Network Watcher 監視および診断ツールを使用したネットワークのトラブルシューティング

Azure Network Watcher には、仮想ネットワークと仮想マシン (VM) を監視するために使用できるいくつかのツールが含まれています。 Network Watcher を効果的に利用するには、使用可能なすべてのオプションと各ツールの目的を理解することが不可欠です。

エンジニアリング会社では、各トラブルシューティング タスクに適した Network Watcher ツールをスタッフが選択できるように支援したいと考えています。 利用可能なすべてのオプションと、各ツールが解決できる問題の種類を理解する必要があります。

ここでは、Network Watcher ツールのカテゴリ、各カテゴリのツール、およびユース ケースの例で各ツールがどのように適用されるかを確認します。

Network Watcher とは

Network Watcher は、中央の場所にあるツールを組み合わせて Azure ネットワークの正常性を診断する Azure サービスです。 Network Watcher ツールは、次の 3 つのカテゴリに分かれています。

• 監視ツール
• ネットワーク診断ツール
• トラフィック ログ ツール

Network Watcher には、問題を監視および診断するためのツールがあります。 ネットワークの不具合、CPU スパイク、接続の問題、メモリ リーク、その他の問題を特定するための一元化されたハブが、ビジネスに影響を与える前に提供されます。

Network Watcher 監視ツール

Network Watcher には、次の 3 つの監視ツールが用意されています。

• トポロジ
• 接続モニター
• Network Performance Monitor

これらの各ツールを見てみましょう。

トポロジ ツールとは

トポロジ ツールは、Azure 仮想ネットワーク、そのリソース、相互接続、および相互の関係をグラフィカルに表示します。

同僚によって作成された仮想ネットワークのトラブルシューティングを行う必要があるとします。 ネットワーク作成プロセスに関与していない限り、インフラストラクチャのすべての側面について理解していない可能性があります。 トラブルシューティングを開始する前に、トポロジ ツールを使用して、処理しているインフラストラクチャを視覚化して理解することができます。

Azure portal を使用して、Azure ネットワークのトポロジを表示します。 Azure portal で次の操作を行います。

1. Azure portal にサインインし、Network Watcher を検索して選択します。

2. [Network Watcher] メニューで、[監視] の下にある [トポロジ] を選択します。

3. サブスクリプション、仮想ネットワークのリソース グループ、仮想ネットワーク自体を選択します。

   注

   トポロジを生成するには、仮想ネットワークと同じ地理的リージョンに Network Watcher インスタンスが必要です。

   MyVNet という名前の仮想ネットワークに対して生成されるトポロジの例を次に示します。

   

接続モニター ツールとは

接続モニター ツールは、Azure リソース間の接続が機能することを確認する方法を提供します。 このツールを使用して、必要に応じて 2 つの VM が通信できることを確認します。

このツールでは、リソース間の待機時間も測定されます。 ネットワーク構成の変更やネットワーク セキュリティ グループ (NSG) 規則の変更など、接続に影響する変更をキャッチできます。 VM を定期的にプローブして、障害や変更を探すことができます。

問題が発生した場合、接続モニターは、それが発生した理由とその解決方法を示します。 接続モニターは、VM の監視と共に、IP アドレスまたは完全修飾ドメイン名 (FQDN) を調べることができます。

ネットワーク パフォーマンス モニター ツールとは

Network Performance Monitor ツールを使用すると、待機時間とパケットの低下を経時的に追跡してアラートを生成できます。 ネットワークを一元的に表示できます。

Network Performance Monitor を使用してハイブリッド接続を監視する場合は、関連付けられているワークスペースがサポートされているリージョンにあることを確認します。

Network Performance Monitor を使用して、エンドポイント間の接続を監視できます。

• ブランチとデータセンターの間
• 仮想ネットワーク間
• オンプレミスとクラウド間の接続
• Azure ExpressRoute 回線の場合

Network Watcher 診断ツール

Network Watcher には、次の診断ツールが含まれています。

• IP フロー検証
• NSG 診断
• 次のホップ
• 有効なセキュリティ規則
• パケット キャプチャ
• 接続のトラブルシューティング
• VPN のトラブルシューティング

