Azure 网络观察程序是什么,azure信息保护查看器的作用-ESG跨境

Azure 网络观察程序是什么,azure信息保护查看器的作用

Azure 网络观察程序是什么

Azure网络观察程序提供所需的工具用于监视、诊断Azure虚拟网络中的资源、查看其指标，以及为其启用或禁用日志。网络观察程序用于监视和修复IaaS（基础结构即服务）产品的网络运行状况，其中包括虚拟机、虚拟网络、应用程序网关、负载均衡器等。注意：它不应也不适合PaaS监视或Web分析。

监视

监视虚拟机与终结点之间的通信

终结点可以是另一个虚拟机(VM)、完全限定的域名(FQDN)、统一资源标识符(URI)或IPv4地址。连接监视器功能定期监视通信，并告知VM与终结点之间的可访问性、延迟和网络拓扑变化。例如，你使用了一个Web服务器VM来与数据库服务器VM通信。组织中你不认识的某个人可能对Web服务器、数据库服务器VM或子网应用了自定义的路由或网络安全规则。

如果某个终结点不可访问，连接故障排除机制会告知原因。原因可能在于DNS名称解析问题、CPU、内存、VM操作系统中的防火墙、自定义路由的跃点类型、VM的安全规则，或出站连接的子网。详细了解Azure中的安全规则和路由跃点类型。

连接监视器还提供在不同时间段观察到的最小、平均和最大延迟。了解连接的延迟后，你可能会发现，将Azure资源移到不同的Azure区域能够降低延迟。详细了解如何确定Azure区域与Internet服务提供商之间的相对延迟，以及如何使用连接监视器监视VM与终结点之间的通信。若要测试某个时间点的连接，而不是监视各时间段的连接（像使用连接监视器所做的那样），请使用连接故障排除功能。

网络性能监视器是一项基于云的混合网络监视解决方案，可帮助你监视网络基础结构中不同点之间的网络性能。它还可以监视到服务和应用程序终结点的网络连接，以及Azure ExpressRoute的性能。网络性能监视器可检测诸如流量黑洞、路由错误之类的网络问题，以及传统网络监视方法无法检测到的问题。只要突破网络链接的阈值，解决方案就会生成警报并进行通知。它还可以确保及时检测到网络性能问题，然后确定问题根源所在的特定网络段或设备。详细了解网络性能监视器。

查看虚拟网络中的资源及其关系

将资源添加到虚拟网络后，可能难以了解哪些资源位于虚拟网络中，以及它们彼此之间的关系。使用拓扑功能可以生成虚拟网络中的资源及其相互关系的视觉图示。下图显示了某个虚拟网络的示例拓扑图示，其中包含三个子网、两个VM、网络接口、公共IP地址、网络安全组、路由表和资源之间的关系：

可以下载svg格式的可编辑图片版本。详细了解拓扑视图。

诊断

诊断传入或传出VM的网络流量筛选问题

部署VM时，Azure会向VM应用多个默认安全规则，以允许或拒绝传入/传出VM的流量。可以替代Azure的默认规则，或创建其他规则。有时，VM可能会由于安全规则而无法与其他资源通信。使用IP流验证功能可以指定源和目标IPv4地址、端口、协议（TCP或UDP）和流量方向（入站或出站）。然后，IP流验证会测试通信，并告知连接是成功还是失败。如果连接失败，IP流验证会告知哪个安全规则允许或拒绝了通信，以便可以解决问题。通过完成诊断虚拟机网络流量筛选问题教程，了解有关IP流验证的更多信息。

诊断VM的网络路由问题

创建虚拟网络时，Azure将为网络流量创建多个默认出站路由。来自虚拟网络中部署的所有资源（例如VM）的出站流量将会根据Azure的默认路由进行路由。可以替代Azure的默认路由，或创建其他路由。你可能发现，特定的路由导致VM不再能够与其他资源通信。使用下一个跃点功能可以指定源和目标IPv4地址。下一跃点会测试通信，并告知使用了哪种类型的下一跃点来路由流量。然后，可以删除、更改或添加路由，以解决路由问题。详细了解下一跃点功能。

