Azure Şəbəkə Monitorinq sistemləri.

Azure Şəbəkə Monitorinq sistemləri

     Yüksək əlçatanlıq və ümumiyyətlə təhlükəsizliyin əsaslı tətbiqi üçün, istənilən servisdə monitorinq sistemi xüsusi rol oynayır. Azure Şəbəkə sistemləri istisna deyildir.

Microsoft Azure şəbəkələrinin monitorinq edilməsi üçün bir neçə alət təklif edir. Bu alətlərdən bəziləri loqlama prinsipi bəziləri diaqnostika məqsədi ilə istifadə oluna bilər. Bəzi həlləri gözdən keçirdək.

 

 

Azure Network Watcher

     Azure Platformasında şəbəkə problemlərinin araşdırılması zamanı ilk ağıla gələn servis əlbəttə ki, Azure Network Watcher xidmətidir. Özündə  bir çox aləti birləşdirən bu servis vasitəsilə biz, şəbəkəni monitor edə, diaqnostika araşdırmaları apara, göstəriciləri nəzarətdə saxlaya və digər prosesləri icra edə bilərik. Bu alətlər hər biri müəyyən həllər üçün nəzərdə tutulmuşdur.

  • Connection Monitor
    • Bütün infrastrukturlarda kritik servislər olur, bu servislərin arasında şəbəkə əlaqəsi son dərəcədə vacib amildir. Nümunə üçün Veb Server və Application server arasında əlaqə keyfiyyəti davamlı olaraq yoxlanılmalıdır və ya Database Server və Application Server arasındakı əlaqədə gecikmələr (latency) minimum həddi keçməməlidir. Connection Monitor aləti davamlı olaraq bu monitorinq işlərin görür və istər virtual maşınlar istərsə də hər hansı servislər arasında başverən gecikmələri, əlaqə keyfiyyətin və digər prosesləri izləyir. Bütün bu funksiyalar virtual maşına xüsusi Network Watcher Agent tətbiqin install etdikdən sonra aktivləşir. Qeyd etmək lazımdır ki, məlumatlar nəinki Azure platformasında yerləşən virtual maşınlar, eləcə də lokal və ya başqa cloud platformasında olan virtual maşınların əlaqələrin Connection Monitor vasitəsilə nəzarətdə saxlamaq mümkündür. Yığılan məlumatlar Azure Monitor servisində saxlanılır.

 

 

  • İP flow verify
    • Virtual şəbəkələrdə çoxlu sayda NSG (Network Security Group) qaydaları, Firewall qaydaları və digər icazə kontrol mexanizmləri ola bilər. Bildiyimiz kimi bu cür kontrol mexanizmləri təhlükəsizlik üçün çox əhəmiyyətli olduğu qədər, səhv konfiqurasiyalar nəticəsində bir çox connection (əlaqə) problemərinə də səbəb olur. Bu cür filterləmə problemlərinin diaqnostikası üçün alətlər lazım olur. İP flow verify aləti bu tip əlaqə problemlərinin araşdırılması zamanı çox effektivdir. Məsələn biz bu servis vasitəsilə mənbə və təyinat istiqamətini (Source and Destination), port və protokol məlumatlarını daxil edərək paketin məhz hansı instansiyada “drop” olduğunu təyin edə bilərik.

 

 

  • Next Hop Tool
    • Marşrutlama (Routing) probıemlərinin diaqnostikası üçün Azure Network Watcher servisinin Next Hop alətindən istifadə edə bilərsiniz. Bildiyimiz kimi virtual maşının trafiki təyin olunduğu nöqtəyə çatmaq üçün marşrut cədvəlindən istifadə edir. Bəzən bu cədvəllərdə səhv və ya natamam konfiqurisayalar edilə bilər, hansı ki trafikin tamamilə səhv istiqamətdə hərəkətinə və yaxud ümumiyyətlə heç bir yerə çatmamasına gətirir. Next Hop alətinin köməkliyi ilə biz paketin Source və destination ünvanların qeyd edərək trafikin ilkin nöqtədən sonra hansı instansiyalara yönləndiyin görə bilərik.

 

  • VPN TroubleShoot
    • Servisin adından bəlli olduğu kimi, bu alət vasitəsilə VPN Gateway və digər VPN birləşmə komponentlərin test edə, onlarda problem yarandığı zaman diaqnostikasını həyata keçirə bilərik. Bu alət hal hazırda ExpressRoute və Policy Based VPN birləşmələrin diaqnostikasını dəstəkləmir. Test prosesin başlatdıqdan sonra nəticələr Storage account-da saxlanılır.

 

  • Metrics
    • Bu bölmədə şəbəkə ilə bağlı olan Subscription limitləri barədə göstəricilər əks edilir. Bildiyimiz kimi, Azure platformasında bir çox resursların istifadəsində müəyyən limitlər vardır. Bu limitlərr kifayət qədər böyük infrastruktura bəs etsədə lazım olduğu halda bir çoxu müraciət əsasında artırıla bilir. Resurs limitinin artırılması barədə sorğunu Metrics bölümünün altındakı Usage + Quotas panelindəki düymə vasitəsilə edə bilərsiniz.

 

 

  • NSG Flow Logs
    • Azure Network Watcher servisin əsas alətlərindən biri sayılan NSG Flow Logs vasitəsilə virtual maşına daxil olan bütün trafik loqların qeydə ala bilərik. Bu loqlara source və destination İP ünvanlar, portlar, protocol növləri, trafikin icazə verilməsi və ya blok edilməsi barədə məlumatlar daxildir. Əlbəttə ki, bu məlumatların əldə edilməsi üçün NSG qaydalar virtual maşın şəbəkə interfeyslərinə və ya subnetə əlavə edilməlidir. Çünki, NSG Flow Logs aləti məhz NSG servisindən keçən məlumatları loq şəklində qeydə alır. Bu loqlar JSON formatında storage accountda saxlanılır.
  • Traffic Analytics
    • Bu servis NSG Flow Logs tərəfindən yığılan loqları vizualizasiya edərək, daha rahat başa düşülməsi və bir çox şəbəkə analizlərini həyata keçirtmək üçün nəzərdə tutulub. Bu loqlardan alınan məlumatların daha geniş və ətraflı monitorinqi üçün Traffic Analytics paketlərin ünvanı əsasında coğrafi nöqtələri təyin edir, təhlükəsizlik göstəriciləri və şəbəkənin ümumi topologiyasın da nəzərə alaraq reportlar təqdim edir. Bu reportlarda təhlükəli sayılan İP ünvanlardan gələn sorğular, blok edilmiş və icazə verilmiş trafik, ən çox məlumat mübadiləsi edən virtual maşın və ya servislər, ən çox müraciət olunan portlar, infrastrukturda fəaliyyət göstərən bütün NSG, VPN Gateway, ExpressRoute gateway, Load Balancer, Application Gateway və digər komponentlər barədə məlumatlar əks edilir. Traffic Analytics servisinin aktivləşdirilməsi üçün ilk öncə Log analytics Workspace konfiqurasiya edilməlidir.

 

Qeyd: Azure Network Watcher servisinin xidmətlərindən istifadə edə bilmək üçün istifadəçi portala Owner, Contributor və ya ən azı Network Contributor roluna sahib olmalıdır.

 

Səs: +110. Bəyənilsin Zəifdir

Müəllif: MirCeyhun Musayev

Bu yazıya şərh Bu mövzuya aid sual

Şərh yazın