Azure 网络观察程序是什么？

Azure 网络观察程序提供了一套工具来监视、诊断、查看指标，以及启用或禁用 Azure IaaS（基础结构即服务）资源的日志。 通过网络观察程序，可以监视和修复 IaaS 产品的网络运行状况，例如虚拟机（VM）、虚拟网络（VNet）、应用程序网关、负载均衡器等。网络观察程序不是针对 PaaS 监视或 Web 分析设计的。网络观察程序不设计或用于 Web 分析。

网络观察程序由三组主要工具和功能组成：

• 监视
  • 拓扑学
  • 连接监视器
• 网络诊断
  • IP 流验证
  • NSG 诊断
  • 下一跳
  • 有效的安全规则
  • 连接故障排除
  • 数据包捕获
  • VPN 故障排除
• 交通
  • 流日志
  • 流量分析

监测

网络观察程序提供了两种监视工具，可帮助你查看和监视资源：

• 拓扑学
• 连接监视器

拓扑学

拓扑工具提供整个网络的可视化效果，用于了解网络配置。 它提供了一个交互式界面，用于查看 Azure 中的资源及其关系，涵盖多个订阅、资源组和位置。 在故障排除过程开始时，此工具可帮助你可视化问题所涉及的所有元素，从而通过查看资源组的内容来查找不明显的内容。

连接监视器

连接监视器 为 Azure 和混合终结点提供端到端连接监视。 它有助于了解网络基础结构中各种终结点之间的网络性能。 可以使用连接监视器来验证托管多层应用程序的组件的两个 IaaS VM 是否可以相互通信。 还可以使用它来验证混合方案中的连接性。

网络诊断工具

网络观察程序提供七种网络诊断工具，可帮助排查和诊断网络问题：

• IP 流验证
• NSG 诊断
• 下一跳
• 有效的安全规则
• 连接故障排除
• 数据包捕获
• VPN 故障排除

IP 流验证

IP 流验证 允许在虚拟机级别检测流量筛选问题。 它验证数据包是否被允许或拒绝发送到或接收自 IP 地址（IPv4 或 IPv6 地址）。 它还会告知您是哪个安全规则允许或拒绝了该流量。

NSG 诊断

NSG 诊断 允许检测虚拟机、虚拟机规模集或应用程序网关级别的流量筛选问题。 它检查数据包是否被允许或者拒绝发往或来自于 IP 地址、IP 前缀或服务标记。 它会告诉你是哪条安全规则允许或拒绝了流量。 它还允许你添加优先级更高的新安全规则，以允许或拒绝流量。

下一跳

下一跳可以识别路由问题。 它会检查流量是否已正确路由到预期目标。 它为您提供特定目标 IP 地址的下一个跃点类型、IP 地址和路由表 ID 的详细信息。

有效的安全规则

有效的安全规则 允许查看应用于网络接口的有效安全规则。 它显示应用于网络接口的所有安全规则、网络接口所位于的子网以及两者的聚合。

连接故障排除

通过连接故障排除 ，可以测试虚拟机、虚拟机规模集、应用程序网关或 Bastion 主机与虚拟机、FQDN、URI 或 IPv4 地址之间的连接。 测试返回的信息与使用连接监视器工具时相似，但不同的是，它在某个特定时间点测试连接，而不像连接监视器那样持续监视连接。

数据包捕获

数据包捕获 允许远程创建数据包捕获会话，以记录传入和传出虚拟机（VM）或虚拟机规模集的所有网络流量。

VPN 故障排除

通过 VPN 故障排除 ，可以对虚拟网络网关及其连接进行故障排除。

交通

网络观察程序提供了两种流量工具，可帮助你记录和可视化网络流量：

• 流日志
• 流量分析

流日志

流日志 允许记录有关 Azure IP 流量的信息，并将数据存储在 Azure 存储中。 可以记录流经网络安全组或 Azure 虚拟网络的 IP 流量。

流量分析

流量分析 提供流日志数据的丰富可视化效果。