg i Network Watcher
Network Watcher innehåller tre övervakningsverktyg:
- Topologi
- Anslutningsövervakare
- Övervakare av nätverksprestanda
Nu ska vi gå igenom de här verktygen.
Vad är verktyget Topologi?
Verktyget Topologi genererar en grafisk representation av ditt virtuella Azure-nätverk, dess resurser, de inbördes kopplingarna och deras relationer med varandra.
Anta att du måste felsöka ett virtuellt nätverk som dina kollegor har skapat. Om du inte var involverad i processen för att skapa nätverk kanske du inte känner till alla aspekter av infrastrukturen. Du kan använda verktyget Topologi till att visualisera och förstå infrastrukturen du har att göra med innan du börjar felsöka.
Du använder Azure Portal till att visa topologin för ett Azure-nätverk. I Azure-portalen:
Logga in på Azure-portalen och sök sedan efter och välj Network Watcher.
På menyn Network Watcher går du till Övervakning och väljer Topologi.
Välj en prenumeration, resursgruppen för ett virtuellt nätverk och sedan det virtuella nätverket.
Kommentar
För att generera topologin behöver du Network Watcher-instansen i samma geografiska region som det virtuella nätverket.
Här är ett exempel på en topologi som har genererats för ett virtuellt nätverk med namnet MyVNet.
Vad är verktyget Anslutningsövervakare?
Med verktyget Anslutningsövervakare kan du kontrollera att anslutningar mellan olika Azure-resurser fungerar. Använd det här verktyget för att kontrollera att två virtuella datorer kan kommunicera om du vill.
Det här verktyget mäter även svarstiden mellan resurser. Det kan fånga upp ändringar som påverkar anslutningen, till exempel ändringar i nätverkskonfigurationen eller i NSG-regler (nätverkssäkerhetsgrupper). Verktyget kan avsöka virtuella datorer med jämna mellanrum och leta efter problem eller ändringar.
Om det uppstår ett problem visar Anslutningsövervakare varför det inträffade och hur du kan åtgärda problemet. Förutom att övervaka virtuella datorer så kan Anslutningsövervakare undersöka IP-adresser och FQDN (fullständigt kvalificerade domännamn).
Vad är verktyget Övervakare av nätverksprestanda?
Med verktyget Övervakare av nätverksprestanda kan du spåra och varna om svarstider och paketförluster över tid. Det ger dig en centraliserad vy över nätverket i verktyget.
När du bestämmer dig för att övervaka dina hybridanslutningar med hjälp av Övervakare av nätverksprestanda kontrollerar du att den associerade arbetsytan finns i en region som stöds.
Du kan använda Övervakare av nätverksprestanda till att övervaka anslutningsmöjligheten slutpunkt-till-slutpunkt:
- Mellan grenar och datacenter
- Mellan virtuella nätverk
- För dina anslutningar mellan lokalt och molnet
- För Azure ExpressRoute-kretsar
Diagnostiska verktyg i Network Watcher
Network Watcher innehåller följande diagnostikverktyg:
- Kontrollera IP-flöde
- NSG-diagnostik
- Nästa hopp
- Gällande säkerhetsregler
- Paketfångst
- Felsökning av anslutning
- VPN-felsökning
Vi ska gå igenom de olika verktygen och se hur de kan hjälpa dig att lösa problem.
Vad är verktyget Kontrollera IP-flöde?
Verktyget verifiera IP-flöde anger om paket tillåts eller nekas för en specifik virtuell dator. Om en nätverkssäkerhetsgrupp nekar ett paket meddelar verktyget namnet på den gruppen så att du kan åtgärda problemet.
Det här verktyget använder en parameterbaserad verifieringsfunktion med en 5-tupel till att identifiera om inkommande eller utgående paket tillåts eller nekas i en virtuell dator. Du anger en lokal port och en fjärrport i verktyget, protokollet (TCP eller UDP), den lokala IP-adressen, den virtuella datorn och den virtuella datorns nätverkskort.
Vad är diagnostikverktyget för NSG?
Diagnostikverktyget för nätverkssäkerhetsgrupp (NSG) innehåller detaljerad information som hjälper dig att förstå och felsöka nätverkets säkerhetskonfiguration.
För ett givet källmålpar visar verktyget de NSG:er som ska passeras, de regler som ska tillämpas i varje NSG och den slutliga tillåtna/neka-statusen för flödet. Genom att förstå vilka trafikflöden som tillåts eller nekas i ditt virtuella Azure-nätverk kan du avgöra om NSG-reglerna är korrekt konfigurerade.
Vad är verktyget Nästa hopp?
När en virtuell dator skickar ett paket till ett mål kan det ta flera hopp längs rutten. Om målet till exempel är en virtuell dator i ett annat virtuellt nätverk kan nästa hopp vara till den virtuella nätverksgatewayen som dirigerar paketet till den virtuella måldatorn.
