Azure 网络观察程序是什么?

Azure 网络观察程序提供一套工具,用于监视、诊断 Azure IaaS(基础结构即服务)资源,查看其指标,以及为其启用或禁用日志。 使用网络观察程序可以监视和修复 IaaS 产品的网络运行状况,例如虚拟机 (VM)、虚拟网络 (VNet)、应用程序网关、负载均衡器等。网络观察程序不是为 PaaS 监视或 Web 分析设计或专用的。

网络观察程序由三组主要的工具和功能组成:

显示 Azure 网络观察程序功能的关系图。

注意

在订阅中创建或更新虚拟网络时,在虚拟网络的区域中自动启用网络观察程序。 自动启用网络观察程序对资源或相关费用没有任何影响。 如果之前选择了不自动启用 Azure 网络观察程序,则必须手动启用 Azure 网络观察程序。 有关详细信息,请参阅启用或禁用网络观察程序

监视

网络观察程序提供了两种监视工具,有助于查看和监视资源:

  • 拓扑
  • 连接监视器

拓扑

拓扑提供了整个网络的可视化效果,便于理解网络配置。 它提供了一个交互式界面,用于查看 Azure 中的资源及其关系,涵盖多个订阅、资源组和位置。 有关详细信息,请参阅视图拓扑

连接监视器

连接监视器为 Azure 和混合终结点提供端到端连接监视。 它有助于了解网络基础结构中各种终结点之间的网络性能。 有关详细信息,请参阅连接监视器概述监视两个虚拟机之间的网络通信

网络诊断工具

网络观察程序提供了七种网络诊断工具,可帮助排查和诊断网络问题:

  • IP 流验证
  • NSG 诊断
  • 下一跃点
  • 有效安全规则
  • 连接故障排除
  • 数据包捕获
  • VPN 故障排除

IP 流验证

IP 流验证可用于在虚拟机级别检测流量筛选问题。 它检查是允许还是拒绝来自 IP 地址(IPv4 或 IPv6 地址)的数据包。 它还会告知允许或拒绝流量的安全规则。 有关详细信息,请参阅IP 流验证概述诊断虚拟机网络流量筛选器问题

下一跃点

下一个跃点允许检测路由问题。 它会检查流量是否正确路由到预期目标。 它提供有关特定目标 IP 地址的下一个跃点类型、IP 地址和路由表 ID 的信息。 有关详细信息,请参阅下一个跃点概述诊断虚拟机网络路由问题

有效安全规则

有效安全规则允许查看应用于网络接口的有效安全规则。 它显示应用到网络接口、网络接口所在的子网和两者的聚合的所有安全规则。 有关详细信息,请参阅有效安全规则概述查看安全规则的详细信息

连接故障排除

使用连接故障排除可以测试虚拟机、虚拟机规模集、应用程序网关或 Bastion 主机与虚拟机、FQDN、URI 或 IPv4 地址之间的连接。 该项测试返回的信息与使用连接监视器功能返回的信息类似,但测试的是某个时间点的连接,而不是像连接监视器那样监视各时间段的连接。 有关详细信息,请参阅连接故障排除概述对 Azure 网络观察程序连接进行故障排除

数据包捕获

数据包捕获允许远程创建数据包捕获会话以跟踪进出虚拟机 (VM) 或虚拟机规模集的流量。 有关详细信息,请参阅数据包捕获管理虚拟机的数据包捕获

VPN 故障排除

使用VPN 故障排除可以对虚拟网络网关及其连接进行故障排除。 有关详细信息,请参阅VPN 故障排除概述诊断网络之间的通信问题

交通

网络观察程序提供了两种流量工具,有助于记录和可视化网络流量:

  • 流日志
  • 流量分析

流日志

流日志允许记录有关 Azure IP 流量的信息并将数据存储在 Azure 存储中。 可以记录流经网络安全组或 Azure 虚拟网络的 IP 流量。 有关详细信息,请参阅:

重要

2027 年 9 月 30 日,网络安全组 (NSG) 流日志将停用。 在此停用过程中,从 2025 年 6 月 30 日起,你将无法再创建新的 NSG 流日志。 建议迁移到虚拟网络流日志,从而克服 NSG 流日志的限制。 自停用日期之后,将不再支持使用 NSG 流日志启用的流量分析,并且订阅中的现有 NSG 流日志资源将被删除。 但是,不会删除 NSG 流日志记录,并将继续遵循其各自的保留策略。 有关详细信息,请查看官方公告

流量分析

流量分析提供流日志数据的丰富可视化效果。 有关流量分析的详细信息,请参阅流量分析使用 Azure Policy 管理流量分析

显示网络观察程序的流量分析功能的屏幕截图。

使用情况 + 配额

网络观察程序的“使用情况 + 配额”功能概述了订阅和区域内部署的网络资源,包括每个资源的当前使用情况和相应的限制。 有关详细信息,请参阅网络限制,了解每个订阅每个区域每个 Azure 网络资源的限制。 此信息在规划未来的资源部署时非常有用,因为如果在订阅或区域内达到资源限制,无法创建更多资源。

屏幕截图显示了 Azure 门户中每个订阅的网络资源使用情况和限制。

网络观察程序限制

网络观察程序具有以下限制:

资源 限制
每个订阅在每个区域的网络观察程序实例数量 1 个(一个区域中有一个实例用于支持访问该区域中的服务)
每个订阅在每个区域的连接监视器数量 100
每个连接监视器的最大测试组数量 20
每个连接监视器的最大源和目标数量 100
每个连接监视器的最大测试配置数量 20
每个订阅在每个区域的数据包捕获会话数量 10,000 个(只是会话数,不是保存的捕获数)
每个订阅的 VPN 故障排除操作数量 1 个(同一时间的操作数量)

定价

有关定价详细信息,请参阅网络观察程序定价

服务级别协议 (SLA)

有关服务级别协议的详细信息,请参阅联机服务的服务级别协议 (SLA)

常见问题 (FAQ)

要获取有关网络观察程序的最常见问题解答,请参阅Azure 网络观察程序常见问题解答 (FAQ)

新增功能

要查看最新的网络观察程序功能更新,请参阅服务更新