Наблюдатель за сетями AzureWhat is Azure Network Watcher?

Наблюдатель за сетями Azure предоставляет инструменты для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure.Azure Network Watcher provides tools to monitor, diagnose, view metrics, and enable or disable logs for resources in an Azure virtual network. Служба "Наблюдатель за сетями" предназначена для мониторинга и восстановления работоспособности сети для продуктов IaaS (инфраструктура как услуга), в том числе виртуальных машин, виртуальных сетей, шлюзов приложений, подсистем балансировки нагрузки и т. д. Примечание. Она не предназначена для мониторинга продуктов PaaS или веб-аналитики и не будет работать с ними.Network Watcher is designed to monitor and repair the network health of IaaS (Infrastructure-as-a-Service) products which includes Virtual Machines, Virtual Networks, Application Gateways, Load balancers, etc. Note: It is not intended for and will not work for PaaS monitoring or Web analytics.

МониторингMonitoring

Мониторинг взаимодействия между виртуальной машиной и конечной точкойMonitor communication between a virtual machine and an endpoint

Конечной точкой может быть другая виртуальная машина, полное доменное имя (FQDN), универсальный код ресурса (URI) или адрес IPv4.Endpoints can be another virtual machine (VM), a fully qualified domain name (FQDN), a uniform resource identifier (URI), or IPv4 address. Функция Монитор подключения отслеживает взаимодействие с регулярной периодичностью и предоставляет информацию об изменениях доступности, задержки и топологии сети между виртуальной машиной и конечной точкой.The connection monitor capability monitors communication at a regular interval and informs you of reachability, latency, and network topology changes between the VM and the endpoint. Например, у вас может быть виртуальная машина веб-сервера, которая взаимодействует с виртуальной машиной сервера базы данных.For example, you might have a web server VM that communicates with a database server VM. Кто-то из вашей организации может без вашего ведома применить к виртуальной машине веб-сервера, сервера базы данных или подсети пользовательский маршрут или правило безопасности сети.Someone in your organization may, unknown to you, apply a custom route or network security rule to the web server or database server VM or subnet.

Если конечная точка становится недоступной, функция устранения неполадок с подключением проинформирует вас о причине.If an endpoint becomes unreachable, connection troubleshoot informs you of the reason. Потенциальными причинами являются проблема разрешения имен DNS, ЦП, память или брандмауэр в операционной системе виртуальной машины, тип прыжка пользовательского маршрута или правило безопасности для виртуальной машины или же подсети исходящего соединения.Potential reasons are a DNS name resolution problem, the CPU, memory, or firewall within the operating system of a VM, or the hop type of a custom route, or security rule for the VM or subnet of the outbound connection. См. дополнительные сведения о правилах безопасности и типах прыжков.Learn more about security rules and route hop types in Azure.

Монитор подключения также предоставляет сведения о минимальной, средней и максимальной задержках за период времени.Connection monitor also provides the minimum, average, and maximum latency observed over time. Изучив задержку подключения, вы обнаружите, что можете уменьшить задержку, перемещая ресурсы Azure в разные регионы Azure.After learning the latency for a connection, you may find that you're able to decrease the latency by moving your Azure resources to different Azure regions. См. дополнительные сведения об определении относительных задержек между регионами Azure и поставщиками услуг Интернета и о мониторинге взаимодействия между виртуальной машиной и конечной точкой с помощью монитора подключения.Learn more about determining relative latencies between Azure regions and internet service providers and how to monitor communication between a VM and an endpoint with connection monitor. Если вы предпочитаете проверять подключение в определенный момент времени, вместо отслеживания с течением времени, как, например, с помощью монитора подключения, используйте функцию Устранение неполадок с подключением.If you'd rather test a connection at a point in time, rather than monitor the connection over time, like you do with connection monitor, use the connection troubleshoot capability.

Монитор производительности сети — это облачное гибридное решение для сетевого мониторинга, которое позволяет отслеживать производительность сети между различными точками в сетевой инфраструктуре.Network performance monitor is a cloud-based hybrid network monitoring solution that helps you monitor network performance between various points in your network infrastructure. Это решение также помогает отслеживать сетевое подключение к конечным точкам служб и приложений, а также производительность Azure ExpressRoute.It also helps you monitor network connectivity to service and application endpoints and monitor the performance of Azure ExpressRoute. Монитор производительности сети обнаруживает проблемы сети, такие как появление "черных дыр" в трафике, ошибки маршрутизации и проблемы, которые невозможно обнаружить с помощью традиционных методов мониторинга сети.Network performance monitor detects network issues like traffic blackholing, routing errors, and issues that conventional network monitoring methods aren't able to detect. Решение создает предупреждения и уведомляет о превышении порогового значения для сетевого соединения.The solution generates alerts and notifies you when a threshold is breached for a network link. Кроте того, оно обеспечивает своевременное обнаружение проблем с производительностью сети и определяет конкретный сегмент сети или сетевое устройство как источник проблемы.It also ensures timely detection of network performance issues and localizes the source of the problem to a particular network segment or device. См. дополнительные сведения о Мониторе производительности сети.Learn more about network performance monitor.

