Устранение неполадок в Azure с помощью Наблюдателя за сетями: средства диагностики
Я уверен, что у многих облачных администраторов был момент эйфории при перемещении/выделении своих первых виртуальных машин в составе гибридных сред. Преимущества и гибкость Microsoft Azure гарантируют, что вы ничего не упустите из своей старой традиционной среды центра обработки данных. В дебатах о IaaS (инфраструктура как услуга) и локальной среде изменения не сильно меняются с точки зрения управления. В конце концов, мы привыкли управлять виртуальными машинами, работающими на наших гипервизорах. В Azure это похоже на портал, но с практически неограниченным пространством для увеличения сложности и ресурсов среды. Сетевая область не так ясна по сравнению с IaaS и виртуальными машинами для традиционного сетевого администратора. Во-первых, все это SDN (программно-определяемая сеть). Администратору облака необходимо ознакомиться с тем, как работает сеть в Azure, и знакомство с Наблюдателем за сетями очень поможет при устранении неполадок. В этой первой из двух статей мы покажем вам, как начать работу с Наблюдателем за сетями, и покажем вам некоторые инструменты, которые вы можете использовать, чтобы упростить эту задачу.
Начало работы с Наблюдателем за сетями
Наблюдатель за сетями бесплатен и не требует процесса подготовки. Нам просто нужно включить регионы, которые мы хотим отслеживать. Чтобы начать использовать его, введите Наблюдатель за сетями в области поиска на портале Azure. В колонке Обзор щелкните правой кнопкой мыши регионы, в которых вы хотите включить службу, и выберите Включить наблюдатель за сетями. Вот и все! После этого мы можем приступить к изучению нескольких инструментов, доступных на платформе.
Эта функция состоит из трех основных областей: мониторинг, инструменты сетевой диагностики и журналы.
Раздел мониторинга
Эта область состоит из трех элементов: топология, монитор подключения и монитор производительности сети (NPM). Некоторые блейды, которые мы видим в Наблюдателе за сетями, используются совместно с другими сетевыми компонентами на портале Azure.
Например, колонка топологии позволяет администратору облака выбрать подписку, затем группу ресурсов в этой подписке и, наконец, конкретную виртуальную сеть. Результатом будет графическое представление виртуальной сети, включая виртуальные машины, сетевые интерфейсы и даже NSG (группы безопасности сети).
Если вам нужно использовать диаграмму, вы всегда можете щелкнуть топологию загрузки, и файл.svg будет доступен для загрузки.
Второй блейд в разделе мониторинга — это монитор подключения. Это ключевой компонент. Мы можем отслеживать конечные точки, и они могут быть существующей виртуальной машиной в Azure или определенным IP-адресом/именем. Чтобы создать наш первый монитор подключения, нажмите «Добавить», а затем укажите виртуальную машину, которая будет источником, и определите цель. Мы можем настроить, какой порт будет отслеживаться и как часто мы хотим запускать зонд. По завершении нажмите «Добавить».
Подождите немного, и у нас появятся метрики о соединении, и мы сможем просмотреть исторические данные в виде сетки или в графическом формате, как показано на изображении ниже.
- При выборе виртуальной машины в качестве источника в мастере все перечисленные целевые виртуальные машины будут частью одной и той же виртуальной сети. Чтобы обойти это ограничение, мы всегда можем указать IP-адрес вместо выбора существующей виртуальной машины в мастере.
- Когда в качестве источника выбрана виртуальная машина, AzureNetworkWatcherExtension будет автоматически добавлен к данной виртуальной машине.
- Все мониторы подключений отображаются в области Azure Monitor/Alerts. Таким образом, уведомление может быть создано на основе номера, генерируемого монитором подключения.
Монитор производительности сети (NPM) использует Log Analytics и предоставляет решение, помогающее администратору понять сеть. Эта отдельная часть требует отдельной статьи, и именно поэтому мы собираемся упомянуть ее здесь. (Оставайтесь с нами для этой статьи!)
