Hálózat hibáinak elhárítása a Network Watcher figyelési és diagnosztikai eszközeinek használatával
Az Azure Network Watcher számos eszközt tartalmaz a virtuális hálózatok és virtuális gépek figyeléséhez. A Network Watcher hatékony használatához lényeges, hogy ismerje a rendelkezésére álló lehetőségeket és az egyes eszközök rendeltetését.
A mérnöki vállalatnál segíteni szeretne az alkalmazottaknak, hogy minden hibaelhárítási feladathoz a megfelelő Network Watcher eszközt válasszák. Tisztában kell lenniük az összes elérhető lehetőséggel, és azokkal a problémákkal, amelyeket az egyes eszközök képesek megoldani.
A következőkben példahelyzetekben vizsgálhatja meg a Network Watcher eszközkategóriáit, az egyes kategóriákba tartozó eszközöket, és hogy hogyan alkalmazhatók ezek az eszközök.
Mi az a Network Watcher?
A Network Watcher egy Azure-szolgáltatás, amely olyan eszközöket tesz elérhetővé egy központi helyen, amelyekkel Azure-hálózatok állapota diagnosztizálható. A Network Watcher eszközei három kategóriába sorolhatók:
- Figyelési eszközök
- Hálózati diagnosztikai eszközök
- Forgalomnaplózási eszközök
A Network Watcher a problémák figyelésére és diagnosztizálására használható eszközöket kínál egy központban a hálózati hibák, kiugró CPU-terhelések, kapcsolódási problémák, memóriavesztések és más problémák azonosításához, mielőtt azok érinthetnék az üzletet.
A Network Watcher figyelési eszközei
A Network Watcher három monitorozási eszközt biztosít:
- Topológia
- Kapcsolatfigyelő
- Hálózati teljesítményfigyelő
Vizsgáljuk meg egyenként ezeket az eszközöket.
Mi az a Topológia eszköz?
A topológiai eszköz az Azure-beli virtuális hálózat grafikus megjelenítését generálja, amely annak erőforrásait és kapcsolatait, valamint az azok közötti összefüggéseket jeleníti meg.
Tegyük fel, hogy a munkatársai által létrehozott virtuális hálózat hibáját kell elhárítania. Ha nem vett részt a hálózatlétrehozás folyamatában, előfordulhat, hogy nem ismeri az infrastruktúra minden aspektusát. A topológiai eszközzel megjelenítheti és megismerheti az infrastruktúrát, amellyel dolgozik, mielőtt megkezdené a hibaelhárítást.
Most az Azure Portal használatával jelenítheti meg egy Azure-hálózat topológiáját. Az Azure Portalon:
Jelentkezzen be az Azure Portalra, majd keresse meg és válassza a Network Watcher lehetőséget.
A Network Watcher menü Monitorozás területén válassza a Topológia lehetőséget.
Jelöljön ki egy előfizetést, egy virtuális hálózat erőforráscsoportját, majd magát a virtuális hálózatot.
Feljegyzés
A topológia létrehozásához a Network Watcher-példánynak ugyanabban a földrajzi régióban kell lennie, mint a virtuális hálózat.
Az alábbi példa egy MyVNet nevű virtuális hálózathoz generált topológiát mutat be.
Mi az a Kapcsolatfigyelő eszköz?
A Kapcsolatfigyelő eszköz arra kínál módot, hogy ellenőrizze az Azure-erőforrások közötti kapcsolatok működését. Ezzel az eszközzel ellenőrizheti, hogy két virtuális gép tud-e kommunikálni, ha szeretné.
Ez az eszköz a források közötti késést is méri. Észleli a kapcsolatot érintő változásokat, például a hálózati konfiguráció változásait, vagy a hálózati biztonsági csoport (NGS) szabályainak módosításait. Képes rendszeres időközönként megvizsgálni a virtuális gépeket, hogy hibákat és változásokat keressen.
Probléma esetén a Kapcsolatfigyelő tudatja Önnel a probléma okát, és a javítás módját. A virtuális gépek figyelése mellett a Kapcsolatfigyelő egy IP-cím vagy egy teljes tartománynév (FQDN) vizsgálatára is alkalmas.
Mi az a Hálózati teljesítményfigyelő eszköz?
A Hálózati teljesítményfigyelő eszköz segítségével nyomon követheti és riasztást készíthet a késésről és a csomagok időbeli csökkenéseiről. Központi áttekintést nyújt a hálózatról.
Ha úgy dönt, hogy a hálózati teljesítményfigyelővel figyeli a hibrid kapcsolatokat, ellenőrizze, hogy a társított munkaterület támogatott régióban van-e.
