何时使用 Azure 网络观察程序
尝试排查与 Azure IaaS 产品相关的网络问题时,Azure 网络观察程序非常有用。 例如,可以在以下场景中使用 Azure 网络观察程序中包含的工具:
- 解决与 IaaS VM 相关的连接问题。
- 排查 VPN 连接问题。
- 确定跨区域网络延迟。
解决与 IaaS VM 相关的连接问题
最近,一个 Windows Server IaaS VM 已部署到 Azure。 部署 VM 的开发人员无法从同一虚拟网络上的另一个 IaaS VM 建立到此 IaaS VM 的远程 PowerShell 会话。
可以使用 IP 流验证工具排查此问题。 使用此工具可指定本地和远程端口、协议 (TCP/UDP)、本地 IP 和远程 IP 以检查连接状态。 通过它还可指定连接方向(入站或出站)。 IP 流验证对网络上的现有规则运行逻辑测试。
在本例中,可以使用 IP 流验证来指定 VM 的 IP 地址和 TCP 端口 5986(使用 HTTPS 时由 PowerShell 使用)。 然后,指定远程 VM 的 IP 地址和端口。 选择 TCP 协议,然后选择“检查”。 如果 NSG 规则阻止流量,IP 流验证规则将报告哪个规则负责丢弃的流量。
排查 VPN 连接问题
一个 IaaS VM 已部署到 Azure 虚拟网络上。 通过站点到站点 VPN 连接从本地主机连接到此 IaaS VM。
可以使用 Azure VPN 故障排除工具对此 VPN 连接进行故障排除。 此工具对虚拟网络网关连接执行诊断操作,并返回运行状况诊断。 可从 Azure 门户、PowerShell 或 Azure CLI 运行此工具。
运行该工具时,它会检查网关是否存在常见问题并返回运行状况诊断。 你还可查看日志文件以获取详细信息。 诊断工具会显示 VPN 连接是否正常工作。 如果 VPN 连接没有正常工作,Azure VPN 故障排除工具会建议解决问题的方法。
确定跨区域网络延迟
可以使用网络观察程序工具根据网络延迟确定放置 IaaS 资源的最佳位置。 例如,可以使用网络观察程序工具让不同区域中的 IaaS VM 定期相互 ping,以确定跨区域网络延迟。 此信息可让你确定是否需要将你的所有 IaaS VM 置于单个区域中。 或者,它们是否可以分布在不同的区域,以支持特定的应用程序体系结构。
假设你有一个本地混合应用程序和一个在连接到同一存储帐户终结点的 Azure IaaS VM 中运行的应用程序。 可以使用网络观察程序对两个应用程序执行延迟比较。 如果本地应用程序的延迟过高,这可能会增加将该应用程序迁移到 Azure 的合理性。 如果 Azure IaaS VM 的延迟过高,这可能会增加将 VM 迁移到另一个延迟较低的区域的合理性。
何时不使用网络观察程序
网络观察程序工具提供中间级别的网络诊断功能。 这些工具不提供某些第三方工具中可用的高级功能。 如果组织需要访问此高级功能,可能需要部署包含此高级功能的第三方工具,以实现诊断目标。
请务必认识到网络观察程序主要用于 Azure 虚拟网络上的 IaaS 资源。 无法使用 Azure 网络观察程序诊断与 PaaS 服务或 Web 分析相关的连接问题。 如果遇到与这些服务相关的问题,应检查 Azure 状态或服务运行状况仪表板。