Med verktyget Nästa hopp kan du fastställa hur ett paket tar sig från en virtuell dator till valfritt mål. Du anger virtuell källdator, källnätverkskort, IP-källadress och IP-måladress. Verktyget avgör sedan paketets väg. Du kan använda det här verktyget till att diagnostisera problem som orsakas av felaktiga routningstabeller.
Vad är verktyget Gällande säkerhetsregler?
Verktyget Gällande säkerhetsregler i Network Watcher används till att visa alla gällande NSG-regler som tillämpas i ett nätverksgränssnitt.
Nätverkssäkerhetsgrupper (NSG:er) används i Azure-nätverk till att filtrera paket baserat på källans och målets IP-adress och portnummer. NSG:er är viktiga för säkerheten eftersom de hjälper dig att styra vilken yta på de virtuella datorerna som användare kan komma åt. Tänk på att en felaktigt konfigurerad NSG-regel kan förhindra legitim kommunikation. Därför är NSG:er en vanlig källa till nätverksproblem.
Om två virtuella datorer till exempel inte kan kommunicera eftersom en NSG-regel blockerar dem så kan det vara svårt att avgöra vilken regel som orsakar problemet. Du använder verktyget Gällande säkerhetsregler i Network Watcher till att visa alla gällande NSG-regler och att felsöka vilken regel som orsakar det aktuella problemet.
Om du vill använda verktyget väljer du en virtuell dator och dess nätverkskort. Verktyget visar alla NSG-regler som gäller för kortet. Du kan enkelt avgöra vilken regel som orsakar blockeringen genom att titta i listan.
Du kan också använda verktyget till att upptäcka sårbarheter hos dina virtuella datorer som orsakas av portar som är öppna i onödan.
Vad är verktyget Paketfångst?
Paketinsamlingsverktyget registrerar alla paket som skickas till och från en virtuell dator. När det är aktiverat kan du granska insamlingen för att samla in statistik om nätverkstrafik eller diagnostisera avvikelser, till exempel oväntad nätverkstrafik i ett privat virtuellt nätverk.
Paketinsamlingsverktyget är ett tillägg för virtuella datorer som startas via en fjärranslutning via Network Watcher. Den startar automatiskt när du startar en paketinsamlingssession.
Tänk på att det finns en gräns för antalet tillåtna paketinsamlingssessioner per region. Standardanvändningsgränsen är 100 paketinsamlingssessioner per region och den totala gränsen är 10 000. Dessa begränsningar gäller endast för antalet sessioner, inte för sparade insamlingar. Du kan spara paket som registrerats i Azure Storage eller lokalt på datorn.
Paketfångst är beroende av att Network Watcher Agent VM-tillägget är installerat på den virtuella datorn. Länkar till instruktioner som beskriver installationen av tillägget på virtuella Windows- och Linux-datorer finns i avsnittet "Läs mer" i slutet av den här modulen.
Vad är verktyget Felsökning av anslutning?
Du använder verktyget Felsökning av anslutning till att kontrollera TCP-anslutningen mellan en virtuell käll- och måldator. Du kan ange den virtuella måldatorn med hjälp av ett FQDN, en URI, eller en IP-adress.
Om anslutningen lyckas visas information om kommunikationen, inklusive:
- Svarstiden i millisekunder.
- Antalet försökspaket som har skickades.
- Antalet hopp i den fullständiga vägen till målet.
Om anslutningen misslyckades visas information om felet. Här är några av feltyperna:
- CPU. Anslutningen misslyckades på grund av hög processoranvändning.
- Memory. Anslutningen misslyckades på grund av hög minnesanvändning.
- GuestFirewall. Anslutningen blockerades av en brandvägg utanför Azure.
- DNSResolution. Det gick inte att tolka målets IP-adress.
- NetworkSecurityRule. Anslutningen blockerades av en nätverkssäkerhetsregel.
- UserDefinedRoute. Det finns en felaktig användarväg i en routningstabell.
Vad är verktyget VPN-felsökning?
Du kan använda verktyget VPN-felsöknings till att diagnostisera problem med virtuellt nätverk-gatewayanslutningar. Verktyget diagnostiserar en virtuellt nätverk-gatewayanslutning och returnerar en tillståndsdiagnos.
När du startar VPN-felsökningsverktyget diagnostiserar Network Watcher hälsotillståndet för gatewayen eller anslutningen och returnerar lämpliga resultat. Förfrågan är en tidskrävande transaktion.
I följande tabell visas exempel på olika feltyper.
| Feltyp | Anledning | Loggas |
|---|---|---|
| NoFault | Inget fel har identifierats. | Ja |
| GatewayNotFound | En gateway kan inte hittas eller har inte etablerats. | Nej |
| PlannedMaintenance | Underhåll utförs på en gatewayinstans. | Nej |
| UserDrivenUpdate | En användaruppdatering pågår. Uppdateringen kan vara en storleksändring. | Nej |
| VipUnResponsive | Den primära instansen av gatewayen kan inte nås på grund av ett fel i tillståndsavsökningen. | Nej |
| PlatformInActive | Det är något problem med plattformen. | Nej |
Verktyg för trafikloggning
Network Watcher innehåller följande två trafikverktyg:
- Flödesloggar
- Trafikanalys
Vad är verktyget för flödesloggar?
