Azure 網(wǎng)絡(luò)觀察程序是什么？

Azure網(wǎng)絡(luò)觀察程序提供所需的工具用于監(jiān)視、診斷Azure虛擬網(wǎng)絡(luò)中的資源、查看其指標(biāo)，以及為其啟用或禁用日志。網(wǎng)絡(luò)觀察程序用于監(jiān)視和修復(fù)IaaS（基礎(chǔ)結(jié)構(gòu)即服務(wù)）產(chǎn)品的網(wǎng)絡(luò)運(yùn)行狀況，其中包括虛擬機(jī)、虛擬網(wǎng)絡(luò)、應(yīng)用程序網(wǎng)關(guān)、負(fù)載均衡器等。注意：它不應(yīng)也不適合PaaS監(jiān)視或Web分析。

監(jiān)視

監(jiān)視虛擬機(jī)與終結(jié)點(diǎn)之間的通信

終結(jié)點(diǎn)可以是另一個(gè)虛擬機(jī)(VM)、完全限定的域名(FQDN)、統(tǒng)一資源標(biāo)識(shí)符(URI)或IPv4地址。連接監(jiān)視器功能定期監(jiān)視通信，并告知VM與終結(jié)點(diǎn)之間的可訪問(wèn)性、延遲和網(wǎng)絡(luò)拓?fù)渥兓?。例如，你使用了一個(gè)Web服務(wù)器VM來(lái)與數(shù)據(jù)庫(kù)服務(wù)器VM通信。組織中你不認(rèn)識(shí)的某個(gè)人可能對(duì)Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器VM或子網(wǎng)應(yīng)用了自定義的路由或網(wǎng)絡(luò)安全規(guī)則。

如果某個(gè)終結(jié)點(diǎn)不可訪問(wèn)，連接故障排除機(jī)制會(huì)告知原因。原因可能在于DNS名稱解析問(wèn)題、CPU、內(nèi)存、VM操作系統(tǒng)中的防火墻、自定義路由的躍點(diǎn)類型、VM的安全規(guī)則，或出站連接的子網(wǎng)。詳細(xì)了解Azure中的安全規(guī)則和路由躍點(diǎn)類型。

連接監(jiān)視器還提供在不同時(shí)間段觀察到的最小、平均和最大延遲。了解連接的延遲后，你可能會(huì)發(fā)現(xiàn)，將Azure資源移到不同的Azure區(qū)域能夠降低延遲。詳細(xì)了解如何確定Azure區(qū)域與Internet服務(wù)提供商之間的相對(duì)延遲，以及如何使用連接監(jiān)視器監(jiān)視VM與終結(jié)點(diǎn)之間的通信。若要測(cè)試某個(gè)時(shí)間點(diǎn)的連接，而不是監(jiān)視各時(shí)間段的連接（像使用連接監(jiān)視器所做的那樣），請(qǐng)使用連接故障排除功能。

網(wǎng)絡(luò)性能監(jiān)視器是一項(xiàng)基于云的混合網(wǎng)絡(luò)監(jiān)視解決方案，可幫助你監(jiān)視網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中不同點(diǎn)之間的網(wǎng)絡(luò)性能。它還可以監(jiān)視到服務(wù)和應(yīng)用程序終結(jié)點(diǎn)的網(wǎng)絡(luò)連接，以及Azure ExpressRoute的性能。網(wǎng)絡(luò)性能監(jiān)視器可檢測(cè)諸如流量黑洞、路由錯(cuò)誤之類的網(wǎng)絡(luò)問(wèn)題，以及傳統(tǒng)網(wǎng)絡(luò)監(jiān)視方法無(wú)法檢測(cè)到的問(wèn)題。只要突破網(wǎng)絡(luò)鏈接的閾值，解決方案就會(huì)生成警報(bào)并進(jìn)行通知。它還可以確保及時(shí)檢測(cè)到網(wǎng)絡(luò)性能問(wèn)題，然后確定問(wèn)題根源所在的特定網(wǎng)絡(luò)段或設(shè)備。詳細(xì)了解網(wǎng)絡(luò)性能監(jiān)視器。

查看虛擬網(wǎng)絡(luò)中的資源及其關(guān)系

將資源添加到虛擬網(wǎng)絡(luò)后，可能難以了解哪些資源位于虛擬網(wǎng)絡(luò)中，以及它們彼此之間的關(guān)系。使用拓?fù)涔δ芸梢陨商摂M網(wǎng)絡(luò)中的資源及其相互關(guān)系的視覺(jué)圖示。下圖顯示了某個(gè)虛擬網(wǎng)絡(luò)的示例拓?fù)鋱D示，其中包含三個(gè)子網(wǎng)、兩個(gè)VM、網(wǎng)絡(luò)接口、公共IP地址、網(wǎng)絡(luò)安全組、路由表和資源之間的關(guān)系：