Для этой функции требуется Log Analytics в определенном наборе регионов. На момент написания этой статьи (девять регионов) агенты Log Analytics должны быть установлены по крайней мере на одном ресурсе виртуальной машины в каждой подсети, чтобы иметь возможность осуществлять надлежащий мониторинг. Решение позволяет отслеживать другие службы, такие как Office 365, Dynamics и даже Express Route.
Изучение области средств диагностики сети
Проверка IP-потока проверяет, будет ли предоставленная связь успешной или отклоненной на основе текущей конфигурации. Он использует пять частей информации: протокол, IP-адрес источника, IP-адрес назначения, порт источника и порт назначения. Ответом будет то, какое правило действовало для предложенного трафика.
Администратору облака необходимо выбрать виртуальную машину и сетевой интерфейс, а затем указать IP-адрес и порт назначения.
Next Hop — простой, но эффективный инструмент. Администратору облака необходимо выбрать любую существующую виртуальную машину в Microsoft Azure и целевой IP-адрес. Инструмент выполнит моделирование для этого трафика и предоставит тип следующего перехода и IP-адрес (если это возможно). Некоторыми примерами Next Hop являются Интернет, VirtualNetworkPeering и виртуальная сеть.
Инструмент Эффективные правила безопасности позволяет администратору облака выбрать виртуальную машину и ее сетевой интерфейс. Результатом будет связанная группа безопасности сети (на уровне сетевого интерфейса или подсети), а также правила для входящего и исходящего трафика.
Инструмент Network Capture решает очень распространенный запрос между сетью и группой эксплуатации при устранении неполадок, который заключается в возможности захвата трафика в данной виртуальной машине.
Перед изучением этой функции рекомендуется создать учетную запись хранения, которая будет использоваться для сохранения всех снимков. Существует возможность сохранить ВМ, за которой ведется наблюдение. Однако использование учетных записей хранения позволяет быстрее извлекать информацию и дает больше гибкости для обмена файлами между разными пользователями без необходимости входа на затронутый сервер.
Чтобы начать захват, нажмите «Добавить». Нам нужно выбрать подписку, группу ресурсов и виртуальную машину. Нам нужно присвоить имя захвату и определить следующие значения:
- Максимальное количество байтов на пакет (0 означает неограниченное количество).
- Максимальное количество байтов за сеанс (1 ГБ в байтах).
- Как долго будет работать захват (в нашей статье мы определили один час).
Для экономии времени и места в хранилище у нас есть несколько вариантов фильтрации трафика путем выбора протокола, исходного и целевого адресов и портов.
Все захваты будут перечислены в колонке захвата пакетов. Мы можем скачать ссылку.pcap, которую можно получить из . Мы можем удалить захват в любое время, щелкнув его правой кнопкой мыши и выбрав «Стоп».
Файл, созданный как часть захвата, будет храниться как большой двоичный объект в учетной записи хранения. Это длинный путь, который предоставляет всю информацию, помогающую идентифицировать виртуальную машину, сетевой интерфейс, дату и расположение Azure для рассматриваемого ресурса. Мы можем использовать Wireshark или любой подобный инструмент для анализа информации.
Наблюдатель за сетями: поверхностное знакомство
В этой первой статье нашей серии, состоящей из двух частей, мы рассмотрели некоторые разделы инструментов диагностики. Мы увидели, как легко облако может выполнять ряд задач, таких как:
- Администратор для создания трассировок.
- Трассировки.
- См. схему сетевых и виртуальных сетевых адаптеров.
- Проверьте, разрешен ли трафик.
- Проверьте существующие правила безопасности на месте.
С помощью этих инструментов администратор облака может проверять и подтверждать проблемы со связью между различными ресурсами в Azure и между сетями.
Чтобы просмотреть вторую статью из этой серии из двух частей, в которой мы рассматриваем аналитику трафика Наблюдателя за сетями, щелкните здесь.