诊断VM的出站连接

使用连接故障排除功能可以测试VM与另一个VM、FQDN、URI或IPv4地址之间的连接。该项测试返回的信息与使用连接监视器功能返回的信息类似，但测试的是某个时间点的连接，而不是像连接监视器那样监视各时间段的连接。详细了解如何使用连接故障排除来排查连接问题。

捕获传入和传出VM的数据包

高级筛选选项和精细控制（例如设置时间与大小限制的功能）提供了多样性。可将捕获的数据存储在Azure存储和/或VM磁盘中。然后，可以使用多种标准网络捕获分析工具来分析捕获文件。详细了解数据包捕获。

诊断Azure虚拟网络网关和连接的问题

虚拟网络网关在本地资源与Azure虚拟网络之间提供连接。监视网关及其连接对于确保通信不中断至关重要。使用VPN诊断功能可以诊断网关和连接。VPN诊断功能诊断网关或网关连接的运行状况，并告知网关和网关连接是否可用。如果网关或连接不可用，VPN诊断会告知原因，以便可以解决问题。通过完成诊断网络之间的通信问题教程，了解有关VPN诊断的更多信息。

确定Azure区域与Internet服务提供商之间的相对延迟

可以在网络观察程序中查询Azure区域之间以及不同Internet服务提供商之间的延迟信息。了解Azure区域之间以及不同Internet服务提供商之间的延迟后，可以部署Azure资源来优化网络响应时间。详细了解相对延迟。

查看网络接口的安全规则

网络接口的有效安全规则是应用到网络接口以及网络接口所在子网的所有安全规则的组合。安全组视图功能显示应用到网络接口、网络接口所在的子网和两者的聚合的所有安全规则。了解已将哪些规则应用到网络接口后，可以添加、删除规则，或者更改规则（如果这些规则允许或拒绝所要更改的流量）。详细了解安全组视图。

指标

在一个Azure订阅和区域中可以创建的网络资源数有限制。如果超过了限制，则无法在该订阅或区域中创建更多的资源。网络订阅限制功能汇总每个网络资源在某个订阅和区域中部署的数目，以及该资源的限制。下图显示了在美国东部区域为某个示例订阅部署的网络资源的部分输出：

在规划将来的资源部署时，此信息非常有用。

日志

分析传入或传出网络安全组的流量

网络安全组(NSG)允许或拒绝VM中网络接口的入站或出站流量。使用NSG流日志功能可以记录源和目标IP地址、端口、协议，以及NSG是允许还是拒绝了流量。可以使用各种工具（例如PowerBI）和流量分析功能来分析日志。流量分析提供写入NSG流日志的数据的丰富可视化效果。下图显示了流量分析功能在处理NSG流日志数据后显示的部分信息和可视化效果：

通过完成记录出入虚拟机的网络流量教程，了解有关NSG流日志的更多信息以及如何实现流量分析。

查看网络资源的诊断日志

可以针对网络安全组、公共IP地址、负载均衡器、虚拟网络网关和应用程序网关等Azure网络资源启用诊断日志记录。“诊断日志”功能提供单个界面，用于针对生成诊断日志的任何现有网络资源启用和禁用网络资源诊断日志。可使用Microsoft Power BI和Azure Monitor日志等工具查看诊断日志。若要详细了解如何分析Azure网络诊断日志，请参阅Azure Monitor日志中的Azure网络解决方案。

网络观察程序自动启用

在订阅中创建或更新虚拟网络时，将在虚拟网络的区域中自动启用网络观察程序。自动启用网络观察程序对资源或相关费用没有任何影响。有关详细信息，请参阅网络观察程序创建。

后续步骤

上面就是Azure网络观察程序的概述。若要开始使用网络观察程序，请使用IP流验证来诊断与虚拟机之间的常见通信问题。有关操作方法，请参阅诊断虚拟机网络流量筛选问题快速入门。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。