Capture o tráfego de rede com o observador de rede
Ao planejar a migração da Contoso para o Microsoft Azure, você continua a avaliar os recursos de segurança de rede que gerenciam o tráfego de rede. Para coletar dados sobre o tráfego de rede da empresa, implemente o Azure Network Watcher.
O que é o Observador de Rede do Azure?
O Azure Network Watcher pode executar os seguintes serviços:
- Monitorização
- Diagnóstico
- Revisão de métricas
- Gerenciando logs
Monitorização
Monitorando a comunicação entre uma VM e um ponto de extremidade
Você pode usar o Azure Network Watcher para monitorar as comunicações entre VMs e pontos de extremidade.
Nota
Os pontos de extremidade podem ser outra VM, um FQDN, um URI ou um endereço IPv4.
O Azure Network Watcher usa seu recurso de monitor de conexão para executar esse monitoramento. A capacidade do monitor de conexão monitora a comunicação em um intervalo regular e notifica sobre as ações na tabela a seguir.
| Notificação | Explicação |
|---|---|
| Acessibilidade | Se um ponto de extremidade não estiver acessível, a solução de problemas de conexão informará o motivo. As possíveis razões incluem: um problema de resolução de nomes do Sistema de Nomes de Domínio (DNS); a CPU, a memória ou o firewall dentro do sistema operacional (SO) de uma VM; o tipo de salto de uma rota personalizada; ou uma regra de segurança para a VM ou sub-rede da conexão de saída. |
| Latência | O monitor de conexão também fornece a latência mínima, média e máxima registrada ao longo do tempo. Depois que o monitor de conexão tiver aprendido a latência de uma conexão, você poderá descobrir que pode diminuir a latência movendo seus recursos do Azure para diferentes regiões do Azure. |
| Alterações na topologia de rede | Uma alteração de topologia de rede pode ocorrer quando você tem uma VM de servidor Web que se comunica com uma VM de servidor de banco de dados e outro administrador em sua organização aplica uma regra de segurança de rede ao servidor Web sem o seu conhecimento. |
Para saber mais sobre o monitor de conexão, consulte Tutorial: Monitorar a comunicação de rede entre duas VMs usando o portal do Azure.
O monitor de desempenho de rede é uma solução de monitoramento de rede híbrida baseada em nuvem que pode ajudá-lo a monitorar o desempenho da rede entre vários pontos da infraestrutura de rede. Ele também pode ajudá-lo a monitorar a conectividade de rede para pontos de extremidade de serviço e aplicativo e monitorar o desempenho da Rota Expressa do Azure.
Monitor de desempenho de rede:
- Deteta problemas de rede que você não pode detetar com métodos convencionais de monitoramento de rede, como erros de roteamento.
- Gera alertas e notifica quando um limite de link de rede é excedido.
- Garante a deteção oportuna de problemas de desempenho de rede e localiza a origem do problema para um segmento de rede ou dispositivo específico.
Nota
Saiba mais sobre o monitor de desempenho de rede em Solução Monitor de Desempenho de Rede no Azure.
Acessando recursos em uma rede virtual
À medida que você adiciona recursos a uma VNet, pode começar a achar mais difícil entender quais recursos estão em uma VNet e como esses recursos se relacionam entre si. O recurso de topologia permite gerar um diagrama dos recursos em uma rede virtual. O diagrama também exibe as relações entre esses recursos.
Nota
Leia mais sobre a revisão de topologia em Exibir a topologia de uma VNet do Azure.
Diagnóstico
O Inspetor de Rede fornece vários recursos de diagnóstico úteis, conforme descrito na tabela a seguir.
| Requisitos de diagnóstico | Capacidade | Description |
|---|---|---|
| Diagnosticar problemas de filtragem de tráfego de rede de ou para uma VM | Capacidade de verificação de fluxo IP | Quando você implanta uma VM, o Azure aplica várias regras de segurança padrão à VM. Mais tarde, você pode criar regras adicionais ou substituir as regras padrão do Azure. Como consequência de uma alteração incorreta na regra de segurança, uma VM pode não conseguir se comunicar com outros recursos. Você pode usar o recurso de verificação de fluxo IP para ajudar a resolver esse problema. Primeiro, defina um endereço IPv4 de origem e destino, porta, protocolo — TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) — e direção do tráfego (entrada ou saída). A verificação do fluxo de IP testa a comunicação configurada e notifica se a conexão foi bem-sucedida ou não. No caso de falha nas comunicações, a verificação do fluxo de IP pode notificá-lo sobre qual regra de segurança permitiu (ou negou) a comunicação selecionada, para que você possa resolver o problema. |
| Diagnosticar problemas de encaminhamento de rede a partir de uma VM | Capacidade de próximo salto | Quando você cria uma rede virtual, o Azure cria várias rotas de saída padrão. O tráfego de saída de todos os recursos em uma rede virtual é roteado com base nas rotas padrão do Azure. Mais tarde, você pode criar rotas adicionais ou substituir as rotas padrão do Azure. Como consequência de uma alteração de rota incorreta, você pode descobrir que uma VM não pode mais se comunicar com outros recursos. A capacidade de próximo salto permite-lhe especificar um endereço IPv4 de origem e de destino. Em seguida, o próximo salto testa a comunicação e notifica que tipo de salto seguinte é usado para rotear o tráfego. Em seguida, você pode reconfigurar rotas para resolver o problema de roteamento. |
