Verbindungsmonitor

  • 8 Minuten

Der Verbindungsmonitor bietet eine einheitliche End-to-End-Verbindungsüberwachung in Azure Network Watcher. Das Feature für den Verbindungsmonitor unterstützt Hybrid- und Azure-Cloudbereitstellungen. Network Watcher stellt Tools für das Überwachen, Diagnostizieren und Anzeigen von Verbindungsmetriken für Ihre Azure-Bereitstellungen zur Verfügung.

Sie können den Verbindungsmonitor in den folgenden Szenarien verwenden:

  • Sie können die Netzwerkkonnektivität zwischen den beiden VMs in einer zweistufigen Anwendung überprüfen, um sicherzustellen, dass der virtuelle Front-End-Webserver (VM) mit einer VM kommunizieren kann, auf der eine Datenbankserver-VM gehostet wird.
  • Sie möchten regionsübergreifende Latenzen zwischen VMs berechnen, die in verschiedenen Regionen bereitgestellt werden, z. B. VMs in der Region Australien, Südosten mit VMs, die in der Region USA, Mitte bereitgestellt werden.
  • Sie möchten die Latenzen für Filialstandorte für Microsoft 365-URLs vergleichen.
  • Sie möchten die Latenzen eines lokalen Standorts mit den Latenzen einer Azure-Anwendung im Hinblick auf eine Verbindung mit einem Azure-Speicherkontoendpunkt vergleichen.
  • Sie möchten die Konnektivität zwischen den lokalen Setups und den Azure-VMs überprüfen, auf denen die Cloudanwendung gehostet wird.
  • Sie möchten die Konnektivität aus mehreren Instanzen einer Azure VM-Skalierungsgruppe zu Ihrer Nicht-Azure-Mehrebenenanwendung überprüfen.

Diagnostizieren von Netzwerkproblemen

Mit dem Verbindungsmonitor können Sie Probleme in Ihrem Verbindungsmonitor und Ihrem Netzwerk diagnostizieren. Probleme in Ihrem Hybridnetzwerk werden von den Log Analytics-Agents erkannt, die Sie zuvor installiert haben. Probleme in Azure werden von der Network Watcher-Erweiterung erkannt.

Bei Netzwerken, deren Quellen sich auf lokalen VMs befinden, können die folgenden Probleme erkannt werden:

  • Timeout bei der Anforderung.
  • Der Endpunkt wurde nicht über DNS aufgelöst (vorübergehend oder dauerhaft). Die URL ist ungültig.
  • Es wurden keine Hosts gefunden.
  • Die Quelle kann keine Verbindung zum Ziel herstellen. Das Ziel ist nicht über ICMP erreichbar.
  • Zertifikatbezogene Probleme, einschließlich:
    • Der Agent muss mit dem Clientzertifikat authentifiziert werden.
    • Es besteht kein Zugriff auf die Zertifikatssperrliste.
    • Der Hostname des Endpunkts stimmt nicht mit dem Antragsteller des Zertifikats oder dem alternativen Antragstellernamen überein.
    • Das Stammzertifikat fehlt im Speicher der vertrauenswürdigen Zertifizierungsstellen auf dem lokalen Computer der Quelle.
    • Das SSL-Zertifikat ist abgelaufen, ungültig, widerrufen oder nicht kompatibel.

Bei Netzwerken, deren Quellen sich auf Azure-VMs befinden, können die folgenden Probleme erkannt werden:

