Konfigurace Monitorování připojení pro ExpressRoute

Tento článek vám pomůže nakonfigurovat rozšíření Monitorování připojení pro monitorování ExpressRoute. Monitorování připojení je cloudové řešení pro monitorování sítě, které monitoruje připojení mezi cloudovými nasazeními Azure a místními umístěními (pobočky atd.). Monitorování připojení je součástí protokolů služby Azure Monitor. Rozšíření také umožňuje monitorovat síťové připojení pro vaše privátní připojení a partnerské vztahy Microsoftu. Když nakonfigurujete Monitorování připojení pro ExpressRoute, můžete zjistit problémy se sítí a identifikovat a eliminovat.

Poznámka

Tento článek byl nedávno aktualizován tak, aby používal termín protokoly služby Azure Monitor místo Log Analytics. Data protokolů jsou stále uložená v pracovním prostoru Služby Log Analytics a stále se shromažďují a analyzují stejnou službou Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v terminologii služby Azure Monitor .

S Monitorování připojení pro ExpressRoute můžete:

• Monitorujte ztrátu a latenci napříč různými virtuálními sítěmi a nastavte upozornění.

• Monitorujte všechny cesty (včetně redundantních cest) v síti.

• Řešení přechodných problémů se sítí k určitému bodu v čase, které se obtížně replikují.

• Pomoc s určením konkrétního segmentu v síti, který zodpovídá za snížený výkon.

Pracovní postup

Agenti monitorování se instalují na několik serverů, a to jak místně, tak v Azure. Agenti vzájemně komunikují tak, že odesílají pakety handshake PROTOKOLU TCP. Komunikace mezi agenty umožňuje Azure mapovat síťovou topologii a směrovat provoz.

1. Vytvoříte pracovní prostor služby Log Analytics

2. Instalace a konfigurace softwarových agentů (Pokud chcete monitorovat jenom partnerský vztah Microsoftu, nemusíte instalovat a konfigurovat softwarové agenty.):

   • Nainstalujte agenty monitorování na místní servery a virtuální počítače Azure (pro privátní partnerský vztah).
   • Nakonfigurujte nastavení na serverech agenta monitorování, aby agenti monitorování mohli komunikovat. (Otevření portů brány firewall atd.)

3. Nakonfigurujte pravidla skupiny zabezpečení sítě (NSG), která umožňují agentu monitorování nainstalovanému na virtuálních počítačích Azure komunikovat s místními agenty monitorování.

4. Povolte Network Watcher ve vašem předplatném.

5. Nastavení monitorování: Vytváření monitorování připojení s testovacími skupinami pro monitorování zdrojových a cílových koncových bodů v síti

Pokud už používáte službu Network Sledování výkonu (zastaralé) nebo Monitorování připojení k monitorování jiných objektů nebo služeb a už máte pracovní prostor Služby Log Analytics v jedné z podporovaných oblastí. Můžete přeskočit krok 1 a krok 2 a zahájit konfiguraci v kroku 3.

Vytvořit pracovní prostor

Vytvořte pracovní prostor v předplatném s propojením virtuálních sítí s okruhy ExpressRoute.

1. Přihlaste se k webu Azure Portal. V předplatném, které má virtuální sítě připojené k okruhu ExpressRoute, vyberte + Vytvořit prostředek. Vyhledejte pracovní prostor služby Log Analytics a pak vyberte Vytvořit.

   Poznámka

   Můžete vytvořit nový pracovní prostor nebo použít existující pracovní prostor. Pokud chcete použít existující pracovní prostor, musíte se ujistit, že byl pracovní prostor migrován do nového dotazovacího jazyka. Další informace...

   

2. Vytvořte pracovní prostor zadáním nebo výběrem následujících informací.

   Nastavení	Hodnota
   Předplatné	Vyberte předplatné s okruhem ExpressRoute.
   Skupina prostředků	Vytvořte novou nebo vyberte existující skupinu prostředků.
   Name	Zadejte název pro identifikaci tohoto pracovního prostoru.
   Oblast	Vyberte oblast, ve které se tento pracovní prostor vytvoří.

   

   Poznámka

   Okruh ExpressRoute může být kdekoli na světě. Nemusí být ve stejné oblasti jako pracovní prostor.

3. Vyberte Zkontrolovat a vytvořit a ověřte a pak vytvořte pro nasazení pracovního prostoru. Po nasazení pracovního prostoru pokračujte v další části a nakonfigurujte řešení monitorování.

Konfigurace řešení monitorování

Dokončete níže uvedený skript Azure PowerShell nahrazením hodnot pro $SubscriptionId, $location, $resourceGroup a $workspaceName. Pak spusťte skript pro konfiguraci řešení monitorování.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Jakmile nakonfigurujete řešení pro monitorování. Pokračujte dalším krokem instalace a konfigurace agentů monitorování na vašich serverech.

