Tento článek obsahuje odpovědi na nejčastější dotazy týkající se služby Azure Network Watcher.
OBECNÉ
Co je Network Watcher?
Network Watcher poskytuje sadu nástrojů pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky IaaS (infrastruktura jako služba), mezi které patří virtuální počítače, virtuální sítě, aplikační brány, nástroje pro vyrovnávání zatížení a další prostředky ve virtuální síti Azure. Nejedná se o řešení pro monitorování infrastruktury PaaS (platforma jako služba) ani získávání webových a mobilních analýz.
Jaké nástroje poskytuje Network Watcher?
Network Watcher poskytuje tři hlavní sady funkcí:
- Monitorování
- Zobrazení topologie ukazuje prostředky ve virtuální síti a vztahy mezi nimi.
- Monitorování připojení umožňuje monitorovat připojení a latenci mezi koncovými body uvnitř a mimo Azure.
- Nástroje pro diagnostiku sítě
- Ověření toku protokolu IP umožňuje detekovat problémy s filtrováním provozu na úrovni virtuálního počítače.
- Diagnostika NSG umožňuje detekovat problémy s filtrováním provozu na virtuálním počítači, škálovací sadě virtuálních počítačů nebo na úrovni služby Application Gateway.
- Další segment směrování pomáhá ověřovat trasy provozu a zjišťovat problémy se směrováním.
- Řešení potíží s připojením umožňuje jednorázovou kontrolu připojení a latence mezi virtuálním počítačem a hostitelem Bastionu, aplikační bránou nebo jiným virtuálním počítačem.
- Zachytávání paketů umožňuje zachytit provoz virtuálního počítače.
- Řešení potíží se sítí VPN spouští na branách VPN a připojeních několik kontrol diagnostiky, které vám pomůžou ladit problémy.
- Provoz
- Protokoly toků skupin zabezpečení sítě a protokoly toků virtuální sítě umožňují protokolovat síťový provoz procházející skupinami zabezpečení sítě (NSG) a virtuálními sítěmi.
- Analýza provozu zpracovává data protokolu toku skupiny zabezpečení sítě, která umožňují vizualizovat, dotazovat se, analyzovat a porozumět síťovému provozu.
Podrobnější informace najdete v přehledu služby Network Watcher.
Jak funguje cena služby Network Watcher?
Podrobnosti o cenách různých komponent Služby Network Watcher najdete v cenách služby Network Watcher .
Ve kterých oblastech je network Watcher aktuálně podporovaný a dostupný?
Informace o oblastech, které podporují Network Watcher, najdete v oblastech služby Network Watcher.
Jaká oprávnění se vyžadují k používání služby Network Watcher?
Podrobný seznam požadovaných oprávnění pro jednotlivé funkce služby Network Watcher najdete v tématu Oprávnění Azure RBAC vyžadovaná pro použití služby Network Watcher .
Jak povolit službu Network Watcher?
Služba Network Watcher je automaticky povolená pro každé předplatné. Pokud jste odhlásili automatické povolení služby Network Watcher, musíte službu Network Watcher ručně povolit. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.
Co je model nasazení Služby Network Watcher?
Nadřazený prostředek služby Network Watcher se nasadí s jedinečnou instancí v každé oblasti. Výchozí formát pojmenování: NetworkWatcher_RegionName. Příklad: NetworkWatcher_centralus je prostředek Network Watcher pro oblast USA – střed. Název instance služby Network Watcher můžete přizpůsobit pomocí PowerShellu nebo rozhraní REST API.
Proč Azure povoluje pro každou oblast jenom jednu instanci služby Network Watcher?
Aby funkce služby Network Watcher fungovaly, stačí povolit jenom jednou pro každou oblast podle předplatného. Služba Network Watcher je povolená v oblasti vytvořením instance služby Network Watcher v této oblasti.
Jak můžu spravovat prostředek Služby Network Watcher?