各ツールを調べて、問題の解決にどのように役立つかを見てみましょう。

IP フロー検証ツールとは

IP フロー検証ツールは、特定の仮想マシンに対してパケットが許可または拒否されるかどうかを示します。 ネットワーク セキュリティ グループがパケットを拒否した場合、問題を解決できるように、そのグループの名前がツールによって通知されます。

このツールでは、5 タプルのパケット パラメーター ベースの検証メカニズムを使用して、VM からのパケットの受信または送信が許可または拒否されているかどうかを検出します。 ツール内で、ローカル ポートとリモート ポート、プロトコル (TCP または UDP)、ローカル IP、リモート IP、VM、VM のネットワーク アダプターを指定します。

NSG 診断ツールとは

ネットワーク セキュリティ グループ (NSG) 診断ツールは、ネットワークのセキュリティ構成を理解してデバッグするのに役立つ詳細情報を提供します。

特定のソースと宛先のペアについて、ツールに次の情報が表示されます。

• 走査する NSG。
• 各 NSG で適用される規則。
• フローの最終的な許可/拒否状態。

Azure Virtual Network で許可または拒否されるトラフィック フローを理解することで、NSG ルールが正しく構成されているかどうかを判断できます。

次のホップツールとは何ですか？

VM が宛先にパケットを送信すると、その過程で複数のホップが発生する可能性があります。 たとえば、宛先が別の仮想ネットワーク内の VM である場合、次ホップは、パケットを宛先 VM にルーティングする仮想ネットワーク ゲートウェイに送信される可能性があります。

次ホップ ツールを使用すると、VM から任意の宛先へのパケットの取得方法を決定できます。 ソース VM、ソース ネットワーク アダプター、ソース IP アドレス、および宛先 IP アドレスを指定します。 その後、ツールによってパケットのルートが決定されます。 このツールを使用して、不適切なルーティング テーブルによって発生する問題を診断できます。

効果的なセキュリティ規則ツールは何ですか?

Network Watcher の有効なセキュリティ規則ツールは、ネットワーク インターフェイスに適用されたすべての有効な NSG ルールを表示します。

ネットワーク セキュリティ グループ (NSG) は、送信元と送信先の IP アドレスとポート番号に基づいてパケットをフィルター処理するために、Azure ネットワークで使用されます。 NSG は、ユーザーがアクセスできる VM の領域を慎重に制御するのに役立つため、セキュリティに不可欠です。 ただし、誤って構成された NSG ルールが正当な通信を妨げる可能性があることに注意してください。 その結果、NSG はネットワークの問題の頻繁な原因となります。

たとえば、NSG ルールによってブロックされているために 2 つの VM が通信できない場合、問題の原因となっているルールを診断するのが困難な場合があります。 Network Watcher の有効なセキュリティ規則ツールを使用して、すべての有効な NSG ルールを表示し、特定の問題の原因となっているルールを診断するのに役立ちます。

このツールを使用するには、VM とそのネットワーク アダプターを選択します。 このツールには、そのアダプターに適用されるすべての NSG ルールが表示されます。 この一覧を表示すると、ブロックルールを簡単に特定できます。

また、このツールを使用して、不要な開いているポートによって引き起こされる VM の脆弱性を特定することもできます。

パケット キャプチャ ツールとは

パケット キャプチャ ツールは、VM との間で送受信されるすべてのパケットを記録します。 有効にすると、キャプチャを確認してネットワーク トラフィックに関する統計情報を収集したり、プライベート仮想ネットワーク上の予期しないネットワーク トラフィックなどの異常を診断したりできます。

パケット キャプチャ ツールは、Network Watcher を使用してリモートで起動される仮想マシン拡張機能です。 パケット キャプチャ セッションを開始すると、自動的に開始されます。

