Взгляд на приз: поиск и устранение проблем с помощью Наблюдателя за сетями Azure

Наблюдение за современными сетями, подключенными к облаку, может оказаться непростой задачей для современных сетевых администраторов. К счастью для тех из нас, кто использует мощь и возможности облачных предложений Microsoft Azure, есть функция, которая облегчает отслеживание того, что происходит в вашей сети. Наблюдатель за сетями Azure предоставляет вам как администратору инструменты, необходимые для мониторинга, диагностики, просмотра метрик, а также включения или отключения журналов для ресурсов, которые вы подготовили для своей организации в виртуальных сетях Azure. Возможности Network Watcher включают такие вещи, как возможность просматривать все ресурсы в виртуальной сети и их отношения друг с другом, отслеживать обмен данными между виртуальными машинами и конечными точками в вашей сети и диагностировать проблемы, связанные с задержкой, соединениями, маршрутизацией, шлюзами, и фильтрация пакетов. Вы также можете использовать Наблюдатель за сетями для сбора метрик о том, как ваши сетевые ресурсы развернуты в Azure, и сбора трафика в группы безопасности сети (NSG) или из них для анализа трафика с помощью PowerBI.
Лично я считаю Azure Network Watcher особенно полезным инструментом для мониторинга ресурсов Azure и устранения неполадок. Но я не считаю себя экспертом в использовании этого мощного инструмента, и многие мои коллеги, использующие Azure в своих компаниях, еще не изучили возможности этого инструмента. Чтобы помочь исправить эту ситуацию и улучшить свое понимание того, как использовать Наблюдатель за сетями, я недавно попросил своего коллегу Сашу Краняка провести нас по функциям и возможностям этого инструмента, представив нам краткое руководство с большим количеством скриншотов, картинка стоит, о, около 1111101000 или 3E8 слов. Саша — специалист по безопасности и Azure, а также инструктор с более чем двадцатилетним опытом работы в этой области. Он начал программировать на ассемблере на ZX сэра Клайва Синклера, познакомился с Windows NT 3.5, и с тех пор любовь не утихает. Сашу можно увидеть выступающим на многочисленных конференциях или проводящим курсы Microsoft, EC-Council и свои собственные курсы по Azure и безопасности на международном уровне. Он является Microsoft MVP, сертифицированным тренером Microsoft (MCT), региональным руководителем MCT, сертифицированным инструктором EC-Council (CEI), а также имеет несколько других сертификатов. Вы можете подписаться на Сашу в Твиттере: @SasaKranjac
Проблема мониторинга виртуальных сетей Azure
Сегодня с помощью Microsoft Azure настроить вычислительную среду проще, чем когда-либо. Вы можете создать несколько сетей, подсетей, виртуальных машин и других многочисленных сетевых компонентов в мгновение ока. Управление этими сложными сетями и топологиями со временем может стать громоздким и трудным. Попытка понять, что соединяется с чем и где именно находится этот балансировщик нагрузки или подсеть, становится все труднее в больших средах. Особенно, когда приходит время устранения неполадок и диагностики проблем в таких больших сетях.
Однако у Microsoft есть туз в рукаве, который поможет нам с этими сложными задачами, и его имя — Наблюдатель за сетями Azure. Это не просто Большой Брат или всевидящее око (как око Саурона, если вы увлекаетесь «Властелином колец»), но это дружественный инструмент, который приходит на помощь в темные времена, когда дело доходит до мониторинга. устранение неполадок и диагностика проблем с нашими сетями. А поскольку Microsoft постоянно обновляет и совершенствует компоненты и службы Azure, это также относится и к Наблюдателю за сетями Azure, и со временем вы заметите дополнения и улучшения функциональности.
Изучение возможностей Наблюдателя за сетями Azure
Хорошо, что делает Наблюдатель за сетями Azure таким особенным? Как это может помочь вам?
В нем очень много возможностей, но прежде чем вы сможете их использовать, вы должны включить Наблюдатель за сетями в подписке и регионе, где он будет использоваться. Если у вас несколько подписок, она должна быть включена для каждой подписки и региона, где она будет использоваться:
В колонке Наблюдателя за сетями есть четыре основных раздела: Мониторинг, Средства диагностики сети, Метрики и Журналы. В каждом разделе есть инструменты, которые могут помочь вам выполнить конкретную задачу:
Инструмент Топология
В разделе «Мониторинг» находится инструмент «Топология». Что ж, вы можете назвать это инструментом или функцией, но его мощь становится очевидной, как только у вас есть хоть немного сложная сетевая инфраструктура. Он рисует карту топологии сети ваших ресурсов Azure и представляет ее в удобном графическом виде, содержащем значки для конкретных ресурсов, имена ресурсов, соединения между ресурсами и сетевые имена.
Сначала выберите подписку, затем выберите группу ресурсов, и вам будет представлена топология всей группы ресурсов. Если у вас много групп ресурсов, сетей, подсетей, виртуальных машин и других ресурсов, диаграмма топологии может оказаться слишком большой для работы с ней. В этом случае вам нужно сузить представление до конкретной виртуальной сети:
Теперь, когда выбрана конкретная виртуальная сеть, диаграмма топологии стала намного меньше и понятнее. Для дополнительного удобства вы также можете загрузить просматриваемую схему топологии и сохранить ее в формате масштабируемой векторной графики (SVG). Этот формат файла поддерживает многие современные и популярные программы, такие как большинство популярных браузеров, Microsoft Visio, Adobe Illustrator, Adobe Photoshop, CorelDraw и многие другие.
