何时使用 Azure 网络观察程序

尝试排查与 Azure IaaS 产品相关的网络问题时，Azure 网络观察程序非常有用。 例如，可以在以下方案中使用 Azure 网络观察程序中包含的工具：

• 解决与 IaaS VM 相关的连接问题。
• 排查 VPN 连接问题。
• 确定跨区域网络延迟。

解决与 IaaS VM 相关的连接问题

最近，Windows Server IaaS VM 已部署到 Azure。 部署 VM 的开发人员无法从同一虚拟网络上的另一个 IaaS VM 与此 IaaS VM 建立远程 PowerShell 会话。

可以使用 IP 流验证工具排查此问题。 此工具允许你指定本地和远程端口、协议（TCP/UDP）、本地 IP 和远程 IP 来检查连接状态。 它还允许指定连接的方向（入站或出站）。 IP 流验证对网络上的现有规则运行逻辑测试。

在这种情况下，可以使用 IP 流验证来指定 VM 的 IP 地址和 TCP 端口 5986（使用 HTTPS 时由 PowerShell 使用）。 然后，指定远程 VM 的 IP 地址和端口。 选择 TCP 协议，然后选择“ 检查”。 如果 NSG 规则阻止流量，IP 流验证规则将报告哪个规则负责丢弃的流量。

排查 VPN 连接问题

IaaS VM 部署在 Azure 虚拟网络上。 从本地主机连接到此 IaaS VM 是通过站点到站点 VPN 连接建立的。

可以使用 Azure VPN 故障排除工具排查此 VPN 连接问题。 此工具在虚拟网络网关连接上运行诊断，并返回健康状况诊断。 可以从 Azure 门户、PowerShell 或 Azure CLI 运行此工具。

运行该工具时，它会检查网关是否存在常见问题，并返回运行状况诊断。 还可以查看日志文件以获取详细信息。 诊断显示 VPN 连接是否正常工作。 如果 VPN 连接不起作用，Azure VPN 故障排除工具会建议解决问题的方法。

确定跨区域网络延迟

可以使用网络观察程序工具确定基于网络延迟放置 IaaS 资源的最佳位置。 例如，可以使用网络观察程序让不同区域中的 IaaS VM 定期相互 ping，以确定跨区域网络延迟。 此信息可让你确定所有 IaaS VM 是否需要位于单个区域中。 或者，如果它们可以分布在不同的区域，以支持特定的应用程序体系结构。

假设有一个本地混合应用程序和一个在连接到同一存储帐户终结点的 Azure IaaS VM 中运行的应用程序。 可以使用网络观察程序对两个应用程序执行延迟比较。 如果本地应用程序的延迟过高，则可能会加强将该应用程序迁移到 Azure 的情况。 如果 Azure IaaS VM 的延迟过高，则可能会增强将 VM 迁移到另一个延迟较低的区域的情况。

何时不使用网络观察程序

网络观察者工具提供网络诊断功能的中间级别。 这些工具不提供某些第三方工具中提供的一些高级功能。 如果你的组织需要访问此高级功能，则可能需要部署包含此高级功能的第三方工具来完成诊断目标。

请务必认识到网络观察程序主要用于 Azure 虚拟网络上的 IaaS 资源。 无法使用 Azure 网络观察程序诊断与 PaaS 服务或 Web 分析相关的连接问题。 如果遇到与这些服务相关的问题，应检查 Azure 状态或服务运行状况仪表板。