Ağ İzleyicisi izleme ve tanılama araçlarını kullanarak bir ağda sorun giderme
Azure Ağ İzleyicisi, sanal ağlarınızı ve sanal makinelerinizi (VM) izlemek için kullanabileceğiniz çeşitli araçlar içerir. Ağ İzleyicisi’ni etkili bir şekilde kullanmak için tüm kullanılabilir seçenekleri ve her aracın amacını anlamak önemlidir.
Mühendislik şirketinizde, personelinizin her sorun giderme görevi için doğru Ağ İzleyicisi aracını seçmesine yardımcı olmak istiyorsunuz. Personelinizin mevcut olan tüm seçenekleri ve her bir aracın çözebileceği sorunların türlerini anlaması gerekiyor.
Burada Ağ İzleyicisi araç kategorilerine, her bir kategorideki araçlara ve her bir aracın nasıl uygulandığına kullanım örnekleri ile birlikte bakacaksınız.
Ağ İzleyicisi nedir?
Ağ İzleyicisi, Azure ağlarının durumunu tanılamak amacıyla araçları merkezi bir yerde birleştiren bir Azure hizmetidir. Ağ İzleyicisi araçları üç kategoriye ayrılır:
- İzleme araçları
- Ağ tanılama araçları
- Trafik günlüğü araçları
Sorunları izlemeye ve tanılamaya yönelik araçlar içeren Ağ İzleyicisi size ağ sorunlarını, ani CPU kullanımı artışlarını, bağlantı sorunlarını, bellek sızıntılarını ve diğer sorunları işinizi etkilemeden önce tanımlamayı sağlayan bir merkez sunar.
Ağ İzleyicisi izleme araçları
Ağ İzleyicisi üç izleme aracı sağlar:
- Topoloji
- Bağlantı İzleyicisi
- Ağ Performansı İzleyicisi
Bu araçların her birine sırayla göz atalım.
Topoloji aracı nedir?
Topoloji aracı; Azure sanal ağı, kaynakları, aralarındaki bağlantılar ve birbirleriyle ilişkilerinin grafiksel bir görüntüsünü oluşturur.
İş arkadaşlarınız tarafından oluşturulan bir sanal ağda sorun gidermeniz gerektiğini varsayalım. Ağ oluşturma işlemine katılmadığınız sürece altyapının tüm yönlerini bilmiyor olabilirsiniz. Sorun gidermeye başlamadan önce, ilgilendiğiniz altyapıyı görselleştirmek ve anlamak için topoloji aracını kullanabilirsiniz.
Bir Azure ağının topolojisini görüntülemek için Azure portalını kullanırsınız. Azure portalında:
Azure portalında oturum açın ve Ağ İzleyicisi araması yapın ve seçin.
Ağ İzleyicisi menüsündeki İzleme'nin altında Topoloji'yi seçin.
Bir aboneliği, bir sanal ağın kaynak grubunu ve ardından sanal ağın kendisini seçin.
Not
Topolojiyi oluşturmak için sanal ağ ile aynı coğrafi bölgede Ağ İzleyicisi örneğine ihtiyacınız vardır.
MyVNet adlı bir sanal ağ için oluşturulmuş topoloji örneği aşağıda verilmiştir.
Bağlantı İzleyicisi aracı nedir?
Bağlantı İzleyicisi aracı, Azure kaynakları arasındaki bağlantıların çalışıp çalışmadığını denetlemenin bir yolunu sağlar. bu aracı, isterseniz iki VM'nin iletişim kurabildiğini doğrulamak için kullanın.
Bu araç kaynaklar arasındaki gecikmeyi de ölçer. Ağ yapılandırması ya da ağ güvenlik grubu (NSG) kuralları üzerinde yapılan değişiklikler gibi bağlantıyı etkileyecek değişiklikleri yakalayabilir. Hatalara veya değişikliklere bakmak için VM’leri düzenli aralıklarla sorgulayabilir.