リージョンごとに許可されるパケット キャプチャ セッションの数には制限があることに注意してください。 既定の使用制限は、リージョンあたり 100 パケット キャプチャ セッションであり、全体の制限は 10,000 です。 これらの制限は、保存されたキャプチャではなく、セッションの数に対してのみ行われます。 キャプチャしたパケットは、Azure Storage またはコンピューター上のローカルに保存できます。

パケット キャプチャは、VM にインストールされている Network Watcher エージェント VM 拡張機能 に依存します。 Windows および Linux VM への拡張機能のインストールの詳細については、このモジュールの最後にある「詳細情報」セクションを参照してください。

接続のトラブルシューティング ツールとは

接続のトラブルシューティング ツールを使用して、ソース VM と宛先 VM の間の TCP 接続を確認します。 FQDN、URI、または IP アドレスを使用して、宛先 VM を指定できます。

接続が成功すると、次のような通信に関する情報が表示されます。

• ミリ秒単位の待機時間。
• 送信されたプローブ パケットの数。
• 宛先への完全なルート内のホップの数。

接続に失敗した場合は、エラーの詳細が表示されます。 障害の種類は次のとおりです。

• CPU。 CPU 使用率が高いため、接続に失敗しました。
• メモリ。 メモリ使用率が高いため、接続に失敗しました。
• GuestFirewall。 Azure の外部のファイアウォールによって接続がブロックされました。
• DNSResolution。 宛先 IP アドレスを解決できませんでした。
• NetworkSecurityRule。 NSG によって接続がブロックされました。
• UserDefinedRoute。 ルーティング テーブルに正しくないユーザー ルートがあります。

VPN トラブルシューティング ツールとは

VPN トラブルシューティング ツールを使用して、仮想ネットワーク ゲートウェイ接続に関する問題を診断できます。 このツールは、仮想ネットワーク ゲートウェイ接続で診断を実行し、正常性診断を返します。

VPN トラブルシューティング ツールを起動すると、Network Watcher はゲートウェイまたは接続の正常性を診断し、適切な結果を返します。 要求は実行時間の長いトランザクションです。

次の表に、さまざまな障害の種類の例を示します。

エラーの種類	理由	ログ
ノーフォールト	エラーは検出されません。	イエス
ゲートウェイが見つかりません	ゲートウェイが見つからない、もしくはプロビジョニングされていません。	いいえ
計画的メンテナンス	ゲートウェイ インスタンスはメンテナンス中です。	いいえ
ユーザー主導アップデート	ユーザーの更新が進行中です。 更新はサイズ変更操作である可能性があります。	いいえ
VipUnResponsive (英語)	正常性プローブの失敗のため、ゲートウェイのプライマリ インスタンスに到達できません。	いいえ
プラットフォーム非アクティブ	プラットフォームに問題があります。	いいえ

トラフィック ログ ツール

Network Watcher には、次の 2 つのトラフィック ツールが含まれています。

• フロー ログ
• トラフィック分析

フロー ログ ツールとは

フロー ログを使用すると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、Azure Storage にデータを格納します。 Azure Storage からフロー データにアクセスし、任意の視覚化ツール、セキュリティ情報およびイベント管理 (SIEM) ソリューション、または任意の侵入検出システム (IDS) にエクスポートできます。 このデータを使用して、トラフィック パターンを分析し、接続の問題のトラブルシューティングを行うことができます。

フロー ログのユース ケースは、2 種類に分類できます。 ネットワーク監視と使用状況の監視と最適化。

ネットワーク監視

• 不明または不要なトラフィックを特定します。
• トラフィック レベルと帯域幅の消費を監視します。
• アプリケーションの動作を把握するために、フロー ログを IP およびポートでフィルター処理します。
• 任意の分析ツールや視覚化ツールにフロー ログをエクスポートして、監視ダッシュボードを設定します。

