Azure 網路監看員的運作方式

  • 5 分鐘

當您在訂用帳戶的 Azure 區域中建立虛擬網路時,網路監看員的工具可自動供您使用。 您可以在 [搜尋] 列中輸入網路監看員,直接在 Azure 入口網站中存取網路監看員。

Screenshot that shows how to search for Network Watcher in the Azure portal.

網路監看員拓撲工具

Azure 網路監看員的拓撲功能可讓您檢視虛擬網路中的所有下列資源。 包括與虛擬網路中的資源相關聯的資源以及資源之間的關聯性。

  • 子網路
  • 網路介面
  • 網路安全性群組
  • 負載平衡器
  • 負載平衡器健全狀態探查
  • 公用 IP 位址
  • 虛擬網路對等互連
  • 虛擬網路閘道
  • VPN 閘道連線
  • 虛擬機器
  • 虛擬機器擴展集

在拓撲中傳回的所有資源都具有下列屬性:

  • 名稱:資源的名稱。
  • 識別碼:資源的 URI。
  • 位置:資源所在的 Azure 區域。
  • 關聯性:與所參考物件之關聯性的清單。 每個關聯性都具有下列屬性:
    • AssociationType:參考子物件與父系之間的關聯性。 有效值為 ContainsAssociated
    • 名稱:所參考資源的名稱。
    • ResourceId:關聯性中參考之資源的 URI。

連線監視工具

「連線監視器」可在 Azure 網路監看員中提供統一的端對端連線監視。 連線監視支援混合式和 Azure 雲端部署。 您可以使用連線監視工具來測量資源之間的延遲。 連線監視可以偵測會影響連線的變更,例如網路設定變更或 NSG 規則的變更。 您可以設定連線監視來定期探查 VM,以尋找失敗或變更。 連線監視器可以診斷問題,並提供問題發生原因的說明,以及您可採取以修正問題的步驟。

Diagram that shows how Connection Monitor interacts with Azure Virtual Machines, non-Azure hosts, endpoints, and data storage locations.

若要使用連線監視進行監視,您需要在所監視的主機上安裝監視代理程式。 連線監視會使用輕量型可執行檔來執行連線檢查,以了解主機位於 Azure 虛擬網路還是內部部署網路。 透過 Azure VM,您可以安裝網路監看員代理程式 VM,也稱為網路監看員延伸模組。 針對內部部署電腦,您可以安裝 Log Analytics 代理程式來啟用此功能。

IP 流程驗證

IP 流量驗證工具會使用以 5 個 Tuple 封包參數為基礎的驗證機制,來偵測是否允許或拒絕來自 VM 的封包傳入和傳出。 在此工具內,您可以指定本機和遠端連接埠、通訊協定 (TCP 或 UDP)、本機 IP、遠端 IP、VM,以及 VM 的網路介面卡。

下一個躍點

來自 IaaS VM 的流量會根據與網路介面 (NIC) 相關聯的有效路由來傳送到目的地。 下一個躍點會從特定 VM 和 NIC 取得封包的下一個躍點類型和 IP 位址。 了解下一個躍點可協助您判斷是否會將流量導向到預定目的地,或者是否不會將流量傳送到其他地方。 若未正確設定路由,而讓流量導向內部部署位置或虛擬應用裝置,就可能會導致連線問題。 下一個躍點也會傳回與下一個躍點相關聯的路由表。 如果路由定義為使用者定義的路由,便會傳回該路由。 否則,下一個躍點會傳回 System Route

有效安全性規則

網路安全性群組 (NSG) 會根據封包的來源與目的地 IP 位址和連接埠號碼進行篩選。 多個 NSG 可以套用至 Azure 虛擬網路上的 IaaS 資源。 考量跨資源的所有 NSG 套用的所有規則,有效安全性規則工具即可讓您確定可能會拒絕或允許某些流量的原因。

封包擷取

封包擷取是透過網路監看員從遠端啟動的虛擬機器擴充功能。 此功能可讓您使用作業系統工具或協力廠商公用程式,來減輕特定虛擬機器上以手動執行封包擷取的負擔。 封包擷取可以透過入口網站、PowerShell、Azure CLI 或 REST API 來觸發。 網路監看員可讓您設定擷取工作階段的篩選條件,以確保擷取您想要監視的流量。 篩選是根據 5 個 Tuple (通訊協定、本機 IP 位址、遠端 IP 位址、本機連接埠,以及遠端連接埠) 的資訊。 擷取的資料會儲存在本機磁碟或儲存體 Blob。

連線疑難排解

連線疑難排解工具會檢查來源與目的地 VM 之間的 TCP 連線能力。 您可以使用 FQDN、URI 或 IP 位址來指定目的地 VM。 如果連線成功,即會出現通訊相關資訊,包括:

  • 延遲 (毫秒)。
  • 已傳送的探查封包數目。
  • 到達目的地之完整路由中的躍點數目。

如果連線失敗,此工具會顯示關於錯誤的詳細資料。 您可能會收到下列錯誤類型:

  • CPU:連線因為高 CPU 使用量而失敗。
  • Memory:連線因為高記憶體使用量而失敗。
  • GuestFirewall:Azure 外部的防火牆封鎖了連線。
  • DNSResolution:無法解析目的地 IP 位址。
  • NetworkSecurityRule:NSG 封鎖了連線。
  • UserDefinedRoute:路由表中有錯誤的使用者路由。

VPN 疑難排解

網路監看員可提供針對閘道和連線進行疑難排解的功能。 此功能可透過入口網站、PowerShell、Azure CLI 或 REST API 來呼叫。 一經呼叫,網路監看員就會診斷閘道或連線的健康情況,然後傳回適當的結果。 此要求是長時間執行的交易。 傳回的初步結果會提供資源的整體健康情況。

下列清單會描述透過呼叫 VPN 疑難排解 API 所傳回的值:

  • startTime:疑難排解開始的時間。
  • endTime:疑難排解結束的時間。
  • 程式碼:如果有單一診斷失敗,此值為 UnHealthy
  • 結果:在連線或虛擬網路閘道上傳回的結果集合。
    • Id:錯誤類型。
    • summary:錯誤的摘要。
    • detailed:錯誤的詳細描述。
    • recommendedActions:建議要採取動作的集合。
    • actionText:描述要採取動作的文字。
    • actionUri:描述要採取動作的文件 URI。
    • actionUriText:動作文字的簡短描述。