Bir sorun varsa, Bağlantı İzleyicisi bu sorunun neden oluştuğunu ve nasıl düzeltilebileceğini söyler. Bağlantı İzleyicisi, VM’leri izlemenin yanı sıra bir IP adresini veya tam etki alanı adını (FQDN) inceleyebilir.
Ağ Performansı İzleyicisi aracı nedir?
Ağ Performans İzleyicisi aracı, gecikme süresi ve zaman içindeki paket düşüşlerini izlemenize ve uyarı göndermenize olanak tanır. Ağınıza yönelik merkezi bir görünüm sağlar.
Ağ Performans İzleyicisi kullanarak karma bağlantılarınızı izlemeye karar verdiğinizde, ilişkili çalışma alanının desteklenen bir bölgede olup olmadığını denetleyin.
Uç noktadan uç noktaya bağlantıyı izlemek için Ağ Performansı İzleyicisi kullanabilirsiniz:
- Dallar ve veri merkezleri arasında
- Sanal ağlar arasında
- Şirket içi ile bulut arasındaki bağlantılarınız için
- Azure ExpressRoute bağlantı hatları için
Ağ İzleyicisi tanılama araçları
Ağ İzleyicisi aşağıdaki tanılama araçlarını içerir:
- IP akışı doğrulama
- NSG tanılaması
- Sonraki atlama
- Geçerli güvenlik kuralları
- Paket yakalama
- Bağlantı sorunlarını giderme
- VPN sorun çözümü
Şimdi her aracı inceleyelim ve sorunları çözmenize nasıl yardımcı olabileceklerini anlayalım.
IP akışı doğrulama aracı nedir?
IP akışı doğrulama aracı, belirli bir sanal makine için paketlere izin verilip verilmeyeceğini belirtir. Bir ağ güvenlik grubu paketi reddederse, sorunu çözebilmeniz için araç size bu grubun adını söyler.
Bu araç, gelen veya giden paketlere bir VM’de izin verildiğini veya reddedildiğini algılamak için 5 tanımlama grubu paketi parametre tabanlı doğrulama mekanizması kullanır. Araçta, yerel ve uzak bir bağlantı noktası, protokol (TCP veya UDP), yerel IP, uzak IP, VM ve VM'nin ağ bağdaştırıcısını belirtirsiniz.
NSG tanılama aracı nedir?
Ağ Güvenlik Grubu (NSG) Tanılama aracı, ağınızın güvenlik yapılandırmasını anlamanıza ve hatalarını ayıklamanıza yardımcı olacak ayrıntılı bilgiler sağlar.
Belirli bir kaynak hedef çifti için araç size geçirilecek NSG'leri, her NSG'ye uygulanacak kuralları ve akışın son izin verme/reddetme durumunu gösterir. Azure Sanal Ağ hangi trafik akışlarına izin verileceğini veya reddedileceğini anlayarak NSG kurallarınızın doğru yapılandırılıp yapılandırılmadığını belirleyebilirsiniz.
Sonraki atlama aracı nedir?
Bir VM hedefe paket gönderdiğinde, yolculuk sırasında birden fazla atlama olabilir. Örneğin, hedef farklı bir sanal ağdaki bir VM ise sonraki atlama, paketi hedef VM'ye yönlendiren sanal ağ geçidinde olabilir.
Sonraki atlama aracıyla bir paketin VM’den herhangi bir hedefe nasıl ulaştığını belirleyebilirsiniz. Kaynak VM’yi, kaynak ağ bağdaştırıcısını, kaynak IP adresini ve hedef IP adresini belirtirsiniz. Araç daha sonra paketin yolunu belirler. Hatalı yönlendirme tablolarının neden olduğu sorunları tanılamak için bu aracı kullanabilirsiniz.
Geçerli güvenlik kuralları aracı nedir?
Ağ İzleyicisi içindeki geçerli güvenlik kuralları aracı, bir ağ arabirimine uygulanan tüm etkin NSG kurallarını gösterir.
