Este artigo dá respostas para algumas das perguntas frequentes sobre o Observador de Rede do Azure.
Geral
O que é o Observador de Rede?
O Observador de Rede fornece um conjunto de ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos de IaaS (infraestrutura como serviço), que incluem máquinas virtuais, redes virtuais, gateways de aplicativo, balanceadores de carga e outros recursos em uma rede virtual do Azure. Não é uma solução para monitorar a infraestrutura PaaS (plataforma como serviço) ou para obter Web/Mobile Analytics.
Quais ferramentas o Observador de Rede fornece?
O Observador de Rede fornece três conjuntos principais de funcionalidades:
- Monitoramento
- A Exibição de topologia mostra os recursos em sua rede virtual e as relações entre eles.
- O monitor da conexão permite monitorar a conectividade e a latência entre pontos de extremidade dentro e fora do Azure.
- Ferramentas de diagnóstico de rede
- A Verificação de Fluxo de IP permite detectar problemas de filtragem de tráfego em um nível de VM.
- O NSG diagnóstico permite detectar problemas de filtragem de tráfego em uma máquina virtual, conjunto de dimensionamento de máquinas virtuais ou nível de gateway de aplicativo.
- O Próximo salto ajuda a verificar as rotas de tráfego e detectar problemas de roteamento.
- A solução de problemas de conexão permite uma conectividade única e verificação de latência entre uma máquina virtual e o bastion host, gateway de aplicativo ou outra máquina virtual.
- A captura de pacotes permite capturar o tráfego da máquina virtual.
- A Solução de Problemas de VPN executa várias verificações de diagnóstico em seus gateways de VPN e conexões para ajudar a depurar problemas.
-
Tráfego
- Os logs de fluxo do grupo de segurança de rede e os logs de fluxo da rede virtual permitem que você registre o tráfego de rede que passa pelos seus grupos de segurança de rede (NSGs) e redes virtuais, respectivamente.
- A Análise de Tráfego processa seus dados do log de fluxo do grupo de segurança de rede, permitindo que você visualize, consulte, analise e entenda o tráfego de rede.
Para obter informações mais detalhadas, consulte a página Visão geral do Observador de Rede.
Como funciona o preço do Observador de Rede?
Consulte preços do Observador de Rede para obter detalhes de preços sobre diferentes componentes de Observador de Rede.
Em quais regiões o Observador de Rede tem suporte e está disponível atualmente?
Confira regiões do Observador de Rede para saber mais sobre as regiões que dão suporte ao Observador de Rede.
Quais permissões são necessárias para usar o Observador de Rede?
Confira Permissões RBAC do Azure necessárias para usar o Observador de Rede para obter uma lista detalhada das permissões necessárias para cada um dos recursos de Observador de Rede.
Como fazer a habilitação do Observador de Rede?
O serviço do Observador de Rede é habilitado automaticamente para cada assinatura. Você deve habilitar manualmente o Observador de Rede se tiver recusado a habilitação automática do Observador de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.
Qual é o modelo de implantação do Observador de Rede?
O recurso pai do Observador de Rede é implantado com uma instância exclusiva em cada região. Formato de nomenclatura padrão: NetworkWatcher_RegionName. Exemplo: NetworkWatcher_centralus é o recurso do Observador de Rede para a região "EUA Central". Você pode personalizar o nome da instância do Observador de Rede por meio do PowerShell ou da API REST.
Por que o Azure permite apenas uma instância do Observador de Rede por região?
Observador de Rede só precisa ser habilitada uma vez por região por assinatura para que seus recursos funcionem. O Observador de Rede é habilitado em uma região criando uma instância do Observador de Rede nessa região.
Como posso gerenciar o recurso do Observador de Rede?
O recurso do Observador de Rede representa o serviço de back-end do Observador de Rede, que é totalmente gerenciado pelo Azure. No entanto, você pode criar ou excluir o recurso Observador de Rede para habilitá-lo ou desabilitá-lo em uma região específica. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.
É possível mover minha Instância Gerenciada de uma região para outra?
Não há suporte para mover o recurso Observador de Rede ou qualquer um de seus recursos filho entre regiões. Para mais informações, consulte Mover o suporte de operação para recursos de rede.
É possível mover minha instância do Observador de Rede de um grupo de recursos para outro?
Sim, há suporte para mover o recurso Observador de Rede entre grupos de recursos. Para mais informações, consulte Mover o suporte de operação para recursos de rede.
O que é o NetworkWatcherRG?
O NetworkWatcherRG é um grupo de recursos criado automaticamente para os recursos do Observador de Rede. Por exemplo, as instâncias regionais do Observador de Rede e os recursos de log de fluxo do grupo de segurança de rede são criados no grupo de recursos NetworkWatcherRG. Você pode personalizar o nome do grupo de recursos do Observador de Rede por meio do PowerShell, daCLI do Azure ou da API REST.
O Observador de Rede armazena dados do cliente?
O Observador de Rede do Azure não armazena dados de clientes, exceto o Monitor da Conexão. O monitor da conexão armazena dados do cliente, que são armazenados automaticamente por Observador de Rede em uma única região para atender aos requisitos de residência de dados na região.
O que são limites de recursos no Observador de Rede?
O Observador de Rede tem os seguintes limites:
Recurso | Limite |
---|---|
instâncias do Observador de Rede por região por assinatura | 1 (uma instância em uma região para habilitar o acesso ao serviço na região) |
Monitores de conexão por região por assinatura | 100 |
Máximo de grupos de teste por monitor de conexão | 20 |
Máximo de origens e destinos por monitor de conexão | 100 |
Máximo de configurações de teste por monitor de conexão | 20 |
Sessões de captura de pacotes por região por assinatura | 10.000 (número apenas de sessões, não de capturas salvas) |
Operações de solução de problemas de VPN por assinatura | 1 (número de operações ao mesmo tempo) |
Disponibilidade e redundância do serviço
A zona do Observador de Rede é resiliente?
Sim. Por padrão, o serviço Observador de Rede é resiliente por zona.
Como fazer para configurar o serviço de Observador de Rede para que seja resiliente por zona?
Nenhuma configuração será necessária para habilitar a resiliência de zona. A resiliência por zona para recursos do Observador de Rede está disponível por padrão e é gerenciada pelo próprio serviço.
Agente do observador de rede
Por que preciso instalar o agente do Observador de Rede?
O agente do Observador de Rede é necessário para qualquer Observador de Rede que gere ou intercepte o tráfego de uma máquina virtual.
Quais recursos exigem o agente do Observador de Rede?
Os recursos de captura de Pacotes, solução de Problemas de Conexão e Monitor da Conexão exigem que a extensão do Observador de Rede esteja presente.
Qual é a versão mais recente do agente Observador de Rede?
A versão mais recente da extensão do Observador de Rede é atualmente 1.4.3422.1
. Para mais informações, consulte Atualizar a extensão do Observador de Rede para a versão mais recente.
Quais portas o agente do Observador de Rede usa?
- Linux: o Agente do Observador de Rede usa portas disponíveis a partir de
port 50000
até chegarport 65535
. - Windows: o agente do Observador de Rede usa as portas com as quais o sistema operacional responde quando consultado para portas disponíveis.
Com quais endereços IP o Agente do Observador de Rede se comunica?
O Agente do Observador de Rede requer conectividade TCP de saída para 169.254.169.254
por port 80
e 168.63.129.16
por port 8037
. O agente usa esses endereços IP para se comunicar com a plataforma Azure.
Monitor de conexão
O Monitor da Conexão é compatível com VMs clássicas?
Não, o monitor da conexão não é compatível com VMs clássicas. Para saber mais, confira Migrar recursos de IaaS do Clássico para o Azure Resource Manager.
E se minha topologia não está decorada ou meus saltos têm informações ausentes?
A topologia poderá ser decorada de não Azure para Azure somente se o recurso do Azure de destino e o recurso do monitor da conexão estiverem na mesma região.
O que acontece se o monitor da conexão falhar na criação com o seguinte erro: "A criação de pontos de extremidade diferentes para a mesma VM não é permitida"?
A mesma VM do Azure não pode ser usada com configurações diferentes no mesmo monitor de conexão. Por exemplo, não há suporte para usar a mesma VM com um filtro e sem um filtro no mesmo monitor da conexão.
O que acontece se o motivo da falha de teste é "Nada para exibir"?
Problemas exibidos no painel do monitor da conexão são encontrados durante a descoberta de topologia ou a exploração de salto. Pode haver casos em que o limite definido para % de perda ou RTT é violado, mas nenhum problema é encontrado nos saltos.
Ao migrar um monitor de conexão existente (clássico) para o monitor de conexão mais recente, o que acontece se os testes de ponto de extremidade externos forem migrados apenas com o protocolo TCP?
Não há nenhuma opção de seleção de protocolo no monitor de conexão (clássico). Os testes no monitor de conexão (clássico) usam apenas o protocolo TCP e é por isso que, durante a migração, criamos uma configuração TCP em testes no novo monitor de conexão.
Há limitações para usar o Azure Monitor e o Arc Agents com o monitor de conexão?
Atualmente, há um limite regional quando um ponto de extremidade usa agentes do Azure Monitor e do Arc com o workspace do Log Analytics associado. Como resultado dessa limitação, o workspace associado do Log Analytics deve estar na mesma região que o ponto de extremidade arc. Os dados ingeridos em workspaces individuais podem ser sindicalizados para uma única exibição, consulte os Dados de consulta em workspaces, aplicativos e recursos do Log Analytics no Azure Monitor.
Logs de fluxo
O que o registro em log do fluxo faz?
Os logs de fluxo permitem que você registre informações de fluxo de 5 tuplas sobre o tráfego IP do Azure que passa por um grupo de segurança de rede ou rede virtual do Azure. Os logs de fluxo bruto são gravados em uma conta de Armazenamento do Azure. A partir daí, você poderá processá-los, analisá-los, consultá-los ou exportá-los conforme necessário.
Os logs de fluxo afetam minha latência ou desempenho de rede?
Os dados do log de fluxo são coletados fora do caminho do tráfego de rede, portanto, não afetam a taxa de transferência ou a latência da rede. Você pode criar ou excluir logs de fluxo sem nenhum risco de impacto no desempenho da rede.
Qual é a diferença entre os logs de fluxo do NSG e o diagnóstico de NSG?
Os logs de fluxo do grupo de segurança de rede registram o tráfego de log fluindo por meio de um grupo de segurança de rede. Por outro lado, o diagnóstico NSG retorna todos os grupos de segurança de rede que o tráfego está atravessando e as regras de cada grupo de segurança de rede que são aplicadas a esse tráfego. Use o diagnóstico NSG para verificar se as regras do grupo de segurança de rede estão sendo aplicadas conforme o esperado.
Posso registrar o tráfego ESP e AH usando logs de fluxo de grupo de segurança de rede?
Não, os logs de fluxo do grupo de segurança de rede não dão suporte a protocolos ESP e AH.
Posso registrar em log o tráfego ICMP usando logs de fluxo?
Não, os logs de fluxo do grupo de segurança de rede e os logs de fluxo da rede virtual não dão suporte ao protocolo ICMP.
Posso excluir um grupo de segurança de rede que tem o log de fluxo habilitado?
Sim. O recurso de log de fluxo associado também será excluído. Os dados do log de fluxo são mantidos na conta de armazenamento pelo período de retenção configurado no log de fluxo.
Posso mover um grupo de segurança de rede que tenha o log de fluxo habilitado para um grupo de recursos ou uma assinatura diferente?