Instalace a konfigurace agentů v místním prostředí

Stažení instalačního souboru agenta

1. Přejděte do pracovního prostoru Služby Log Analytics a v části Nastavení vyberte Správu agentů. Stáhněte agenta, který odpovídá operačnímu systému vašeho počítače.

   

2. Dále zkopírujte ID pracovního prostoru a primární klíč do poznámkového bloku.

   

3. Pro počítače s Windows stáhněte a spusťte tento skript PowerShelluEnableRules.ps1 v okně PowerShellu s oprávněními správce. Skript PowerShellu otevře příslušný port brány firewall pro transakce TCP.

   U počítačů s Linuxem je potřeba číslo portu změnit ručně pomocí následujících kroků:

   • Přejděte na cestu: /var/opt/microsoft/omsagent/npm_state.
   • Otevřít soubor: npmdregistry
   • Změna hodnoty čísla portu PortNumber:<port of your choice>

Instalace agenta Log Analytics na každý monitorovací server

Doporučujeme nainstalovat agenta Log Analytics na alespoň dva servery na obou stranách připojení ExpressRoute pro redundanci. Například vaše místní virtuální síť a virtuální síť Azure. Pomocí následujících kroků nainstalujte agenty:

1. Pokud chcete nainstalovat agenta Log Analytics na servery, vyberte níže příslušný operační systém.

   • Windows
   • Linux

2. Po dokončení se agent Microsoft Monitoring Agent zobrazí v Ovládací panely. Můžete zkontrolovat konfiguraci a ověřit připojení agenta k protokolům služby Azure Monitor.

3. Opakujte kroky 1 a 2 pro ostatní místní počítače, které chcete použít k monitorování.

Instalace agenta Network Watcher na každý monitorovací server

Nový virtuální počítač Azure

Pokud vytváříte nový virtuální počítač Azure pro monitorování připojení virtuální sítě, můžete při vytváření virtuálního počítače nainstalovat Network Watcher agenta.

Existující virtuální počítač Azure

Pokud k monitorování připojení používáte existující virtuální počítač, můžete síťový agent nainstalovat samostatně pro Linux a Windows.

Otevření portů brány firewall na serverech agenta monitorování

Pravidla brány firewall můžou blokovat komunikaci mezi zdrojovými a cílovými servery. Monitorování připojení zjistí tento problém a zobrazí ho jako diagnostickou zprávu v topologii. Pokud chcete povolit monitorování připojení, ujistěte se, že pravidla brány firewall umožňují pakety přes protokol TCP nebo ICMP mezi zdrojem a cílem.

Windows

V případě počítačů s Windows můžete spustit skript PowerShellu, který vytvoří klíče registru vyžadované Monitorování připojení. Tento skript také vytvoří pravidla brány Windows Firewall, aby agenti monitorování mohli vzájemně vytvářet připojení TCP. Klíče registru vytvořené skriptem určují, jestli se mají protokoly ladění protokolovat, a cestu k souboru protokolů. Definuje také port TCP agenta používaný pro komunikaci. Hodnoty těchto klíčů jsou automaticky nastaveny skriptem. Tyto klíče byste neměli měnit ručně.

Ve výchozím nastavení se otevře port 8084. Vlastní port můžete použít zadáním parametru portNumber skriptu. Pokud to ale uděláte, musíte zadat stejný port pro všechny servery, na kterých skript spustíte.

Poznámka

Skript PowerShellu EnableRules konfiguruje pravidla brány Windows Firewall pouze na serveru, na kterém se skript spouští. Pokud máte síťovou bránu firewall, měli byste se ujistit, že umožňuje provoz určený pro port TCP, který používá Monitorování připojení.

Na serverech agentů otevřete okno PowerShellu s oprávněními správce. Spusťte skript PowerShellu EnableRules (který jste si stáhli dříve). Nepoužívejte žádné parametry.

Linux

U počítačů s Linuxem je potřeba čísla portů použitá ručně změnit:

1. Přejděte na cestu: /var/opt/microsoft/omsagent/npm_state.
2. Otevřít soubor: npmdregistry
3. Změňte hodnotu čísla PortNumber:\<port of your choice\>portu . Použitá čísla portů by měla být stejná pro všechny agenty používané v pracovním prostoru.

Konfigurace pravidel skupiny zabezpečení sítě

Pokud chcete monitorovat servery, které jsou v Azure, musíte nakonfigurovat pravidla skupiny zabezpečení sítě (NSG) tak, aby umožňovala provoz protokolu TCP nebo ICMP z Monitorování připojení. Výchozí port je **8084, který umožňuje agentu monitorování nainstalovanému na virtuálním počítači Azure komunikovat s místním agentem monitorování.