Ağ güvenlik grupları (NSG), paketleri kaynak ve IP adresleri ile bağlantı noktası numaralarına göre filtrelemek için Azure ağlarında kullanılır. NSG’ler, kullanıcıların erişebildiği VM’lerin yüzey alanını dikkatlice denetlemenize yardımcı oldukları için güvenlik açısından büyük önem taşırlar. Buna karşılık, yanlış yapılandırılmış bir NSG kuralının yasal iletişimi engelleyebileceğini aklınızda bulundurun. Sonuç olarak, NSG’ler sıklıkla ağ sorunlarının kaynağı olabilir.
Örneğin, bir NSG kuralı tarafından engellendiği için iki VM iletişim kuramıyorsa, soruna neden olan kuralı belirlemek zor olabilir. Yürürlükteki tüm NSG kurallarını görüntülemek ve belirli bir soruna hangi kuralın neden olduğunu saptamak için Ağ İzleyicisi içindeki geçerli güvenlik kuralları aracını kullanacaksınız.
Aracı kullanmak için bir VM’yi ve ağ bağdaştırıcısını seçin. Araç, bu bağdaştırıcıya uygulanan tüm NSG kurallarını gösterir. Bu listeyi görüntüleyerek engelleyen kuralı kolayca belirleyebilirsiniz.
Aracı, sanal makinenizin gereksiz bir şekilde açık olan bağlantı noktalarından kaynaklanan güvenlik açıklarını belirlemek için de kullanabilirsiniz.
Paket yakalama aracı nedir?
Paket yakalama aracı, vm'ye gönderilen ve vm'den gönderilen tüm paketleri kaydeder. Etkinleştirildiğinde, ağ trafiği hakkında istatistik toplamak veya özel bir sanal ağdaki beklenmeyen ağ trafiği gibi anomalileri tanılamak için yakalamayı gözden geçirebilirsiniz.
Paket yakalama aracı, Ağ İzleyicisi aracılığıyla uzaktan başlatılan bir sanal makine uzantısıdır. Paket yakalama oturumu başlattığınızda otomatik olarak başlatılır.
Bölge başına izin verilen paket yakalama oturumlarının sayısıyla ilgili bir sınır olduğunu unutmayın. Varsayılan kullanım sınırı bölge başına 100 paket yakalama oturumudur ve genel sınır 10.000'dir. Bu sınırlar, kayıtlı yakalamalar değil yalnızca oturum sayısı için geçerlidir. Yakalanan paketleri Azure Depolama’da veya yerel olarak bilgisayarınızda kaydedebilirsiniz.
Paket yakalama, VM’ye yüklenen Ağ İzleyicisi Aracısı VM Uzantısı’na bağımlıdır. Uzantının Windows ve Linux VM'lerine yüklenmesini ayrıntılı olarak açıklayan yönergelerin bağlantıları için bu modülün sonundaki "Daha fazla bilgi edinin" bölümüne bakın.
Bağlantı sorunlarını giderme aracı nedir?
Kaynak ve hedef VM arasındaki TCP bağlantısını denetlemek için bağlantı sorunlarını giderme aracını kullanın. Hedef VM’yi FQDN, URI veya bir IP adresi kullanarak belirtebilirsiniz.
Bağlantı başarılı olursa, iletişimle ilgili bilgiler görüntülenir, örneğin:
- Milisaniye cinsinden gecikme süresi.
- Gönderilen yoklama paketlerinin sayısı.
- Hedefin tam yolundaki atlama sayısı.
Bağlantı başarısız olursa hatanın ayrıntılarını görürsünüz. Hata türleri şunlardır:
- CPU. Yüksek CPU kullanımı nedeniyle başarısız olan bağlantı.
- Bellek. Yüksek bellek kullanımı nedeniyle başarısız olan bağlantı.
- GuestFirewall. Bağlantı, Azure dışındaki bir güvenlik duvarı tarafından engellenmiştir.
- DNSResolution. Hedef IP adresi çözümlenememiştir.
- NetworkSecurityRule. Bağlantı bir NSG tarafından engellenmiştir.