Просмотр ресурсов в виртуальной сети и их связейView resources in a virtual network and their relationships

По мере добавления ресурсов в виртуальную сеть может быть трудно определить, какие ресурсы находятся в виртуальной сети и как они связаны друг с другом.As resources are added to a virtual network, it can become difficult to understand what resources are in a virtual network and how they relate to each other. Функция топологии позволяет создавать визуальную диаграмму ресурсов в виртуальной сети и связей между ними.The topology capability enables you to generate a visual diagram of the resources in a virtual network, and the relationships between the resources. На следующем рисунке представлен пример диаграммы топологии для виртуальной сети с тремя подсетями, двумя виртуальными машинами, сетевыми интерфейсами, общедоступными IP-адресами, группами безопасности сети, таблицами маршрутов и связями между ресурсами.The following picture shows an example topology diagram for a virtual network that has three subnets, two VMs, network interfaces, public IP addresses, network security groups, route tables, and the relationships between the resources:

Представление топологии

Вы можете загрузить изменяемую версию изображения в формате SVG.You can download an editable version of the picture in svg format. См. дополнительные сведения о представлении топологии.Learn more about topology view.

ДиагностикаDiagnostics

Диагностика проблем с фильтрацией входящего или исходящего трафика виртуальной машиныDiagnose network traffic filtering problems to or from a VM

При развертывании виртуальной машины Azure применяет к ней несколько правил безопасности по умолчанию, которые разрешают или запрещают входящий или исходящий трафик виртуальной машины.When you deploy a VM, Azure applies several default security rules to the VM that allow or deny traffic to or from the VM. Вы можете переопределить правила по умолчанию Azure или создать дополнительные правила.You might override Azure's default rules, or create additional rules. В какой-то момент виртуальная машина может перестать взаимодействовать с другими ресурсами из-за правила безопасности.At some point, a VM may become unable to communicate with other resources, because of a security rule. Функция проверки IP-потока позволяет указать IPv4-адрес источника и получателя, порт, протокол (TCP или UDP) и направление трафика (входящий или исходящий).The IP flow verify capability enables you to specify a source and destination IPv4 address, port, protocol (TCP or UDP), and traffic direction (inbound or outbound). Затем эта функция проверяет взаимодействие и информирует вас о том, установлено ли подключение.IP flow verify then tests the communication and informs you if the connection succeeds or fails. Если происходит сбой подключения, проверка IP-потока сообщает вам, какое из правил безопасности разрешило или запретило взаимодействие. Таким образом вы сможете решить проблему.If the connection fails, IP flow verify tells you which security rule allowed or denied the communication, so that you can resolve the problem. Получите дополнительные сведения о проверке IP-потока, выполнив задачи в руководстве по диагностике проблем фильтрации для трафика виртуальных машин.Learn more about IP flow verify by completing the Diagnose a virtual machine network traffic filter problem tutorial.

Диагностика проблем сетевой маршрутизации на виртуальной машинеDiagnose network routing problems from a VM

Когда вы создаете виртуальную сеть, Azure создает несколько исходящих маршрутов по умолчанию для трафика.When you create a virtual network, Azure creates several default outbound routes for network traffic. Исходящий трафик из всех ресурсов, таких как виртуальные машины, развернутые в виртуальной сети, направляется на основе маршрутов Azure по умолчанию.The outbound traffic from all resources, such as VMs, deployed in a virtual network, are routed based on Azure's default routes. Вы можете переопределить маршруты Azure по умолчанию или создать дополнительные маршруты.You might override Azure's default routes, or create additional routes. Вы можете обнаружить, что виртуальная машина больше не может взаимодействовать с другими ресурсами из-за определенного маршрута.You may find that a VM can no longer communicate with other resources because of a specific route. Функция Следующий прыжок позволяет указать IPv4-адрес источника и получателя.The next hop capability enables you to specify a source and destination IPv4 address. Затем следующий прыжок проверяет взаимодействие и сообщает вам, какой тип следующего прыжка используется для маршрутизации трафика.Next hop then tests the communication and informs you what type of next hop is used to route the traffic. Затем вы можете удалить, изменить или добавить маршрут, чтобы решить проблему маршрутизации.You can then remove, change, or add a route, to resolve a routing problem. См. дополнительные сведения о функции следующего прыжка.Learn more about the next hop capability.

