Anterior

Siguientes

Ejercicio: Solución de problemas de redes con las métricas y los registros de Network Watcher

Completado

En Azure Network Watcher, las métricas y los registros pueden diagnosticar problemas de configuración complejos.

Imagine que tiene dos máquinas virtuales que no se pueden comunicar. Quiere obtener toda la información posible para diagnosticar el problema.

En esta unidad, solucionará los problemas mediante las métricas y los registros de Network Watcher. Para diagnosticar el problema de conectividad entre las dos máquinas virtuales, usará los registros de flujo del grupo de seguridad de red.

Registrar el proveedor de Microsoft.Insights

Para iniciar sesión en el flujo del grupo de seguridad de red, es necesario recurrir al proveedor Microsoft.Insights. A fin de registrarse para el proveedor Microsoft.Insights, complete los pasos siguientes.

1. Inicie sesión en Azure Portal e inicie sesión en el directorio con acceso a la suscripción en la que ha creado los recursos.

2. En Azure Portal, busque la opción Suscripciones y selecciónela y, a continuación, seleccione su suscripción. Aparece el panel Suscripción.

3. En el menú suscripción, en Configuración, seleccione Proveedores de recursos. Aparece el panel Proveedores de recursos de la suscripción.

4. En la barra de filtro, escriba microsoft.insights.

5. Si el estado del proveedor microsoft.insights es No registrado, seleccione Registrar en la barra de comandos.

   

Creación de una cuenta de almacenamiento

Ahora, cree una cuenta de almacenamiento para los registros de flujos del grupo de seguridad de red.

1. En el menú de Azure Portal o en la página Inicio, seleccione Crear un recurso.

2. En el menú de recursos, seleccione Almacenamiento y, después, busque y seleccione Cuenta de almacenamiento. Aparecerá el panel Cuenta de almacenamiento.

3. Seleccione Crear. Aparece el panel Crear cuenta de almacenamiento.

4. En la pestaña Aspectos básicos, escriba los valores siguientes para cada opción.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione la suscripción.
   Resource group	Seleccione su grupo de recursos.
   Detalles de instancia
   Nombre de la cuenta de almacenamiento	Cree un nombre único.
   Region	Seleccione la misma región que la del grupo de recursos.

5. Seleccione la pestaña Siguiente: avanzado y asegúrese de que se establece el siguiente valor.

   Configuración	Value
   Blob Storage
   Nivel de acceso	Frecuente (valor predeterminado)

6. Seleccione Revisar y crear y, una vez superada la validación, seleccione Crear.

Creación de un área de trabajo de Log Analytics

Para ver los registros de flujos de NSG, usará Log Analytics.

1. En el menú de Azure Portal o en la página Inicio, busque y seleccione Áreas de trabajo de Log Analytics. Aparecerá el panel Áreas de trabajo de Log Analytics.

2. En la barra de comandos, seleccione Crear. Aparecerá el panel Crear un área de trabajo de Log Analytics.

3. En la pestaña Aspectos básicos, escriba los valores siguientes para cada opción.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione la suscripción.
   Resource group	Seleccione su grupo de recursos.
   Detalles de instancia
   Nombre	testsworkspace
   Region	Seleccione la misma región que la del grupo de recursos.

4. Seleccione Revisar y crear y, una vez que se haya superado la validación, seleccione Crear.

Habilitar los registros de flujos

Para configurar los registros de flujos, debe configurar el grupo de seguridad de red para que se conecte a la cuenta de almacenamiento y agregar análisis de tráfico para el grupo de seguridad de red.

1. En el menú de Azure Portal, seleccione Todos los recursos. Luego, seleccione el grupo de seguridad de red MyNsg.

2. En el menú MyNsg, en Supervisión, seleccione Registros de flujos de NSG. Aparece el panel MyNsg | Registro de flujos de NSG.