使用状況の監視と最適化

• ネットワークのトップ トーカーを特定します。
• フロー データと GeoIP データを組み合わせてリージョン間トラフィックを識別します。
• 容量の予測用にトラフィックの増加について把握します。
• データを使用して、過度に制限されたトラフィック規則を削除します。

トラフィック分析ツールとは

Traffic Analytics は、クラウド ネットワーク内のユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 具体的には、トラフィック分析は Azure Network Watcher NSG フロー ログを分析して、Azure クラウド内のトラフィック フローに関する分析情報を提供します。 トラフィック分析を使用すると、次のことが可能になります。

• Azure サブスクリプション全体のネットワーク アクティビティを視覚化します。
• ホット スポットを特定します。
• 情報を使用して脅威を特定することで、ネットワークをセキュリティで保護します。
• Azure リージョンとインターネット全体にわたるトラフィック フロー パターンを把握して、パフォーマンスと容量に関してネットワークのデプロイを最適化します。
• ネットワークでの接続の失敗の原因になる可能性があるネットワークの構成の誤りを特定します。

Azure Network Watcher のユース ケース シナリオ

Azure Network Watcher の監視と診断を使用して調査およびトラブルシューティングできるシナリオをいくつか見てみましょう。

単一 VM ネットワークに接続の問題がある

同僚が Azure に VM をデプロイし、ネットワーク接続の問題を抱えている。 同僚はリモート デスクトップ プロトコル (RDP) を使用して仮想マシンに接続しようとしていますが、接続できません。

この問題をトラブルシューティングするには、IP フロー検証ツールを使用します。 このツールを使用すると、ローカルおよびリモート ポート、プロトコル (TCP/UDP)、ローカル IP、およびリモート IP を指定して、接続の状態を確認できます。 また、接続の方向 (受信または送信) を指定することもできます。 IP フロー検証では、ネットワーク上の規則に対して論理テストが実行されます。

この場合は、IP フロー検証を使用して、VM の IP アドレスと RDP ポート 3389 を指定します。 次に、リモート VM の IP アドレスとポートを指定します。 TCP プロトコルを選択し、[確認] を選択 します。

NSG ルール DefaultInboundDenyAll が原因でアクセスが拒否されたことが結果に示されたとします。 解決策は、NSG ルールを変更することです。

VPN 接続が機能しない

同僚は 2 つの仮想ネットワークに VM をデプロイし、それらの間で接続することはできません。

VPN 接続のトラブルシューティングを行うには、Azure VPN のトラブルシューティングを使用します。 このツールは、仮想ネットワーク ゲートウェイ接続で診断を実行し、正常性診断を返します。 このツールは、Azure portal、PowerShell、または Azure CLI から実行できます。

ツールを実行すると、ゲートウェイで一般的な問題がチェックされて、正常性診断が返されます。 ログ ファイルを表示して、詳細情報を取得することもできます。 診断では、VPN 接続が機能しているかどうかを示します。 VPN 接続が機能していない場合は、VPN のトラブルシューティングで問題を解決する方法が提案されます。

診断でキーの不一致が示されたとします。 この問題を解決するには、リモート ゲートウェイを再構成して、キーが両端で一致することを確認します。 事前共有キーでは大文字と小文字の区別があります。

指定された宛先ポートでリッスンしているサーバーがない

同僚は 1 つの仮想ネットワークに VM をデプロイし、それらの間で接続することはできません。

接続のトラブルシューティング ツールを使用して、この問題のトラブルシューティングを行います。 このツールでは、ローカル VM とリモート VM を指定します。 プローブ設定では、特定のポートを選択できます。

結果として、リモート サーバーに "仮想マシンのファイアウォール構成によりトラフィックがブロックされました" というメッセージと共に 到達できないとします。リモート サーバーで、ファイアウォールを無効にしてから、接続をもう一度テストします。

サーバーにアクセスできるようになったとします。 この結果は、リモート サーバー上のファイアウォール規則が問題であることを示し、接続を許可するように修正する必要があります。