Диагностика исходящих подключений виртуальной машиныDiagnose outbound connections from a VM

Функция устранения неполадок с подключением позволяет проверить подключение между виртуальной машиной и другой виртуальной машиной, полным доменным именем, URI или IPv4-адресом.The connection troubleshoot capability enables you to test a connection between a VM and another VM, an FQDN, a URI, or an IPv4 address. Тест возвращает информацию аналогичную возвращаемой при использовании функции Монитор подключения, но проверяет подключение в определенный момент времени, а не контролирует его с течением времени, как это делает монитор подключения.The test returns similar information returned when using the connection monitor capability, but tests the connection at a point in time, rather than monitoring it over time, as connection monitor does. См. дополнительные сведения об использовании функции устранения проблемы с подключениями.Learn more about how to troubleshoot connections using connection-troubleshoot.

Запись пакетов, направляющихся в виртуальную машину и из нееCapture packets to and from a VM

Дополнительные параметры фильтрации и элементы управления, такие как возможность установить ограничения времени и размера, обеспечивают гибкость в работе.Advanced filtering options and fine-tuned controls, such as the ability to set time and size limitations, provide versatility. Запись можно сохранить в службе хранилища Azure, на диске виртуальной машины или же в обоих расположениях.The capture can be stored in Azure Storage, on the VM's disk, or both. Затем вы можете проанализировать файл записи с помощью нескольких стандартных инструментов анализа записи сетевого трафика.You can then analyze the capture file using several standard network capture analysis tools. См. дополнительные сведения о записи пакетов.Learn more about packet capture.

Диагностика проблем со шлюзом и подключениями виртуальной сети AzureDiagnose problems with an Azure Virtual network gateway and connections

Шлюзы виртуальной сети обеспечивают связь между локальными ресурсами и виртуальными сетями Azure.Virtual network gateways provide connectivity between on-premises resources and Azure virtual networks. Мониторинг шлюзов и их подключений крайне важен для обеспечения бесперебойной связи.Monitoring gateways and their connections are critical to ensuring communication is not broken. Функция Диагностика VPN позволяет выполнять диагностику шлюзов и подключений.The VPN diagnostics capability provides the ability to diagnose gateways and connections. Диагностика VPN проверяет работоспособность шлюза или подключения шлюза и информирует вас о том, доступны ли шлюзы и их подключения.VPN diagnostics diagnoses the health of the gateway, or gateway connection, and informs you whether a gateway and gateway connections, are available. Если шлюз или подключения недоступны, диагностика VPN сообщает вам причину, чтобы вы могли решить проблему.If the gateway or connection is not available, VPN diagnostics tells you why, so you can resolve the problem. Получите дополнительные сведения о диагностике VPN, выполнив задачи в этом руководстве.Learn more about VPN diagnostics by completing the Diagnose a communication problem between networks tutorial.

Определение относительных задержек между регионами Azure и поставщиками услуг ИнтернетаDetermine relative latencies between Azure regions and internet service providers

Вы можете отправить в Наблюдатель за сетями запрос на получение информации о задержках между регионами Azure и поставщиками услуг Интернета.You can query Network Watcher for latency information between Azure regions and across internet service providers. Если вам известны задержки между регионами Azure и поставщиками услуг Интернета, вы можете развернуть ресурсы Azure таким образом, чтобы оптимизировать время отклика сети.When you know latencies between Azure regions and across Internet service providers, you can deploy Azure resources to optimize network response time. См. дополнительные сведения об относительных задержках.Learn more about relative latencies.

Просмотр правил безопасности для сетевого интерфейсаView security rules for a network interface

Действующие правила безопасности для сетевого интерфейса представляют собой комбинацию всех правил безопасности, применяемых к сетевому интерфейсу и подсети, в которой он находится.The effective security rules for a network interface are a combination of all security rules applied to the network interface, and the subnet the network interface is in. В представлении группы безопасности отображаются все правила безопасности, применяемые к сетевому интерфейсу и подсети, в которой он находится.The security group view capability shows you all security rules applied to the network interface, the subnet the network interface is in, and the aggregate of both. Зная, какие правила применяются к сетевому интерфейсу, вы можете добавлять, удалять или изменять правила, если они разрешают или запрещают трафик, который вы хотите изменить.With an understanding of which rules are applied to a network interface, you can add, remove, or change rules, if they're allowing or denying traffic that you want to change. См. дополнительные сведения о представлении группы безопасности.Learn more about security group view.