3. Seleccione Crear. Aparecerá el panel Create a flow log (Crear un registro de flujo).

4. En la ficha Datos básicos, seleccione o escriba los valores siguientes.

   Configuración	Value
   Detalles del proyecto
   Suscripción	Seleccione la suscripción en la lista desplegable.
   + Seleccionar recurso	En el panel Seleccionar grupo de seguridad de red, busque y seleccione MyNsg y Confirmar selección.
   Detalles de instancia
   Suscripción	Seleccione la suscripción en la lista desplegable.
   Cuentas de almacenamiento	Seleccione el nombre de la cuenta de almacenamiento única.
   Retención (días)	1

5. Seleccione Siguiente: Analytics y, a continuación, seleccione o escriba los valores siguientes.

   Configuración	Value
   Versión de los registros de flujo	versión 2
   Análisis de tráfico	Habilitar Análisis de tráfico está activado.
   Intervalo de procesamiento de Análisis de tráfico	Cada 10 minutos
   Suscripción	Seleccione la suscripción en la lista desplegable.
   Área de trabajo de Log Analytics	Seleccione testworkspace en la lista desplegable.

6. Seleccione Revisar + crear.

7. Seleccione Crear.

8. Cuando la implementación se complete, seleccione Ir al grupo de recursos.

Generación de tráfico de prueba

Ahora está listo para generar tráfico de red entre las máquinas virtuales y detectarlo en el registro de flujo.

1. En el menú de recursos, seleccione Todos los recursos y después FrontendVM.

2. En la barra de menús, seleccione Conectar, luego RDP y, después, Descargar archivo RDP. Si aparece una advertencia sobre el publicador de la conexión remota, seleccione Conectar.

3. Inicie el archivo FrontendVM.rdp y seleccione Conectar.

4. Cuando se le soliciten las credenciales, seleccione Más opciones e inicie sesión con el nombre de usuario azureuser y la contraseña que ha especificado al crear la máquina virtual.

5. Cuando se le pida, seleccione Sí para el certificado de seguridad.

6. En la sesión RDP, si se le solicita, permita que el dispositivo solo se pueda detectar si se encuentra en una red privada.

7. Abra un símbolo del sistema de PowerShell y ejecute el comando siguiente.

   Test-NetConnection 10.10.2.4 -port 80
   

Se produce un error en la prueba de conexión TCP al cabo de unos segundos.

Diagnóstico del problema

Ahora, usaremos Log Analytics para ver los registros de flujos de NSG (grupo de seguridad de red).

1. En el menú de recursos de Azure Portal, seleccione Todos los servicios, después Network Watcher y luego Network Watcher. Aparecerá el panel Network Watcher.

2. En el menú de recursos, en Registros, seleccione Análisis de tráfico. Aparece el panel Network Watcher | Análisis de tráfico.

3. En la lista desplegable Suscripciones de FlowLog, seleccione la suscripción.

4. En la lista desplegable Área de trabajo de Log Analytics, seleccione testworkspace.

5. Use las distintas vistas para diagnosticar el problema que impide la comunicación desde la máquina virtual de front-end a la de back-end.

Corrección del problema

Una regla del grupo de seguridad de red bloquea el tráfico entrante a la subred de back-end desde cualquier lugar por los puertos 80, 443 y 3389, en lugar de limitarse a bloquear el tráfico entrante desde Internet. Vamos a reconfigurar esa regla.

1. En el menú de recursos de Azure Portal, seleccione Todos los recursos y luego MyNsg en la lista.

2. En el menú MyNsg, en Configuración, seleccione Reglas de seguridad de entrada y después MyNSGRule. Aparecerá el panel MyNSGRule.

3. En la lista desplegable Origen, seleccione Etiqueta de servicio y, en la lista desplegable Etiqueta de servicio de origen, seleccione Internet.

4. En la barra de comandos de MyNSGRule, seleccione Guardar para actualizar la regla de seguridad.

Repetición de la prueba de conexión

Ahora, las conexiones en el puerto 80 deberían funcionar sin problemas.

1. En el cliente RDP, conéctese a FrontendVM. En un símbolo del sistema de PowerShell, ejecute el siguiente comando.

   Test-NetConnection 10.10.2.4 -port 80
   

La prueba de conexión debería ejecutarse correctamente.

Continuar