| Diagnosticar ligações de saída a partir de uma VM | Recurso de solução de problemas de conexão | O recurso de solução de problemas de conexão permite testar uma conexão entre uma VM e outros recursos, como outra VM, um FQDN, um URI (Uniform Resource Identifier) ou um endereço IPv4. O teste retorna informações semelhantes às fornecidas pelo recurso do monitor de conexão, mas executa o teste em um ponto no tempo, em vez de monitorar ao longo do tempo, como com o monitor de conexão. |
| Capturar pacotes de e para uma VM | Capacidade de captura de pacotes | A capacidade de captura de pacotes usa opções avançadas de filtragem e fornece controles ajustados, que permitem definir limitações de tempo e tamanho e, portanto, fornecer versatilidade. Você pode armazenar a captura em uma conta de Armazenamento do Azure, no disco de uma VM ou em ambos. Depois, pode analisar o ficheiro da captura com várias ferramentas de análise de captura de rede padrão. |
| Diagnosticar problemas com um gateway de rede virtual do Azure e conexões | Recurso de solução de problemas de VPN | Os gateways de rede virtual fornecem conectividade entre recursos locais e redes virtuais do Azure. O monitoramento desses gateways e suas conexões é fundamental para garantir que a comunicação não seja interrompida. O recurso de diagnóstico de VPN permite diagnosticar gateways e conexões. O diagnóstico de VPN diagnostica a integridade do gateway, ou conexão de gateway, e notifica se um gateway e conexões de gateway estão disponíveis. Se o gateway ou a conexão não estiver disponível, o diagnóstico de VPN informará o porquê para que você possa resolver o problema. |
| Determinar latências relativas entre regiões do Azure e provedores de serviços de Internet (ISPs) | Capacidade de latência relativa | Você pode consultar o Inspetor de Rede para obter informações de latência entre regiões do Azure e entre ISPs. Quando você conhece latências entre regiões do Azure e entre ISPs, pode implantar recursos do Azure para otimizar o tempo de resposta da rede. |
| Rever as regras de segurança para uma interface de rede | Regras de segurança em vigor | As regras de segurança eficazes para uma interface de rede são uma combinação de todas as regras de segurança aplicadas à interface de rede e à sub-rede em que a interface de rede se encontra. O recurso de revisão do grupo de segurança relata todas as regras de segurança aplicadas à interface de rede, à sub-rede em que a interface de rede está e à agregação de ambas. Com um entendimento de quais regras são aplicadas a uma interface de rede, você pode adicionar, remover ou alterar regras se elas estiverem permitindo ou negando o tráfego que você deseja alterar. |
Revisão de métricas
Dentro de uma assinatura e região do Azure, há limites para o número de recursos de rede que você pode criar, e você não pode criar mais recursos quando atingir esses limites. Você pode usar o recurso de limite de assinatura de rede para fornecer um resumo de quantos de cada recurso de rede você implantou em uma determinada assinatura e região. Você também pode descobrir qual é o limite para um determinado recurso. Por exemplo, na captura de tela a seguir, o recurso VirtualNetworks tem um limite de 50 e o uso exibido é dois.
Gerenciando logs
Analisar o tráfego do grupo de segurança de rede
Como você vai se lembrar, os NSGs negam ou permitem o tráfego de rede para uma interface de rede em uma VM. O recurso de log de fluxo do NSG permite capturar informações sobre esse tráfego. Em seguida, você pode analisar os logs coletados usando uma variedade de ferramentas, como o Power BI e o recurso de análise de tráfego. Você pode usar o recurso de log de fluxo NSG para capturar o seguinte:
- O endereço IP de origem
- O endereço IP de destino
- A porta IP
- O protocolo
- Se o tráfego foi negado ou permitido pelo NSG
Revisar os logs de diagnóstico de recursos de rede
A capacidade de registos de diagnóstico oferece uma interface única para ativar e desativar os registos de diagnóstico de recursos de rede para qualquer recurso de rede existente que gere um registo de diagnóstico. Você pode habilitar o log de diagnóstico para recursos de rede do Azure, incluindo:
- NSGs
- Endereços IP públicos
- Balanceadores de carga
- Gateways VNet
- Gateways de aplicação
Você pode revisar os logs de diagnóstico usando ferramentas como os logs do Power BI e do Azure Monitor.
Criar uma instância do Observador de Rede do Azure
Quando você cria ou atualiza uma VNet em sua assinatura do Azure, o Inspetor de Rede é habilitado automaticamente na região da sua VNet. Se você habilitar o Inspetor de Rede usando o portal do Azure, o nome da instância do Inspetor de Rede será definido automaticamente como NetworkWatcher_GUID, onde GUID é uma identidade exclusiva.
Nota
A instância do Inspetor de Rede é criada automaticamente em um grupo de recursos chamado NetworkWatcherRG. O grupo de recursos é criado se ainda não existir.