A Hálózati teljesítményfigyelőt két végpont közötti kapcsolat figyelésére is felhasználhatja:
- Ágak és adatközpontok között
- Virtuális hálózatok között
- A helyszíni és a felhő közötti kapcsolatokhoz
- Azure ExpressRoute-kapcsolatcsoportok esetén
A Network Watcher diagnosztikai eszközei
A Network Watcher a következő diagnosztikai eszközöket tartalmazza:
- IP-forgalomellenőrző
- NSG-diagnosztika
- Következő ugrás
- Érvényes biztonsági szabályok
- Csomagrögzítő
- Kapcsolati hibaelhárító
- VPN-hibaelhárító
Vizsgáljuk meg az egyes eszközöket, és hogy hogyan segíthetnek azok a problémák megoldásában.
Mi az az IP-forgalomellenőrző eszköz?
Az IP-forgalomellenőrző eszköz azt jelzi, hogy a csomagok engedélyezettek vagy megtagadhatók-e egy adott virtuális gép esetében. Ha egy hálózati biztonsági csoport tagad egy csomagot, az eszköz megadja a csoport nevét, hogy megoldhassa a problémát.
Ez az eszköz ötrekordos csomagparaméter-ellenőrzési módszerrel észleli, hogy egy virtuális gépen engedélyezve vagy tiltva vannak-e a bejövő vagy kimenő csomagok. Az eszközön belül meg kell adnia egy helyi és távoli portot, a protokollt (TCP vagy UDP), a helyi IP-címet, a távoli IP-címet, a virtuális gépet és a virtuális gép hálózati adapterét.
Mi az az NSG diagnosztikai eszköz?
A hálózati biztonsági csoport (NSG) diagnosztikai eszköze részletes információkat nyújt a hálózat biztonsági konfigurációjának megértéséhez és hibakereséséhez.
Egy adott forrás-cél pár esetében az eszköz megjeleníti a bejárandó NSG-ket, az egyes NSG-kben alkalmazott szabályokat, valamint a folyamat végleges engedélyezési/megtagadási állapotát. Az Azure-beli virtuális hálózatban engedélyezett vagy elutasított forgalom meghatározásával meghatározhatja, hogy az NSG-szabályok megfelelően vannak-e konfigurálva.
Mi az a következő ugrás eszköz?
Amikor egy virtuális gép csomagot küld egy célhelyre, az útvonal több ugrásból is állhat. Ha például a cél egy másik virtuális hálózatban lévő virtuális gép, a következő ugrás a csomagot a cél virtuális géphez átirányító virtuális hálózati átjáró lesz.
A következő ugrás eszközzel megállapítható, hogyan jut el a csomag egy virtuális gépről a céljáig. Meg kell adnia a forrás virtuális gépet, a forrás hálózati adaptert, a forrás IP-címét és a cél IP-címét. Az eszköz ezután meghatározza a csomag útvonalát. Ezzel az eszközzel a helytelen útvonaltáblák által okozott hibákat diagnosztizálhatja.
Mi az érvényes biztonsági szabályok eszköz?
A Network Watcher érvényes biztonsági szabályok eszköze a hálózati adapterre vonatkozó összes érvényes NSG-szabályt jeleníti meg.
A hálózati biztonsági csoportok (NSG-k) rendeltetése az Azure-hálózatokban a csomagok szűrése azok forrás- és cél-IP-címe és a portszámok alapján. Az NSG-k nélkülözhetetlenek a biztonsághoz, hiszen segítenek a virtuális gépek felhasználók által elérhető felületének szigorú szabályozásában. Ügyeljen rá azonban, hogy egy tévesen konfigurált NSG-szabály a szabályos kommunikációt is megakadályozhatja. Emiatt az NSG-k gyakran okoznak hálózati problémákat.
Ha például két virtuális gép nem tud kommunikálni, mert egy NSG-szabály blokkolja azokat, nem feltétlenül egyszerű diagnosztizálni, hogy melyik szabály okozza a problémát. A Network Watcher érvényes biztonsági szabályok eszközének használatával megjelenítheti az összes érvényesülő NSG-szabályt, így könnyebben megállapíthatja, hogy melyik szabály okozza az adott problémát.
Az eszköz használatához válassza ki a virtuális gépet és annak hálózati adapterét. Az eszköz az erre az adapterre vonatkozó összes NSG-szabályt megjeleníti. A lista áttekintésével könnyen felismerhető a tiltó szabály.
Az eszközt arra is használhatja, hogy feltárja a virtuális gép szükségtelenül nyitott portok által okozott sebezhetőségeit.
Mi az a csomagrögzítő eszköz?
A csomagrögzítési eszköz rögzíti a virtuális gépre és onnan küldött összes csomagot. Ha engedélyezve van, áttekintheti a rögzítést, és statisztikákat gyűjthet a hálózati forgalomról, vagy diagnosztizálhatja az anomáliákat, például egy privát virtuális hálózat váratlan hálózati forgalmát.