Но это не все! Если щелкнуть ресурс на диаграмме топологии, откроется колонка настроек для этого ресурса:
Как удобно — если вам нужно внести изменения в ресурс или просмотреть его настройки, вам не нужно выходить из текущего блейда. Ресурс находится на расстоянии одного щелчка мыши, и когда вы закончите с задачей, просто закройте колонку ресурса, и вы вернетесь в представление топологии Наблюдателя за сетями.
Монитор подключения
Монитор подключений — это инструмент, который может помочь вам установить надежность, доступность, скорость и задержку вашей сетевой инфраструктуры, а также возможные изменения в топологии. Кроме того, он подскажет, в чем может быть проблема и как ее исправить:
Чтобы отслеживать подключение между двумя ресурсами, щелкните +Добавить, и откроется колонка:
Здесь вы указываете уникальное имя монитора, а также источник и назначение ресурсов, то есть — виртуальных машин, которые вы мониторите:
Источником может быть любая виртуальная машина из любой группы ресурсов в рамках ранее выбранной подписки. В качестве назначения можно выбрать виртуальную машину или указать ресурс вручную. Выбор вручную может указывать на любой URL-адрес, полное доменное имя или IPv4 по вашему выбору, независимо от того, находится ли он в Azure или где-либо в Интернете. И да, это не обязательно должна быть виртуальная машина, это может быть физическая машина или облачная служба, если она может отвечать на сервисных портах. Конечно, целевой ресурс должен быть доступным, но вы можете создать монитор, даже если он недоступен, и отслеживать доступность и доступность в процессе устранения неполадок. Когда вы указываете порт назначения, монитор предполагает, что исходный порт и порт назначения совпадают. Если это не так, в дополнительных настройках укажите собственный исходный порт и интервал проверки. Если вы не укажете интервал проверки, значение по умолчанию — 60 секунд, а минимальное значение — 30 секунд:
После создания монитор будет — угадайте, что — да, контролировать соединение между источником и местом назначения! Нет, это не так банально — он покажет график активности мониторинга за последние 1, 6 или 12 часов или даже за 1, 7 или 30 дней:
На графике показано среднее время прохождения пакета туда и обратно и процент пакетов, которые так и не достигли пункта назначения. Каким бы тривиальным это ни казалось на первый взгляд, собранные данные представляют собой бесценную информацию о вашей сети и дают вам невероятное представление о том, как ведет себя сеть. Кроме того, он показывает информацию в виде сетки:
И в представлении топологии:
Он отображает IP-адреса, соединения и имена ресурсов.
Представление группы безопасности
Следующим героем сетевого монитора в очереди является представление группы безопасности, которое может показать вам информацию, связанную с группами безопасности сети, связанными с виртуальной машиной. Особенно полезно, если у вас много правил NSG, это представление может избавить вас от многих головных болей — оно показывает вам эффективные правила NSG, поэтому вы точно знаете, какое правило запрещает или разрешает входящий или исходящий трафик. Он покажет вам список и информацию о связанных подсетях и подключенных сетевых интерфейсах:
Еще одна распространенная проблема с подключением, возникающая в сети — связанная не только с локальным оборудованием, но и с его виртуальным облачным аналогом — это VPN-подключение. Инструмент устранения неполадок VPN в Наблюдателе за сетями может помочь в решении проблем с подключением, связанных с VPN-подключениями. Ему нужна учетная запись хранения, или, если быть более точным, ему нужен контейнер с определенными правами доступа, где он будет хранить диагностические данные, собранные в процессе устранения неполадок. После создания можно начинать поиск проблем с подключением к VPN:
Определив хранилище и регион, нажмите «Начать устранение неполадок», чтобы начать:
Через несколько минут он расскажет вам, какие проблемы есть или какие могут быть проблемы, в зависимости от сложности самой проблемы. Возвращает статус процесса устранения неполадок — то есть причину потери соединения, например:
И он покажет вам действия, рекомендуемые для решения проблемы с подключением, с соответствующими ссылками для дальнейшего расширения знаний о шагах:
Чтобы выполнить более глубокий процесс устранения неполадок, выходящий за рамки самой инфраструктуры и относящийся к ресурсам мониторинга, у вас есть возможность захвата пакетов. Нет необходимости устанавливать программное обеспечение для мониторинга на любом узле мониторинга, эту удобную функцию можно запустить всего за несколько кликов:
Конфигурация захвата позволяет хранить захваченные сетевые пакеты в учетной записи хранения Azure и локально в файле.cap. Это позволяет немного настроить процесс захвата, установить максимальное количество байтов на захваченный пакет, максимальное количество байтов на сеанс и установить время продолжительности сеанса захвата:
Кроме того, тонкую настройку можно выполнить, создав фильтр захвата по протоколу или по локальным или удаленным IP-адресам. Как только процесс захвата будет завершен, вы можете дополнительно изучить и разобрать файл.cap в своей любимой программе:
И последнее, но не менее важное: есть также подробный обзор журналов диагностики ресурсов. Диагностика не включена по умолчанию, и если вы находитесь в процессе настройки сети и ожидаете возникновения проблем с подключением, было бы хорошо включить ведение журнала, чтобы иметь возможность собирать данные и анализировать их дальше.
Просто царапая поверхность
Это введение в некоторые функции Наблюдателя за сетями Azure, а не окончательный список его возможностей или функций. Надеюсь, это было интересно и полезно, и я желаю вам успешного процесса устранения неполадок с помощью Наблюдателя за сетями Azure.