МетрикиMetrics

На количество сетевых ресурсов, которые вы можете создать в подписке и регионе Azure, существуют ограничения.There are limits to the number of network resources that you can create within an Azure subscription and region. Достигнув предела, вы не сможете создавать больше ресурсов в рамках подписки или региона.If you meet the limits, you're unable to create more resources within the subscription or region. Функция Ограничение на сетевую подписку предоставляет сводку количества сетевых ресурсов, развернутых в подписке и регионе, а также сведения об ограничении для ресурса.The network subscription limit capability provides a summary of how many of each network resource you have deployed in a subscription and region, and what the limit is for the resource. На следующем рисунке показаны частичные выходные данные сетевых ресурсов, развернутых в регионе "Восточная часть США", для примера подписки.The following picture shows the partial output for network resources deployed in the East US region for an example subscription:

Ограничения подписки

Эта информация полезна при планировании будущих развертываний ресурсов.The information is helpful when planning future resource deployments.

ЖурналыLogs

Анализ трафика, направляющегося в группу безопасности сети или из нееAnalyze traffic to or from a network security group

Группы безопасности сети (NSG) разрешают или запрещают входящий или исходящий трафик для сетевого интерфейса в виртуальной машине.Network security groups (NSG) allow or deny inbound or outbound traffic to a network interface in a VM. Функция Журнал потоков NSG позволяет вам регистрировать исходный и целевой IP-адрес, порт, протокол и сведения о том, был ли трафик разрешен или запрещен группой безопасности сети.The NSG flow log capability allows you to log the source and destination IP address, port, protocol, and whether traffic was allowed or denied by an NSG. Вы можете анализировать журналы с помощью различных инструментов, таких как Power BI и функция анализа трафика.You can analyze logs using a variety of tools, such as PowerBI and the traffic analytics capability. Аналитика трафика обеспечивает расширенную визуализацию данных, записанных в журналы потоков NSG.Traffic analytics provides rich visualizations of data written to NSG flow logs. На следующем рисунке содержатся сведения и визуализации, которые функция анализа трафика представляет из данных журнала потоков NSG.The following picture shows some of the information and visualizations that traffic analytics presents from NSG flow log data:

Аналитика трафика

Получите дополнительные сведения о журналах потока NSG, выполнив задачи в руководстве по ведению журнала входящего и исходящего трафика виртуальной машины и узнайте, как реализовать анализ трафика.Learn more about NSG flow logs by completing the Log network traffic to and from a virtual machine tutorial and how to implement traffic analytics.

Просмотр журналов диагностики для сетевых ресурсовView diagnostic logs for network resources

Вы можете включить ведение журнала диагностики для сетевых ресурсов Azure, таких как группы безопасности сети, общедоступные IP-адреса, подсистемы балансировки нагрузки, шлюзы виртуальной сети и шлюзы приложений.You can enable diagnostic logging for Azure networking resources such as network security groups, public IP addresses, load balancers, virtual network gateways, and application gateways. Функция Журналы диагностики предоставляет единый интерфейс для включения и отключения журналов диагностики сетевых ресурсов для любого имеющегося сетевого ресурса, который создает журнал диагностики.The Diagnostic logs capability provides a single interface to enable and disable network resource diagnostic logs for any existing network resource that generates a diagnostic log. Вы можете просматривать журналы диагностики с помощью таких инструментов, как Microsoft Power BI и журналы Azure Monitor.You can view diagnostic logs using tools such as Microsoft Power BI and Azure Monitor logs. Дополнительные сведения об анализе журналов диагностики сети Azure см. в статье Решения для мониторинга сетей Azure в Log Analytics.To learn more about analyzing Azure network diagnostic logs, see Azure network solutions in Azure Monitor logs.

Автоматическое включение Наблюдателя за сетямиNetwork Watcher automatic enablement

При создании или обновлении виртуальной сети в подписке Наблюдатель за сетями включается автоматически в регионе, где расположена ваша виртуальная сеть.When you create or update a virtual network in your subscription, Network Watcher will be enabled automatically in your Virtual Network's region. Автоматическое включение Наблюдателя за сетями не влияет на ваши ресурсы, и за него не взимается дополнительная плата.There is no impact to your resources or associated charge for automatically enabling Network Watcher. Дополнительные сведения см. в статье Создание экземпляра Наблюдателя за сетями Azure.For more information, see Network Watcher create.

Дополнительная информацияNext steps

Теперь вы получили представление о Наблюдателе за сетями.You now have an overview of Azure Network Watcher. Чтобы приступить к использованию Наблюдателя за сетями, выполните диагностику распространенных проблем исходящего и входящего обмена данными для виртуальной машины с помощью проверки IP-потока.To get started using Network Watcher, diagnose a common communication problem to and from a virtual machine using IP flow verify. Инструкции см. в кратком руководстве по диагностике проблемы с фильтрацией трафика виртуальной машины.To learn how, see the Diagnose a virtual machine network traffic filter problem quickstart.