A csomagrögzítő eszköz a Network Watcheren keresztül távolról indított virtuálisgép-bővítmény. A csomagrögzítési munkamenet indításakor automatikusan elindul.
Ne feledje, hogy a csomagrögzítési munkamenetek száma régiónként korlátozott. Az alapértelmezett használati korlát régiónként 100 csomagrögzítési munkamenet, a teljes korlát pedig 10 000. Ezek a korlátok csak a munkamenetek számára vonatkoznak, nem a mentett rögzítésekre. A rögzített csomagokat Azure-tárolóba, vagy helyileg a számítógépre mentheti.
A csomagrögzítés függősége a virtuális gépre telepített Network Watcher ügynök virtuális gépi bővítmény. A bővítmény Windows és Linux rendszerű virtuális gépeken való telepítését részletesen ismertető utasításokra mutató hivatkozásokért tekintse meg a modul végén található "További információ" című szakaszt.
Mi az a kapcsolati hibaelhárító eszköz?
A kapcsolati hibaelhárító eszköz a forrás és a cél virtuális gép közötti TCP-kapcsolat ellenőrzésére használható. A cél virtuális gépet FQDN, URI vagy IP-cím használatával is megadhatja.
Ha a kapcsolat sikeres, megjelenik a kommunikációra vonatkozó információ, beleértve a következőket:
- Az ezredmásodpercekben megadott késés.
- Az elküldött próbacsomagok száma.
- Az ugrások száma a célig tartó teljes útvonalon.
Ha a kapcsolódás sikertelen, a hiba részletei jelennek meg. A hiba típusa lehet többek között a következők egyike:
- CPU. A kapcsolat a magas processzorterhelés miatt hiúsult meg.
- Memory. A kapcsolat a memória magas kihasználtsága miatt hiúsult meg.
- GuestFirewall. A kapcsolatot egy tűzfal blokkolta az Azure-on kívül.
- DNSResolution. A cél IP-címét nem sikerült feloldani.
- NetworkSecurityRule. A kapcsolatot egy hálózati biztonsági csoportszabály blokkolta.
- UserDefinedRoute. Helytelen felhasználói útvonal van az útvonaltáblában.
Mi az a VPN-hibaelhárító eszköz?
A VPN-hibaelhárító eszközt a virtuális hálózati átjárókapcsolat problémáinak diagnosztizálására használhatja. Ez az eszköz egy virtuális hálózati átjárókapcsolaton futtat diagnosztikát, és állapotdiagnózist ad vissza.
A VPN hibaelhárítási eszközének indításakor a Network Watcher diagnosztizálja az átjáró vagy a kapcsolat állapotát, és visszaadja a megfelelő eredményeket. A kérés olyan tranzakció, amely hosszú ideig fut.
Az alábbi táblázat a különböző hibatípusokra mutat be példákat.
| Hibatípus | Ok | Napló |
|---|---|---|
| NoFault | Nem észlelhető hiba. | Igen |
| GatewayNotFound | Nem található átjáró, vagy nincs üzembe helyezve. | Nem |
| PlannedMaintenance | Egy átjárópéldány karbantartása van folyamatban. | Nem |
| UserDrivenUpdate | Felhasználói módosítás van folyamatban. A módosítás lehet például átméretezési művelet. | Nem |
| VipUnResponsive | Az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. | Nem |
| PlatformInActive | A platformmal kapcsolatos probléma áll fenn. | Nem |
Forgalomnaplózási eszközök
A Network Watcher a következő két forgalmi eszközt tartalmazza:
- Forgalmi naplók
- Forgalomelemzés
Mi az a folyamatnapló-eszköz?
A folyamatnaplók segítségével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A folyamatnaplók az Azure Storage-ban tárolják az adatokat. A rendszer elküldi a folyamatadatokat az Azure Storage-ba, ahonnan elérheti és exportálhatja azokat bármilyen vizualizációs eszközre, biztonsági információra és eseménykezelési (SIEM) megoldásra, vagy a behatolásészlelési rendszerre (IDS). Ezekkel az adatokkal elemezheti a forgalmi mintákat, és elháríthatja a csatlakozási problémákat.
A folyamatnaplók használati esetei két típusba sorolhatók. Hálózatfigyelés és -használat monitorozása és optimalizálása.
Hálózatfigyelés
- Ismeretlen vagy nem kívánt forgalom azonosítása.
- A forgalomszintek és a sávszélesség-felhasználás monitorozása.
- Szűrje a folyamatnaplókat IP-cím és port szerint az alkalmazás viselkedésének megértéséhez.
- Folyamatnaplók exportálása tetszőleges elemzési és vizualizációs eszközökre a figyelési irányítópultok beállításához.