可以下載svg格式的可編輯圖片版本。詳細(xì)了解拓?fù)湟晥D。

診斷

診斷傳入或傳出VM的網(wǎng)絡(luò)流量篩選問(wèn)題

部署VM時(shí)，Azure會(huì)向VM應(yīng)用多個(gè)默認(rèn)安全規(guī)則，以允許或拒絕傳入/傳出VM的流量?？梢蕴娲鶤zure的默認(rèn)規(guī)則，或創(chuàng)建其他規(guī)則。有時(shí)，VM可能會(huì)由于安全規(guī)則而無(wú)法與其他資源通信。使用IP流驗(yàn)證功能可以指定源和目標(biāo)IPv4地址、端口、協(xié)議（TCP或UDP）和流量方向（入站或出站）。然后，IP流驗(yàn)證會(huì)測(cè)試通信，并告知連接是成功還是失敗。如果連接失敗，IP流驗(yàn)證會(huì)告知哪個(gè)安全規(guī)則允許或拒絕了通信，以便可以解決問(wèn)題。通過(guò)完成診斷虛擬機(jī)網(wǎng)絡(luò)流量篩選問(wèn)題教程，了解有關(guān)IP流驗(yàn)證的更多信息。

診斷VM的網(wǎng)絡(luò)路由問(wèn)題

創(chuàng)建虛擬網(wǎng)絡(luò)時(shí)，Azure將為網(wǎng)絡(luò)流量創(chuàng)建多個(gè)默認(rèn)出站路由。來(lái)自虛擬網(wǎng)絡(luò)中部署的所有資源（例如VM）的出站流量將會(huì)根據(jù)Azure的默認(rèn)路由進(jìn)行路由?？梢蕴娲鶤zure的默認(rèn)路由，或創(chuàng)建其他路由。你可能發(fā)現(xiàn)，特定的路由導(dǎo)致VM不再能夠與其他資源通信。使用下一個(gè)躍點(diǎn)功能可以指定源和目標(biāo)IPv4地址。下一躍點(diǎn)會(huì)測(cè)試通信，并告知使用了哪種類型的下一躍點(diǎn)來(lái)路由流量。然后，可以刪除、更改或添加路由，以解決路由問(wèn)題。詳細(xì)了解下一躍點(diǎn)功能。

診斷VM的出站連接

使用連接故障排除功能可以測(cè)試VM與另一個(gè)VM、FQDN、URI或IPv4地址之間的連接。該項(xiàng)測(cè)試返回的信息與使用連接監(jiān)視器功能返回的信息類似，但測(cè)試的是某個(gè)時(shí)間點(diǎn)的連接，而不是像連接監(jiān)視器那樣監(jiān)視各時(shí)間段的連接。詳細(xì)了解如何使用連接故障排除來(lái)排查連接問(wèn)題。

捕獲傳入和傳出VM的數(shù)據(jù)包

高級(jí)篩選選項(xiàng)和精細(xì)控制（例如設(shè)置時(shí)間與大小限制的功能）提供了多樣性?？蓪⒉东@的數(shù)據(jù)存儲(chǔ)在Azure存儲(chǔ)和/或VM磁盤中。然后，可以使用多種標(biāo)準(zhǔn)網(wǎng)絡(luò)捕獲分析工具來(lái)分析捕獲文件。詳細(xì)了解數(shù)據(jù)包捕獲。

診斷Azure虛擬網(wǎng)絡(luò)網(wǎng)關(guān)和連接的問(wèn)題

虛擬網(wǎng)絡(luò)網(wǎng)關(guān)在本地資源與Azure虛擬網(wǎng)絡(luò)之間提供連接。監(jiān)視網(wǎng)關(guān)及其連接對(duì)于確保通信不中斷至關(guān)重要。使用VPN診斷功能可以診斷網(wǎng)關(guān)和連接。VPN診斷功能診斷網(wǎng)關(guān)或網(wǎng)關(guān)連接的運(yùn)行狀況，并告知網(wǎng)關(guān)和網(wǎng)關(guān)連接是否可用。如果網(wǎng)關(guān)或連接不可用，VPN診斷會(huì)告知原因，以便可以解決問(wèn)題。通過(guò)完成診斷網(wǎng)絡(luò)之間的通信問(wèn)題教程，了解有關(guān)VPN診斷的更多信息。