Prostředek Network Watcher představuje back-endovou službu pro Network Watcher, kterou plně spravuje Azure. Prostředek Služby Network Watcher ale můžete vytvořit nebo odstranit, abyste ho povolili nebo zakázali v konkrétní oblasti. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.
Můžu přesunout instanci služby Network Watcher z jedné oblasti do jiné?
Ne, přesun prostředku služby Network Watcher ani žádného z jejích podřízených prostředků napříč oblastmi se nepodporuje. Další informace naleznete v tématu Podpora operace přesunu síťových prostředků.
Můžu přesunout instanci služby Network Watcher z jedné skupiny prostředků do jiné?
Ano, přesun prostředku Služby Network Watcher mezi skupinami prostředků je podporovaný. Další informace naleznete v tématu Podpora operace přesunu síťových prostředků.
Co je NetworkWatcherRG?
NetworkWatcherRG je skupina prostředků, která se automaticky vytvoří pro prostředky služby Network Watcher. Například regionální instance služby Network Watcher a prostředky protokolu toku skupiny zabezpečení sítě se vytvářejí ve skupině prostředků NetworkWatcherRG . Název skupiny prostředků Network Watcher můžete přizpůsobit pomocí PowerShellu, Azure CLI nebo rozhraní REST API.
Ukládá Network Watcher zákaznická data?
Azure Network Watcher neukládá zákaznická data s výjimkou monitorování připojení. Monitorování připojení ukládá zákaznická data, která služba Network Watcher automaticky ukládá do jedné oblasti, aby splňovala požadavky na rezidenci dat v jednotlivých oblastech.
Jaké jsou limity prostředků ve službě Network Watcher?
Network Watcher má následující omezení:
Prostředek | Omezení |
---|---|
Instance služby Network Watcher na oblast na předplatné | 1 (Jedna instance v oblasti umožňující přístup ke službě v dané oblasti) |
Monitorování připojení na oblast na předplatné | 100 |
Maximální počet testovacích skupin na monitorování připojení | 20 |
Maximální počet zdrojů a cílů na monitorování připojení | 100 |
Maximální počet konfigurací testů na monitorování připojení | 20 |
Relace zachytávání paketů na oblast na předplatné | 10 000 (pouze počet relací, neuloženo zachytávání) |
Řešení potíží se sítí VPN na předplatné | 1 (počet operací najednou) |
Dostupnost služeb a redundance
Je zóna Network Watcher odolná?
Ano, služba Network Watcher je ve výchozím nastavení odolná vůči zóně.
Návody nakonfigurovat službu Network Watcher tak, aby byla odolná proti zóně?
K povolení odolnosti zón není nutná žádná konfigurace. Odolnost proti zóně pro prostředky služby Network Watcher je ve výchozím nastavení dostupná a spravovaná samotnou službou.
Agent Network Watcher
Proč musím nainstalovat agenta Network Watcher?
Agent Network Watcher se vyžaduje pro všechny funkce Služby Network Watcher, které generují nebo zachycují provoz z virtuálního počítače.
Které funkce vyžadují agenta Network Watcher?
Funkce zachytávání paketů, řešení potíží s připojením a monitorování připojení vyžadují, aby bylo k dispozici rozšíření Network Watcher.
Jaká je nejnovější verze agenta Network Watcher?
Nejnovější verze rozšíření Network Watcher je 1.4.3422.1
. Další informace najdete v tématu Aktualizace rozšíření Azure Network Watcher na nejnovější verzi.
Jaké porty agent Network Watcher používá?
- Linux: Agent Network Watcher používá dostupné porty od
port 50000
doby, kdy dosáhneport 65535
. - Windows: Agent Network Watcher používá porty, se kterými operační systém reaguje při dotazování na dostupné porty.
S jakými IP adresami komunikuje agent Network Watcher?
Agent Network Watcher vyžaduje odchozí připojení TCP přes 169.254.169.254
port 80
a 168.63.129.16
přes port 8037
. Agent používá tyto IP adresy ke komunikaci s platformou Azure.
Monitorování připojení
Podporuje monitorování připojení klasické virtuální počítače?