  • Agentprobleme, einschließlich:
    • Agent angehalten
    • Fehler bei der DNS-Auflösung
    • Keine Anwendung oder Listener, die auf den Zielport lauschen, und Socket konnte nicht geöffnet werden.
  • VM-Statusprobleme, einschließlich:
    • Wird gestartet
    • Wird beendet
    • Beendet
    • Zuordnung wird aufgehoben
    • Zuordnung aufgehoben
    • Wird neu gestartet
    • Nicht zugewiesen
  • Der ARP-Tabelleneintrag fehlt.
  • Der Datenverkehr wurde aufgrund von Problemen mit der lokalen Firewall oder NSG-Regeln blockiert.
  • Probleme mit dem virtuellen Netzwerkgateway, einschließlich:
    • Fehlende Routen
    • Der Tunnel zwischen zwei Gateways ist getrennt oder fehlt.
    • Das zweite Gateway wurde nicht vom Tunnel gefunden.
    • Es wurden keine Peeringinformationen gefunden.
    • Die Route fehlte in Microsoft Edge.
    • Der Datenverkehr wurde aufgrund von Systemrouten oder einer benutzerdefinierten Route beendet.
    • Das Border Gateway Protocol (BGP) ist für die Gatewayverbindung nicht aktiviert.
    • Der DIP-Test (dynamische IP-Adresse) ist beim Lastenausgleich deaktiviert.

Konfigurieren des Verbindungsmonitors

Um den Verbindungsmonitor zum Messen eines bestimmten Szenarios zu verwenden, müssen Sie die folgenden allgemeinen Schritte ausführen:

  1. Installieren Sie Überwachungs-Agents.
  2. Erstellen Sie einen Verbindungsmonitor.
  3. Analysieren Sie Überwachungsdaten, und richten Sie Warnungen ein.
  4. Diagnostizieren Sie Problemen in Ihrem Netzwerk.

Installieren von Überwachungs-Agents

Der Verbindungsmonitor verwendet einfache ausführbare Dateien zum Ausführen von Konnektivitätsprüfungen. Er unterstützt Konnektivitätsprüfungen sowohl in Azure-Umgebungen als auch lokalen Umgebungen. Die verwendete ausführbare Datei hängt davon ab, ob Ihre VM in Azure oder lokal gehostet wird.

Der Verbindungsmonitor kann Ihre Azure-VMs oder VM-Skalierungsgruppen als Überwachungsquellen verwenden, wenn die VM-Erweiterung des Network Watcher-Agents auf ihnen installiert ist. Diese Erweiterung wird auch als Network Watcher-Erweiterung bezeichnet. Diese Erweiterung ermöglicht die End-to-End-Überwachung und andere erweiterte Funktionen.

Durch Regeln für eine Netzwerksicherheitsgruppe (NSG) oder Firewall kann die Kommunikation zwischen Quelle und Ziel blockiert werden. Der Verbindungsmonitor erkennt dieses Problem und zeigt es als Diagnosemeldung in der Topologie an. Damit eine Verbindungsüberwachung möglich ist, müssen Sie zunächst sicherstellen, dass die NSG- und Firewallregeln eine Paketübertragung über TCP oder ICMP zwischen der Quelle und dem Ziel zulassen.

Damit der Verbindungsmonitor die lokalen Computer als Quellen für die Überwachung erkennt, installieren Sie den Log Analytics-Agent auf den Computern. Aktivieren Sie dann die Netzwerkleistungsmonitor-Lösung. Diese Agents sind mit den Log Analytics-Arbeitsbereichen verknüpft. Daher müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel einrichten, bevor die Agents mit der Überwachung beginnen können.

Erstellen eines Verbindungsmonitors

In Verbindungsmonitoren, die Sie im Feature „Verbindungsmonitor“ erstellen, können Sie sowohl lokale Computer als auch Azure-VMs/Skalierungsgruppen als Quellen hinzufügen. Mit diesen Verbindungsmonitoren kann auch die Konnektivität mit Endpunkten überwacht werden. Die Endpunkte können sich in Azure oder unter einer beliebigen anderen URL oder IP-Adresse befinden.