Használat monitorozása és optimalizálása
- Azonosítsa a hálózat legfontosabb beszédfelelőseit.
- GeoIP-adatokkal kombinálva azonosíthatja a régiók közötti forgalmat.
- A kapacitás-előrejelzés forgalomnövekedésének ismertetése.
- Adatok használatával távolítsa el a túlságosan korlátozó forgalmi szabályokat.
Mi az a forgalomelemzési eszköz?
A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A traffic analytics az Azure Network Watcher NSG-folyamatnaplóit elemzi, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:
- Az Azure-előfizetések hálózati tevékenységeinek megjelenítése.
- Azonosítsa a gyakori pontokat.
- Biztonságossá teheti a hálózatot a fenyegetések azonosítására szolgáló információk használatával.
- Optimalizálhatja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából az Azure-régiók és az internet forgalmi mintáinak megismerésével.
- Rögzítse a hálózati helytelen konfigurációkat, amelyek sikertelen kapcsolatokhoz vezethetnek a hálózaton.
Példák az Azure Network Watcher használatára
Vizsgáljunk meg néhány olyan helyzetet, amelyekben az Azure Network Watcher figyelési és diagnosztikai eszközeivel vizsgálhat ki és javíthat hibákat.
Egy egyetlen virtuális gépet tartalmazó hálózat kapcsolati hibái
Munkatársai egy virtuális gépet helyeztek üzembe az Azure-ban, és hálózati kapcsolati problémákat tapasztalnak. Munkatársai RDP protokoll használatával próbálnak a virtuális géphez kapcsolódni, de ez nem sikerül.
A hiba elhárításához használja az IP-forgalomellenőrző eszközt. Ennek az eszköznek a kapcsolat állapotának ellenőrzéséhez megadhatja a helyi és a távoli portot, a protokollt (TCP/UDP), a helyi IP-címet és a távoli IP-címet. Megadhatja a kapcsolat irányát is (bejövő vagy kimenő). Az IP-forgalomellenőrzés logikai tesztet futtat a hálózatban érvényben lévő szabályokon.
Ebben az esetben használja az IP-forgalomellenőrzőt a virtuális gépek IP-címe és a 3389 RDP-port megadásával. Ezután adja meg a távoli virtuális gép IP-címét és portját. Válassza ki a TCP protokollt, majd válassza az Ellenőrzés lehetőséget.
Tegyük fel, hogy az eredmény szerint a hozzáférés a DefaultInboundDenyAll NSG-szabály miatt lett megtagadva. A megoldás az NSG-szabály módosítása.
Egy VPN-kapcsolat nem működik
Munkatársai virtuális gépeket helyeztek üzembe két virtuális hálózatban, és ezek nem tudnak egymáshoz kapcsolódni.
VPN-hibák elhárításához használja az Azure VPN-hibaelhárítót. Ez az eszköz egy virtuális hálózati átjárókapcsolaton futtat diagnosztikát, és állapotdiagnosztikát ad vissza. Ezt az eszközt az Azure Portalon, a PowerShellben vagy az Azure CLI-ben futtathatja.
Az eszköz a futtatásakor ellenőrzi az átjárón a gyakori problémákat, és az állapotdiagnózist adja vissza. További információkhoz juthat a naplófájl megtekintésével. A diagnózis megmutatja, hogy működik-e a VPN-kapcsolat. Ha a VPN-kapcsolat nem működik, a VPN-hibaelhárító javaslatot tesz a probléma megoldására.
Tegyük fel, hogy a diagnózis a kulcsok eltérését jelzi. A probléma megoldásához konfigurálja újra a távoli átjárót, hogy a két végpontnál lévő kulcsok biztosan egyezzenek. Az előmegosztott kulcsokban meg vannak különböztetve a kis- és nagybetűk.
A kijelölt célportokon egy kiszolgáló sem figyel
Munkatársai virtuális gépeket helyeztek üzembe egy virtuális hálózaton belül, és ezek nem tudnak egymáshoz kapcsolódni.
Ennek a problémának a megoldásához használja a kapcsolati hibaelhárító eszközt. Ebben az eszközben a helyi és a távoli virtuális gépet kell megadnia. A mintavétel beállításánál kiválaszthat egy adott portot.
Tegyük fel, hogy az eredmények azt mutatják, hogy a távoli kiszolgáló nem érhető el, valamint a "Forgalom blokkolva van a virtuális gép tűzfalának konfigurációja miatt". A távoli kiszolgálón tiltsa le a tűzfalat, majd tesztelje újra a kapcsolatot.
Tegyük fel, hogy a kiszolgáló így már elérhető. Ez az eredmény azt jelzi, hogy a távoli kiszolgálón található tűzfalszabályok a probléma, és a kapcsolat engedélyezéséhez ki kell javítani.