Ne, monitorování připojení nepodporuje klasické virtuální počítače. Další informace najdete v tématu Migrace prostředků IaaS z modelu Classic do Azure Resource Manageru.
Co když moje topologie není zdobená nebo mi segmenty směrování chybí informace?
Topologie může být z jiného prostředí než Azure do Azure zdobena pouze v případě, že cílový prostředek Azure a prostředek monitorování připojení jsou ve stejné oblasti.
Co se stane, když se vytvoření monitorování připojení nezdaří s následující chybou: Nepovolujeme vytváření různých koncových bodů pro stejný virtuální počítač?
Stejný virtuální počítač Azure nejde použít s různými konfiguracemi ve stejném monitorování připojení. Například použití stejného virtuálního počítače s filtrem a bez filtru ve stejném monitorování připojení se nepodporuje.
Co se stane, když je důvod selhání testu "Nic k zobrazení"?
Problémy zobrazené na řídicím panelu monitorování připojení se nacházejí během zjišťování topologie nebo zkoumání segmentu směrování. Existují případy, kdy je dosažena prahová hodnota pro % ztráty nebo RTT, ale u segmentů směrování se nenašly žádné problémy.
Co se stane, když migrujete existující monitorování připojení (klasické) na nejnovější monitorování připojení, co se stane, když se testy externích koncových bodů migrují jenom s protokolem TCP?
V monitorování připojení (Classic) není k dispozici žádná možnost výběru protokolu. Testy v monitorování připojení (klasické) používají pouze protokol TCP, a proto během migrace vytvoříme konfiguraci TCP v testech v novém monitorování připojení.
Existují nějaká omezení používání agentů Azure Monitor a Arc s monitorováním připojení?
V současné době existuje oblastní hranice, když koncový bod používá agenty Azure Monitoru a Arc s přidruženým pracovním prostorem služby Log Analytics. V důsledku tohoto omezení musí být přidružený pracovní prostor služby Log Analytics ve stejné oblasti jako koncový bod Arc. Data přijatá do jednotlivých pracovních prostorů je možné sjednocovat pro jedno zobrazení, viz dotazování dat mezi pracovními prostory služby Log Analytics, aplikacemi a prostředky ve službě Azure Monitor.
Protokoly toku
Co dělá protokolování toku?
Protokoly toku umožňují protokolovat informace o toku řazené kolekce členů 5 členů o provozu IP v Azure, který prochází skupinou zabezpečení sítě nebo virtuální sítí Azure. Protokoly nezpracovaného toku se zapisují do účtu úložiště Azure. Odtud můžete dále zpracovávat, analyzovat, dotazovat nebo je exportovat podle potřeby.
Mají protokoly toku vliv na latenci sítě nebo výkon?
Data protokolu toku se shromažďují mimo cestu síťového provozu, takže neovlivňují propustnost nebo latenci sítě. Můžete vytvářet nebo odstraňovat protokoly toku bez jakéhokoli rizika dopadu na výkon sítě.
Jaký je rozdíl mezi protokoly toku NSG a diagnostikou NSG?
Tok skupiny zabezpečení sítě protokoluje provoz protokolu procházející skupinou zabezpečení sítě. Na druhou stranu diagnostika NSG vrací všechny skupiny zabezpečení sítě, které provoz prochází, a pravidla každé skupiny zabezpečení sítě, které se na tento provoz vztahují. Pomocí diagnostiky NSG ověřte, že se pravidla skupin zabezpečení sítě používají podle očekávání.
Můžu protokolovat provoz ESP a AH pomocí protokolů toku skupiny zabezpečení sítě?
Ne, protokoly toků skupin zabezpečení sítě nepodporují protokoly ESP a AH.
Můžu protokolovat provoz PROTOKOLU ICMP pomocí protokolů toků?
Ne, protokoly toků skupin zabezpečení sítě a protokoly toku virtuální sítě nepodporují protokol ICMP.
Můžu odstranit skupinu zabezpečení sítě, která má povolené protokolování toku?