確定Azure區(qū)域與Internet服務(wù)提供商之間的相對(duì)延遲

可以在網(wǎng)絡(luò)觀察程序中查詢Azure區(qū)域之間以及不同Internet服務(wù)提供商之間的延遲信息。了解Azure區(qū)域之間以及不同Internet服務(wù)提供商之間的延遲后，可以部署Azure資源來(lái)優(yōu)化網(wǎng)絡(luò)響應(yīng)時(shí)間。詳細(xì)了解相對(duì)延遲。

查看網(wǎng)絡(luò)接口的安全規(guī)則

網(wǎng)絡(luò)接口的有效安全規(guī)則是應(yīng)用到網(wǎng)絡(luò)接口以及網(wǎng)絡(luò)接口所在子網(wǎng)的所有安全規(guī)則的組合。安全組視圖功能顯示應(yīng)用到網(wǎng)絡(luò)接口、網(wǎng)絡(luò)接口所在的子網(wǎng)和兩者的聚合的所有安全規(guī)則。了解已將哪些規(guī)則應(yīng)用到網(wǎng)絡(luò)接口后，可以添加、刪除規(guī)則，或者更改規(guī)則（如果這些規(guī)則允許或拒絕所要更改的流量）。詳細(xì)了解安全組視圖。

指標(biāo)

在一個(gè)Azure訂閱和區(qū)域中可以創(chuàng)建的網(wǎng)絡(luò)資源數(shù)有限制。如果超過(guò)了限制，則無(wú)法在該訂閱或區(qū)域中創(chuàng)建更多的資源。網(wǎng)絡(luò)訂閱限制功能匯總每個(gè)網(wǎng)絡(luò)資源在某個(gè)訂閱和區(qū)域中部署的數(shù)目，以及該資源的限制。下圖顯示了在美國(guó)東部區(qū)域?yàn)槟硞€(gè)示例訂閱部署的網(wǎng)絡(luò)資源的部分輸出：

在規(guī)劃將來(lái)的資源部署時(shí)，此信息非常有用。

日志

分析傳入或傳出網(wǎng)絡(luò)安全組的流量

網(wǎng)絡(luò)安全組(NSG)允許或拒絕VM中網(wǎng)絡(luò)接口的入站或出站流量。使用NSG流日志功能可以記錄源和目標(biāo)IP地址、端口、協(xié)議，以及NSG是允許還是拒絕了流量。可以使用各種工具（例如PowerBI）和流量分析功能來(lái)分析日志。流量分析提供寫入NSG流日志的數(shù)據(jù)的豐富可視化效果。下圖顯示了流量分析功能在處理NSG流日志數(shù)據(jù)后顯示的部分信息和可視化效果：

通過(guò)完成記錄出入虛擬機(jī)的網(wǎng)絡(luò)流量教程，了解有關(guān)NSG流日志的更多信息以及如何實(shí)現(xiàn)流量分析。

查看網(wǎng)絡(luò)資源的診斷日志

可以針對(duì)網(wǎng)絡(luò)安全組、公共IP地址、負(fù)載均衡器、虛擬網(wǎng)絡(luò)網(wǎng)關(guān)和應(yīng)用程序網(wǎng)關(guān)等Azure網(wǎng)絡(luò)資源啟用診斷日志記錄?！霸\斷日志”功能提供單個(gè)界面，用于針對(duì)生成診斷日志的任何現(xiàn)有網(wǎng)絡(luò)資源啟用和禁用網(wǎng)絡(luò)資源診斷日志?？墒褂肕icrosoft Power BI和Azure Monitor日志等工具查看診斷日志。若要詳細(xì)了解如何分析Azure網(wǎng)絡(luò)診斷日志，請(qǐng)參閱Azure Monitor日志中的Azure網(wǎng)絡(luò)解決方案。

網(wǎng)絡(luò)觀察程序自動(dòng)啟用

在訂閱中創(chuàng)建或更新虛擬網(wǎng)絡(luò)時(shí)，將在虛擬網(wǎng)絡(luò)的區(qū)域中自動(dòng)啟用網(wǎng)絡(luò)觀察程序。自動(dòng)啟用網(wǎng)絡(luò)觀察程序?qū)Y源或相關(guān)費(fèi)用沒(méi)有任何影響。有關(guān)詳細(xì)信息，請(qǐng)參閱網(wǎng)絡(luò)觀察程序-創(chuàng)建。

后續(xù)步驟

上面就是Azure網(wǎng)絡(luò)觀察程序的概述。若要開(kāi)始使用網(wǎng)絡(luò)觀察程序，請(qǐng)使用IP流驗(yàn)證來(lái)診斷與虛擬機(jī)之間的常見(jiàn)通信問(wèn)題。有關(guān)操作方法，請(qǐng)參閱診斷虛擬機(jī)網(wǎng)絡(luò)流量篩選問(wèn)題快速入門。