- UserDefinedRoute. Yönlendirme tablosunda yanlış bir kullanıcı yolu vardır.
VPN sorun giderme aracı nedir?
Sanal ağ geçidi bağlantılarıyla ilgili sorunları tanılamak için VPN sorun giderme aracını kullanabilirsiniz. Bu araç bir sanal ağ geçidi bağlantısı üzerinde çalışır ve bir sistem durumu tanılaması döndürür.
VPN sorun giderme aracını başlattığınızda Ağ İzleyicisi ağ geçidinin veya bağlantının durumunu tanılar ve uygun sonuçları döndürür. İstek uzun süredir çalışan bir işlemdir.
Aşağıdaki tablo, farklı hata türlerine yönelik örnekleri gösterir.
| Hata Türü | Nedeni | Günlük |
|---|---|---|
| NoFault | Hata saptanmadı. | Yes |
| GatewayNotFound | Ağ Geçidi bulunamadı veya sağlanmadı. | Hayır |
| PlannedMaintenance | Bir ağ geçidi örneği bakım aşamasında. | Hayır |
| UserDrivenUpdate | Kullanıcı güncelleştirmesi devam ediyor. Güncelleştirme, bir yeniden boyutlandırma işlemi olabilir. | Hayır |
| VipUnResponsive | Bir sistem durumu yoklama hatası nedeniyle ağ geçidinin birincil örneğine ulaşılamıyor. | Hayır |
| PlatformInActive | Platform ile ilgili bir sorun var. | Hayır |
Trafik günlüğü araçları
Ağ İzleyicisi aşağıdaki iki trafik aracını içerir:
- Akış günlükleri
- Trafik analizi
Akış günlükleri aracı nedir?
Akış günlükleri, bir ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmenizi sağlar. Akış günlükleri verileri Azure depolamada depolar. Akış verileri Azure Depolama'a gönderilir; buradan bu verilere erişebilir ve dilediğiniz görselleştirme aracına, güvenlik bilgilerine ve olay yönetimi (SIEM) çözümüne veya yetkisiz erişim algılama sistemine (IDS) aktarabilirsiniz. Trafik desenlerini analiz etmek ve bağlantı sorunlarını gidermek için bu verileri kullanabilirsiniz.
Akış günlükleri kullanım örnekleri iki türe ayrılır. Ağ izleme ve kullanım izleme ve iyileştirme.
Ağ izleme
- Bilinmeyen veya istenmeyen trafiği belirleyin.
- Trafik düzeylerini ve bant genişliği tüketimini izleyin.
- Uygulama davranışını anlamak için akış günlüklerini IP ve bağlantı noktasına göre filtreleyin.
- İzleme panolarını ayarlamak için akış günlüklerini istediğiniz analiz ve görselleştirme araçlarına aktarın.
Kullanım izleme ve iyileştirme
- Ağınızdaki en çok konuşanları belirleyin.
- Bölgeler arası trafiği tanımlamak için GeoIP verileriyle birleştirin.
- Kapasite tahmini için trafik artışlarını anlama.
- Aşırı kısıtlayıcı trafik kurallarını kaldırmak için verileri kullanın.
Trafik analizi aracı nedir?
Trafik analizi, bulut ağlarınızdaki kullanıcı ve uygulama etkinliğine görünürlük sağlayan bulut tabanlı bir çözümdür. Özellikle trafik analizi, Azure bulutunuzda trafik akışıyla ilgili içgörüler sağlamak için Azure Ağ İzleyicisi NSG akış günlüklerini analiz eder. Trafik analizi ile şunları yapabilirsiniz:
- Azure abonelikleriniz genelinde ağ etkinliğini görselleştirin.
- Sık erişimli noktaları belirleyin.
- Tehditleri tanımlamak için bilgileri kullanarak ağınızın güvenliğini sağlayın.
- Azure bölgeleri ve İnternet genelinde trafik akışı desenlerini anlayarak ağ dağıtımınızı performans ve kapasite için iyileştirin.
- Ağınızda başarısız bağlantılara yol açabilecek pinpoint ağ yanlış yapılandırmaları.