Ano. Přidružený prostředek protokolu toku se odstraní také. Data protokolu toku se uchovávají v účtu úložiště po dobu uchovávání nakonfigurovanou v protokolu toku.
Můžu přesunout skupinu zabezpečení sítě s povoleným protokolováním toku do jiné skupiny prostředků nebo předplatného?
Ano, ale musíte odstranit přidružený prostředek protokolu toku. Po migraci skupiny zabezpečení sítě můžete znovu vytvořit protokoly toku a povolit tak protokolování toku.
Můžu použít účet úložiště v jiném předplatném, než je skupina zabezpečení sítě nebo virtuální síť, pro kterou je povolený protokol toku?
Ano, můžete použít účet úložiště z jiného předplatného, pokud je toto předplatné ve stejné oblasti skupiny zabezpečení sítě a přidružené ke stejnému tenantovi Microsoft Entra skupiny zabezpečení sítě nebo předplatného virtuální sítě.
Návody používat protokoly toku skupiny zabezpečení sítě s účtem úložiště za bránou firewall?
Pokud chcete použít účet úložiště za bránou firewall, musíte poskytnout výjimku pro důvěryhodné služby Microsoftu pro přístup k vašemu účtu úložiště:
- Přejděte na účet úložiště zadáním názvu účtu úložiště do vyhledávacího pole v horní části portálu.
- V části Zabezpečení a sítě vyberte Sítě a pak vyberte Brány firewall a virtuální sítě.
- V oblasti Přístup k veřejné síti vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres. Potom v části Výjimky zaškrtněte políčko Vedle možnosti Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.
- Povolte protokoly toku skupiny zabezpečení sítě vytvořením protokolu toku pro cílovou skupinu zabezpečení sítě pomocí účtu úložiště. Další informace najdete v tématu Vytvoření protokolu toku.
Protokoly úložiště můžete zkontrolovat po několika minutách. Měli byste vidět aktualizované časové razítko nebo nový vytvořený soubor JSON.
Proč se v protokolech aktivit účtu úložiště zobrazují chyby 403?
Network Watcher má integrovaný záložní mechanismus, který používá při připojování k účtu úložiště za bránou firewall (povolená brána firewall). Pokusí se připojit k účtu úložiště pomocí klíče a v případě selhání se přepne na token. V tomto případě se v protokolu aktivit účtu úložiště zaprotokoluje chyba 403.
Může Network Watcher odesílat data protokolů toku skupiny zabezpečení sítě do účtu úložiště s povoleným privátním koncovým bodem?
Ano, Network Watcher podporuje odesílání dat toků skupin zabezpečení sítě do účtu úložiště s povoleným privátním koncovým bodem.
Návody používat protokoly toku skupiny zabezpečení sítě s účtem úložiště za koncovým bodem služby?
Protokoly toků skupin zabezpečení sítě jsou kompatibilní s koncovými body služby bez nutnosti další konfigurace. Další informace najdete v tématu Povolení koncového bodu služby.
Jaký je rozdíl mezi protokoly toku verze 1 a 2?
Protokoly toku verze 2 zavádí koncept stavu toku a ukládá informace o bajtech a přenášených paketech. Další informace najdete v tématu Formát protokolu toku skupiny zabezpečení sítě.
Můžu vytvořit protokol toku pro skupinu zabezpečení sítě, která má zámek jen pro čtení?
Ne, zámek jen pro čtení ve skupině zabezpečení sítě brání vytvoření odpovídajícího protokolu toku skupiny zabezpečení sítě.
Můžu vytvořit protokol toku pro skupinu zabezpečení sítě, která má zámek nejde odstranit?
Ano, zámek nelze odstranit ve skupině zabezpečení sítě, nebrání vytvoření nebo úpravě odpovídajícího protokolu toku skupiny zabezpečení sítě.
Můžu automatizovat protokoly toků skupin zabezpečení sítě?
Ano, protokoly toků skupin zabezpečení sítě můžete automatizovat pomocí šablon Azure Resource Manageru (šablon ARM). Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM).