Azure 網(wǎng)絡(luò)觀察程序是什么？

Azure網(wǎng)絡(luò)觀察程序提供所需的工具用于監(jiān)視、診斷Azure虛擬網(wǎng)絡(luò)中的資源、查看其指標，以及為其啟用或禁用日志。網(wǎng)絡(luò)觀察程序用于監(jiān)視和修復IaaS（基礎(chǔ)結(jié)構(gòu)即服務(wù)）產(chǎn)品的網(wǎng)絡(luò)運行狀況，其中包括虛擬機、虛擬網(wǎng)絡(luò)、應(yīng)用程序網(wǎng)關(guān)、負載均衡器等。注意：它不應(yīng)也不適合PaaS監(jiān)視或Web分析。

監(jiān)視

監(jiān)視虛擬機與終結(jié)點之間的通信

終結(jié)點可以是另一個虛擬機(VM)、完全限定的域名(FQDN)、統(tǒng)一資源標識符(URI)或IPv4地址。連接監(jiān)視器功能定期監(jiān)視通信，并告知VM與終結(jié)點之間的可訪問性、延遲和網(wǎng)絡(luò)拓撲變化。例如，你使用了一個Web服務(wù)器VM來與數(shù)據(jù)庫服務(wù)器VM通信。組織中你不認識的某個人可能對Web服務(wù)器、數(shù)據(jù)庫服務(wù)器VM或子網(wǎng)應(yīng)用了自定義的路由或網(wǎng)絡(luò)安全規(guī)則。

如果某個終結(jié)點不可訪問，連接故障排除機制會告知原因。原因可能在于DNS名稱解析問題、CPU、內(nèi)存、VM操作系統(tǒng)中的防火墻、自定義路由的躍點類型、VM的安全規(guī)則，或出站連接的子網(wǎng)。詳細了解Azure中的安全規(guī)則和路由躍點類型。

連接監(jiān)視器還提供在不同時間段觀察到的最小、平均和最大延遲。了解連接的延遲后，你可能會發(fā)現(xiàn)，將Azure資源移到不同的Azure區(qū)域能夠降低延遲。詳細了解如何確定Azure區(qū)域與Internet服務(wù)提供商之間的相對延遲，以及如何使用連接監(jiān)視器監(jiān)視VM與終結(jié)點之間的通信。若要測試某個時間點的連接，而不是監(jiān)視各時間段的連接（像使用連接監(jiān)視器所做的那樣），請使用連接故障排除功能。

網(wǎng)絡(luò)性能監(jiān)視器是一項基于云的混合網(wǎng)絡(luò)監(jiān)視解決方案，可幫助你監(jiān)視網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中不同點之間的網(wǎng)絡(luò)性能。它還可以監(jiān)視到服務(wù)和應(yīng)用程序終結(jié)點的網(wǎng)絡(luò)連接，以及Azure ExpressRoute的性能。網(wǎng)絡(luò)性能監(jiān)視器可檢測諸如流量黑洞、路由錯誤之類的網(wǎng)絡(luò)問題，以及傳統(tǒng)網(wǎng)絡(luò)監(jiān)視方法無法檢測到的問題。只要突破網(wǎng)絡(luò)鏈接的閾值，解決方案就會生成警報并進行通知。它還可以確保及時檢測到網(wǎng)絡(luò)性能問題，然后確定問題根源所在的特定網(wǎng)絡(luò)段或設(shè)備。詳細了解網(wǎng)絡(luò)性能監(jiān)視器。

查看虛擬網(wǎng)絡(luò)中的資源及其關(guān)系

將資源添加到虛擬網(wǎng)絡(luò)后，可能難以了解哪些資源位于虛擬網(wǎng)絡(luò)中，以及它們彼此之間的關(guān)系。使用拓撲功能可以生成虛擬網(wǎng)絡(luò)中的資源及其相互關(guān)系的視覺圖示。下圖顯示了某個虛擬網(wǎng)絡(luò)的示例拓撲圖示，其中包含三個子網(wǎng)、兩個VM、網(wǎng)絡(luò)接口、公共IP地址、網(wǎng)絡(luò)安全組、路由表和資源之間的關(guān)系：

可以下載svg格式的可編輯圖片版本。詳細了解拓撲視圖。

診斷

診斷傳入或傳出VM的網(wǎng)絡(luò)流量篩選問題

部署VM時，Azure會向VM應(yīng)用多個默認安全規(guī)則，以允許或拒絕傳入/傳出VM的流量?？梢蕴娲鶤zure的默認規(guī)則，或創(chuàng)建其他規(guī)則。有時，VM可能會由于安全規(guī)則而無法與其他資源通信。使用IP流驗證功能可以指定源和目標IPv4地址、端口、協(xié)議（TCP或UDP）和流量方向（入站或出站）。然后，IP流驗證會測試通信，并告知連接是成功還是失敗。如果連接失敗，IP流驗證會告知哪個安全規(guī)則允許或拒絕了通信，以便可以解決問題。通過完成診斷虛擬機網(wǎng)絡(luò)流量篩選問題教程，了解有關(guān)IP流驗證的更多信息。

診斷VM的網(wǎng)絡(luò)路由問題

創(chuàng)建虛擬網(wǎng)絡(luò)時，Azure將為網(wǎng)絡(luò)流量創(chuàng)建多個默認出站路由。來自虛擬網(wǎng)絡(luò)中部署的所有資源（例如VM）的出站流量將會根據(jù)Azure的默認路由進行路由?？梢蕴娲鶤zure的默認路由，或創(chuàng)建其他路由。你可能發(fā)現(xiàn)，特定的路由導致VM不再能夠與其他資源通信。使用下一個躍點功能可以指定源和目標IPv4地址。下一躍點會測試通信，并告知使用了哪種類型的下一躍點來路由流量。然后，可以刪除、更改或添加路由，以解決路由問題。詳細了解下一躍點功能。

診斷VM的出站連接

使用連接故障排除功能可以測試VM與另一個VM、FQDN、URI或IPv4地址之間的連接。該項測試返回的信息與使用連接監(jiān)視器功能返回的信息類似，但測試的是某個時間點的連接，而不是像連接監(jiān)視器那樣監(jiān)視各時間段的連接。詳細了解如何使用連接故障排除來排查連接問題。

捕獲傳入和傳出VM的數(shù)據(jù)包

高級篩選選項和精細控制（例如設(shè)置時間與大小限制的功能）提供了多樣性?？蓪⒉东@的數(shù)據(jù)存儲在Azure存儲和/或VM磁盤中。然后，可以使用多種標準網(wǎng)絡(luò)捕獲分析工具來分析捕獲文件。詳細了解數(shù)據(jù)包捕獲。

診斷Azure虛擬網(wǎng)絡(luò)網(wǎng)關(guān)和連接的問題

虛擬網(wǎng)絡(luò)網(wǎng)關(guān)在本地資源與Azure虛擬網(wǎng)絡(luò)之間提供連接。監(jiān)視網(wǎng)關(guān)及其連接對于確保通信不中斷至關(guān)重要。使用VPN診斷功能可以診斷網(wǎng)關(guān)和連接。VPN診斷功能診斷網(wǎng)關(guān)或網(wǎng)關(guān)連接的運行狀況，并告知網(wǎng)關(guān)和網(wǎng)關(guān)連接是否可用。如果網(wǎng)關(guān)或連接不可用，VPN診斷會告知原因，以便可以解決問題。通過完成診斷網(wǎng)絡(luò)之間的通信問題教程，了解有關(guān)VPN診斷的更多信息。

確定Azure區(qū)域與Internet服務(wù)提供商之間的相對延遲

可以在網(wǎng)絡(luò)觀察程序中查詢Azure區(qū)域之間以及不同Internet服務(wù)提供商之間的延遲信息。了解Azure區(qū)域之間以及不同Internet服務(wù)提供商之間的延遲后，可以部署Azure資源來優(yōu)化網(wǎng)絡(luò)響應(yīng)時間。詳細了解相對延遲。

查看網(wǎng)絡(luò)接口的安全規(guī)則

網(wǎng)絡(luò)接口的有效安全規(guī)則是應(yīng)用到網(wǎng)絡(luò)接口以及網(wǎng)絡(luò)接口所在子網(wǎng)的所有安全規(guī)則的組合。安全組視圖功能顯示應(yīng)用到網(wǎng)絡(luò)接口、網(wǎng)絡(luò)接口所在的子網(wǎng)和兩者的聚合的所有安全規(guī)則。了解已將哪些規(guī)則應(yīng)用到網(wǎng)絡(luò)接口后，可以添加、刪除規(guī)則，或者更改規(guī)則（如果這些規(guī)則允許或拒絕所要更改的流量）。詳細了解安全組視圖。

指標

在一個Azure訂閱和區(qū)域中可以創(chuàng)建的網(wǎng)絡(luò)資源數(shù)有限制。如果超過了限制，則無法在該訂閱或區(qū)域中創(chuàng)建更多的資源。網(wǎng)絡(luò)訂閱限制功能匯總每個網(wǎng)絡(luò)資源在某個訂閱和區(qū)域中部署的數(shù)目，以及該資源的限制。下圖顯示了在美國東部區(qū)域為某個示例訂閱部署的網(wǎng)絡(luò)資源的部分輸出：

在規(guī)劃將來的資源部署時，此信息非常有用。

日志

分析傳入或傳出網(wǎng)絡(luò)安全組的流量

網(wǎng)絡(luò)安全組(NSG)允許或拒絕VM中網(wǎng)絡(luò)接口的入站或出站流量。使用NSG流日志功能可以記錄源和目標IP地址、端口、協(xié)議，以及NSG是允許還是拒絕了流量?？梢允褂酶鞣N工具（例如PowerBI）和流量分析功能來分析日志。流量分析提供寫入NSG流日志的數(shù)據(jù)的豐富可視化效果。下圖顯示了流量分析功能在處理NSG流日志數(shù)據(jù)后顯示的部分信息和可視化效果：

通過完成記錄出入虛擬機的網(wǎng)絡(luò)流量教程，了解有關(guān)NSG流日志的更多信息以及如何實現(xiàn)流量分析。

查看網(wǎng)絡(luò)資源的診斷日志

可以針對網(wǎng)絡(luò)安全組、公共IP地址、負載均衡器、虛擬網(wǎng)絡(luò)網(wǎng)關(guān)和應(yīng)用程序網(wǎng)關(guān)等Azure網(wǎng)絡(luò)資源啟用診斷日志記錄?！霸\斷日志”功能提供單個界面，用于針對生成診斷日志的任何現(xiàn)有網(wǎng)絡(luò)資源啟用和禁用網(wǎng)絡(luò)資源診斷日志?？墒褂肕icrosoft Power BI和Azure Monitor日志等工具查看診斷日志。若要詳細了解如何分析Azure網(wǎng)絡(luò)診斷日志，請參閱Azure Monitor日志中的Azure網(wǎng)絡(luò)解決方案。

網(wǎng)絡(luò)觀察程序自動啟用

在訂閱中創(chuàng)建或更新虛擬網(wǎng)絡(luò)時，將在虛擬網(wǎng)絡(luò)的區(qū)域中自動啟用網(wǎng)絡(luò)觀察程序。自動啟用網(wǎng)絡(luò)觀察程序?qū)Y源或相關(guān)費用沒有任何影響。有關(guān)詳細信息，請參閱網(wǎng)絡(luò)觀察程序-創(chuàng)建。

后續(xù)步驟

上面就是Azure網(wǎng)絡(luò)觀察程序的概述。若要開始使用網(wǎng)絡(luò)觀察程序，請使用IP流驗證來診斷與虛擬機之間的常見通信問題。有關(guān)操作方法，請參閱診斷虛擬機網(wǎng)絡(luò)流量篩選問題快速入門。