Azure Ağ İzleyicisi kullanım örneği senaryoları
Azure Ağ İzleyicisi izleme ve tanılama özelliğini kullanarak sorunları araştırıp giderebileceğiniz bazı senaryoları inceleyelim.
Tek VM ağ bağlantısında bağlantı sorunları var
İş arkadaşlarınız Azure'da bir VM dağıttı ve ağ bağlantısı sorunları yaşıyorlar. İş arkadaşlarınız sanal makinelere bağlanmak için Uzak Masaüstü Protokolü (RDP) kullanmaya çalışıyor ancak bağlantı başarısız oluyor.
Bu sorunu gidermek için IP akışı doğrulama aracını kullanın. Bu araç, bağlantı durumunu denetlemek için bir yerel ve uzak bağlantı noktasını, protokolü (TCP/UDP), yerel IP’yi ve uzak IP’yi belirtmenize olanak tanır. Ayrıca, bağlantının yönünü (gelen veya giden) belirtmenize imkan tanır. IP akışı doğrulama, ağınızda yer alan kurallar üzerinde bir mantıksal test çalıştırır.
Bu durumda, VM’nin IP adresini ve RDP bağlantı noktası 3389'ü belirtmek için IP akışı doğrulama aracını kullanın. Ardından uzak VM'nin IP adresini ve bağlantı noktasını belirtin. TCP protokolunu seçin ve ardından Denetle'yi seçin.
DefaultInboundDenyAll NSG kuralı nedeniyle erişimin engellendiği yönünde bir sonuç gösterildiğini varsayın. Bunun çözümü NSG kuralını değiştirmektir.
Bir VPN bağlantısı çalışmıyor
İş arkadaşlarınız VM'leri iki sanal ağda dağıtıyor ancak ikisi arasında bağlantı kuramıyorlar.
Bir VPN bağlantısının sorunlarını gidermek için Azure VPN sorun giderme aracını kullanın. Bu araç bir sanal ağ geçidi bağlantısı üzerinde tanılama çalıştırır ve bir sistem durumu tanılaması döndürür. Bu aracı Azure portalı, PowerShell veya Azure CLI'dan çalıştırabilirsiniz.
Aracı çalıştırdığınızda, genel sorunlar için ağ geçidini denetler ve sistem durumu tanılamasını döndürür. Daha fazla bilgi edinmek için günlük dosyasını da görüntüleyebilirsiniz. Tanılama, VPN bağlantısının çalışıp çalışmadığını gösterir. VPN bağlantısı çalışmıyorsa, VPN sorun giderme aracı sorunu çözmeye yönelik yollar önerir.
Tanılamada bir anahtar uyumsuzluğu gösterildiğini varsayalım. Sorunu çözmek için, uzak ağ geçidini anahtarların her iki uçta da eşleştiğinden emin olacak şekilde yeniden yapılandırın. Önceden paylaşılan anahtarlar büyük/küçük harfe duyarlıdır.
Belirtilen hedef bağlantı noktalarında dinleyen sunucu yok
İş arkadaşlarınız VM'leri tek bir sanal ağda dağıtıyor ancak ikisi arasında bağlantı kuramıyorlar.
Bu sorunu gidermek için bağlantı sorunlarını giderme aracını kullanın. Bu araçta, yerel ve uzak VM’leri belirtirsiniz. Yoklama ayarında, belirli bir bağlantı noktasını seçebilirsiniz.
Sonuçların uzak sunucunun Ulaşılamaz olduğunu ve "Sanal makine güvenlik duvarı yapılandırması nedeniyle trafik engellendi" iletisini gösterdiğini varsayalım. Uzak sunucuda güvenlik duvarını devre dışı bırakın ve bağlantıyı yeniden test edin.
Sunucunun artık erişilebilir olduğunu varsayalım. Bu sonuç, uzak sunucudaki güvenlik duvarı kurallarının sorun olduğunu ve bağlantıya izin vermek için düzeltilmesi gerektiğini gösterir.