Med flödesloggar kan du logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Flödesloggar lagrar data i Azure Storage. Flödesdata skickas till Azure Storage där du kan komma åt dem och exportera dem till valfritt visualiseringsverktyg, siem-lösning (säkerhetsinformation och händelsehantering) eller intrångsidentifieringssystem (IDS). Du kan använda dessa data för att analysera trafikmönster och felsöka anslutningsproblem.
Användningsfall för flödesloggar kan kategoriseras i två typer. Övervakning och optimering av nätverksövervakning och användning.
Nätverksövervakning
- Identifiera okänd eller oönstrade trafik.
- Övervaka trafiknivåer och bandbreddsförbrukning.
- Filtrera flödesloggar efter IP och port för att förstå programmets beteende.
- Exportera flödesloggar till valfria analys- och visualiseringsverktyg för att konfigurera övervakningsinstrumentpaneler.
Användningsövervakning och optimering
- Identifiera de viktigaste talarna i nätverket.
- Kombinera med GeoIP-data för att identifiera trafik mellan regioner.
- Förstå trafiktillväxt för kapacitetsprognoser.
- Använd data för att ta bort alltför restriktiva trafikregler.
Vad är verktyget för trafikanalys?
Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i dina molnnätverk. Mer specifikt analyserar trafikanalyser Azure Network Watcher NSG-flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Med trafikanalys kan du:
- Visualisera nätverksaktivitet i dina Azure-prenumerationer.
- Identifiera aktiva punkter.
- Skydda nätverket med hjälp av information för att identifiera hot.
- Optimera nätverksdistributionen för prestanda och kapacitet genom att förstå trafikflödesmönster i Azure-regioner och Internet.
- Hitta felkonfigurationer i nätverket som kan leda till misslyckade anslutningar i nätverket.
Användningsfall för Azure Network Watcher
Vi går igenom några scenarier som du kan undersöka och felsöka med hjälp av verktygen för övervakning och diagnostisering i Azure Network Watcher.
Det finns problem med nätverksanslutningen i ett nätverk med enskilda virtuella datorer
Dina kollegor har distribuerat en virtuell dator i Azure och har problem med nätverksanslutningen. Dina kollegor försöker använda RDP (Remote Desktop Protocol) för att ansluta till den virtuella datorn, men de kan inte ansluta.
Du kan felsöka det här problemet med verktyget Kontrollera IP-flöde. Med det här verktyget kan du kontrollera anslutningsstatusen genom att ange en lokal port och en fjärrport, protokollet (TCP/UDP), den lokala IP-adressen och målets IP-adress. Du kan också ange anslutningens riktning (inkommande eller utgående). Kontrollera IP-flöde kör ett logiskt test av reglerna som gäller i nätverket.
I det här fallet använder du Kontrollera IP-flöde till att ange den virtuella datorns IP-adress och RDP-porten 3389. Ange sedan den virtuella fjärrdatorns IP-adress och port. Välj TCP-protokollet och välj sedan Kontrollera.
Anta att resultatet visar att åtkomst har nekats på grund av NSG-regeln DefaultInboundDenyAll. Lösningen är att ändra NSG-regeln.
En VPN-anslutning fungerar inte
Dina kollegor har distribuerat virtuella datorer i två virtuella nätverk och kan inte ansluta mellan dem.
Du kan felsöka VPN-anslutningar med hjälp av Azure VPN-felsökning. Det här verktyget kör diagnostik på en anslutning till en virtuell nätverksgateway och returnerar en hälsodiagnos. Du kan köra det här verktyget från Azure Portal, PowerShell eller Azure CLI.
När du kör verktyget kontrolleras vanliga problem i gatewayen och du får en tillståndsdiagnos. Du kan också läsa mer i loggfilen. Diagnosen visar om VPN-anslutningen fungerar. Om VPN-anslutningen inte fungerar föreslår verktyget VPN-felsökning olika sätt att lösa problemet.
Anta att diagnostiken visar en felmatchad nyckel. Du kan lösa problemet genom att konfigurera om fjärrgatewayen och se till att nycklarna matchar i båda ändar. Nycklar som delas i förväg är skiftlägeskänsliga.
Inga servrar lyssnar på de angivna målportarna
Dina kollegor har distribuerat virtuella datorer i ett virtuellt nätverk och kan inte ansluta mellan dem.
Använd verktyget Felsökning av anslutning till att felsöka problemet. I det här verktyget anger du de lokala och fjärranslutna virtuella datorerna. I avsökningsinställningen kan du välja en specifik port.
Anta att resultatet visar att fjärrservern inte kan nås, tillsammans med meddelandet "Trafik blockerad på grund av brandväggskonfiguration för virtuella datorer". På fjärrservern inaktiverar du brandväggen och testar sedan anslutningen igen.
Anta att servern nu kan kontaktas. Det här resultatet anger att brandväggsregler på fjärrservern är problemet och måste korrigeras för att tillåta anslutningen.