Sim, mas você deve excluir o recurso de log de fluxo associado. Depois de migrar um grupo de segurança de rede, você precisará recriar os logs de fluxo para habilitar o registro em log de fluxo nesse grupo.
Posso usar uma conta de armazenamento em uma assinatura diferente do grupo de segurança de rede ou rede virtual para a qual o log de fluxo está habilitado?
Sim, você pode usar uma conta de armazenamento de uma assinatura diferente, desde que essa assinatura esteja na mesma região do grupo de segurança de rede e esteja associada ao mesmo locatário do Microsoft Entra do grupo de segurança de rede ou assinatura da rede virtual.
Como usar logs de fluxo de grupo de segurança de rede com uma conta de armazenamento por trás de um firewall?
Para usar uma conta de armazenamento por trás de um firewall, você precisa fornecer uma exceção para que os serviços confiáveis da Microsoft acessem a conta de armazenamento:
- Acesse a conta de armazenamento inserindo o nome da conta de armazenamento na caixa de pesquisa na parte superior do portal.
- Em Segurança + rede, selecione Rede e, em seguida, selecione Firewalls e redes virtuais.
- Em Acesso à rede pública, selecione Habilitado em redes virtuais e endereços IP selecionados. Depois, em Exceções, marque a caixa de seleção ao lado de Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento.
- Habilite os logs de fluxo do grupo de segurança de rede criando um log de fluxo para o grupo de segurança de rede de destino usando a conta de armazenamento. Para obter mais informações, consulteCriar um log de fluxo.
Você pode verificar os logs de armazenamento após alguns minutos. Você deverá ver um carimbo TimeStamp atualizado ou um novo arquivo JSON criado.
Por que vejo alguns 403 erros nos logs de atividades da conta de armazenamento?
O Observador de Rede tem um mecanismo de fallback interno que ele usa ao se conectar a uma conta de armazenamento por trás de um firewall (firewall habilitado). Ele tenta se conectar à conta de armazenamento usando uma chave e, se isso falhar, ele alterna para um token. Nesse caso, um erro 403 é registrado no log de atividades da conta de armazenamento.
O Observador de Rede pode enviar dados de logs de fluxo do grupo de segurança de rede para uma conta de armazenamento habilitada com o ponto de extremidade privado?
Sim. O Observador de Rede dá suporte ao envio de dados de logs de fluxo do grupo de segurança de rede para uma conta de armazenamento habilitada com um ponto de extremidade privado.
Como usar os logs de fluxo de grupo de segurança de rede com uma conta de armazenamento por trás de um ponto de extremidade de serviço?
Os logs de fluxo grupo de segurança de rede são compatíveis com pontos de extremidade de serviço sem a necessidade de nenhuma configuração adicional. Para obter mais informações, confira Habilitar um ponto de extremidade de serviço.
Qual é a diferença entre as versões 1 e 2 dos logs de fluxo?
Os logs de fluxo versão 2 apresentam o conceito de estado de fluxo e armazena informações sobre bytes e pacotes transmitidos. Para obter mais informações, confira Formato do log de fluxo do grupo de segurança de rede.
Posso criar um log de fluxo para um grupo de segurança de rede que tenha um bloqueio somente leitura?
Não. Um bloqueio read-only em um grupo de segurança de rede impede a criação do log de fluxo correspondente do grupo de segurança de rede.
Posso criar um log de fluxo para um grupo de segurança de rede que tenha um bloqueio de não poder excluir?
Sim. Um bloqueio cannot-delete em um grupo de segurança de rede não impede a criação ou modificação do log de fluxo correspondente do grupo de segurança de rede.
Posso automatizar os logs de fluxo do grupo de segurança de rede?
Sim, você pode automatizar os logs de fluxo do grupo de segurança de rede por meio de modelos do Azure Resource Manager (ARM). Para obter mais informações, confira Configurar logs de fluxo do NSG usando um modelo do ARM (Azure Resource Manager).