Další informace o skupině zabezpečení sítě najdete v kurzu filtrování síťového provozu.

Poznámka

Před pokračováním v tomto kroku se ujistěte, že jste nainstalovali agenty (agenta místního serveru i agenta serveru Azure) a před pokračováním v tomto kroku spusťte skript PowerShellu.

Povolení Network Watcheru

Všechna předplatná s virtuální sítí jsou povolená s Network Watcher. Ujistěte se, že Network Watcher není pro vaše předplatné explicitně zakázané. Další informace najdete v tématu Povolení Network Watcher.

Vytvoření monitorování připojení

Základní přehled o tom, jak vytvořit monitorování připojení, testy a testovací skupiny napříč zdrojovými a cílovými koncovými body ve vaší síti, najdete v tématu Vytvoření monitorování připojení. Pomocí následujících kroků nakonfigurujte monitorování připojení pro privátní partnerský vztah a partnerský vztah Microsoftu.

1. V Azure Portal přejděte na prostředek Network Watcher a v části Monitorování vyberte Monitorování připojení. Pak vyberte Vytvořit a vytvořte nový monitor připojení.

   

2. Na kartě Základy pracovního postupu vytváření vyberte stejnou oblast, ve které jste nasadili pracovní prostor Služby Log Analytics pro pole Oblast . V případě konfigurace pracovního prostoru vyberte existující pracovní prostor Služby Log Analytics, který jste vytvořili dříve. Pak vyberte Další: Testovací skupiny >>.

   

3. Na stránce Přidat podrobnosti testovací skupiny přidáte zdrojové a cílové koncové body testovací skupiny. Nastavíte také konfigurace testů mezi nimi. Zadejte název této testovací skupiny.

   

4. Vyberte Přidat zdroj a přejděte na kartu Koncové body mimo Azure . Zvolte místní prostředky s nainstalovaným agentem Log Analytics, který chcete monitorovat připojení, a pak vyberte Přidat koncové body.

   

5. Pak vyberte Přidat cíle.

   Pokud chcete monitorovat připojení přes privátní partnerský vztah ExpressRoute, přejděte na kartu Koncové body Azure. Vyberte prostředky Azure s nainstalovaným agentem Network Watcher, který chcete monitorovat připojení k virtuálním sítím v Azure. Nezapomeňte vybrat privátní IP adresu každého z těchto prostředků ve sloupci IP . Výběrem možnosti Přidat koncové body přidejte tyto koncové body do seznamu cílů testovací skupiny.

   

   Pokud chcete monitorovat připojení přes partnerský vztah Microsoftu ExpressRoute, přejděte na kartu Externí adresy . Vyberte koncové body služeb Microsoftu, ke kterým chcete monitorovat připojení přes partnerský vztah Microsoftu. Výběrem možnosti Přidat koncové body přidejte tyto koncové body do seznamu cílů testovací skupiny.

   

6. Teď vyberte Přidat konfiguraci testu. Vyberte protokol TCP a zadejte cílový port , který jste otevřeli na serverech. Pak nakonfigurujte frekvenci testů a prahové hodnoty pro neúspěšné kontroly a dobu odezvy. Pak vyberte Přidat konfiguraci testu.

   

7. Jakmile přidáte zdroje, cíle a konfiguraci testů, vyberte Přidat testovací skupinu .

   

8. Vyberte další: Pokud chcete vytvořit upozornění, vytvořte výstrahu >> . Po dokončení vyberte Zkontrolovat a vytvořit a pak vytvořit.

Zobrazení výsledků

1. Přejděte na prostředek Network Watcher a v části Monitorování vyberte Monitorování připojení. Po 5 minutách by se měl zobrazit nový monitor připojení. Pokud chcete zobrazit síťové topologie monitorování připojení a grafy výkonu, vyberte test z rozevíracího seznamu testovací skupiny.

   

2. Na panelu Analýza výkonu můžete zobrazit procento neúspěšných kontrol a výsledky jednotlivých testů pro dobu odezvy. Časový rámec zobrazených dat můžete upravit tak, že vyberete rozevírací seznam v horní části panelu.

   

3. Zavření panelu Analýza výkonu odhalí topologii sítě zjištěné monitorováním připojení mezi vybranými zdrojovými a cílovými koncovými body. Toto zobrazení ukazuje obousměrné cesty provozu mezi zdrojovými a cílovými koncovými body. Před dosažením hraniční sítě Microsoftu můžete také zobrazit latenci paketů směrování po směrování.

   

   Když vyberete libovolný segment směrování v zobrazení topologie, zobrazí se další informace o segmentu směrování. Všechny problémy zjištěné monitorováním připojení o směrování se zobrazí také tady.

   

Další kroky

Další informace o monitorování Azure ExpressRoute