Der Verbindungsmonitor umfasst die folgenden Entitäten:

  • Verbindungsmonitorressource: Eine regionsspezifische Azure-Ressource. Alle folgenden Entitäten sind Eigenschaften einer Verbindungsmonitorressource.
  • Endpunkt: Eine Quelle oder ein Ziel, die bzw. das an Konnektivitätsprüfungen beteiligt ist. Beispiele für Endpunkte umfassen Azure-VMs/Skalierungsgruppen, lokale Agents, URLs und IP-Adressen.
  • Testkonfiguration: Eine protokollspezifische Konfiguration für einen Test. Je nach ausgewähltem Protokoll können Sie den Port, Schwellenwerte, die Testhäufigkeit und andere Eigenschaften definieren.
  • Testgruppe: Die Gruppe, die Quellendpunkte, Zielendpunkte und Testkonfigurationen enthält. Ein Verbindungsmonitor kann mehrere Testgruppen enthalten.
  • Test: Die Kombination aus einem Quellendpunkt, einem Zielendpunkt und einer Testkonfiguration. Ein Test ist die differenzierteste Ebene, auf der Überwachungsdaten verfügbar sind. Die Überwachungsdaten umfassen den Prozentsatz von Überprüfungen mit Fehlern und die Roundtripzeit.

Führen Sie die folgenden Schritte aus, um einen Verbindungsmonitor zu erstellen:

  1. Navigieren Sie im Azure-Portal zu Network Watcher.
  2. Wählen Sie im linken Bereich im Abschnitt Überwachung die Option Verbindungsmonitor aus.
  3. Wählen Sie im Dashboard Verbindungsmonitor die Option Erstellen aus.
  4. Geben Sie auf der Registerkarte „Grundlagen“ die folgenden Details an:
    • Name des Verbindungsmonitors: Geben Sie einen Namen für Ihren Verbindungsmonitor ein. Verwenden Sie die Standardbenennungsregeln für Azure-Ressourcen.
    • Abonnement: Wählen Sie ein Abonnement für Ihren Verbindungsmonitor aus.
    • Region: Wählen Sie eine Region für Ihren Verbindungsmonitor aus. Dabei kommen nur die Quell-VMs infrage, die in dieser Region erstellt wurden.
    • Arbeitsbereichskonfiguration: Wählen Sie einen benutzerdefinierten Arbeitsbereich oder den Standardarbeitsbereich aus. Ihr Arbeitsbereich enthält Ihre Überwachungsdaten. Um einen benutzerdefinierten Arbeitsbereich auszuwählen, deaktivieren Sie das Kontrollkästchen für den Standardarbeitsbereich, und wählen Sie dann das Abonnement und die Region für Ihren benutzerdefinierten Arbeitsbereich aus.
  5. Klicken Sie auf Weiter:
  6. Wählen Sie auf der Seite Testgruppen entweder eine vorhandene Testgruppe aus, oder erstellen Sie eine neue Gruppe. Um eine Testgruppe zu erstellen, geben Sie die folgenden Informationen an:
    • Name der Testgruppe: Geben Sie den Namen Ihrer Testgruppe ein.
    • Quellen: Wählen Sie Quellen hinzufügen, um sowohl Azure-VMs als auch lokale Computer als Quellen anzugeben, wenn Agents darauf installiert sind.
      • Wenn Sie ein virtuelles Netzwerk, ein Subnetz, eine einzelne VM oder eine VM-Skalierungsgruppe auswählen, wird die zugehörige Ressourcen-ID als Endpunkt festgelegt. Standardmäßig sind alle VMs im ausgewählten virtuellen Netzwerk oder Subnetz in die Überwachung eingeschlossen. Um den Bereich zu verkleinern, wählen Sie entweder bestimmte Subnetze oder Agents aus, oder Sie ändern den Wert der Eigenschaft „Bereich“.
      • Wenn Sie lokale Agents auswählen möchten, wählen Sie die Registerkarte Nicht-Azure-Endpunkte aus. Wählen Sie aus einer Liste lokaler Hosts mit installiertem Log Analytics-Agent aus. Wählen Sie Arc-Endpunkt als Typ und dann die Abonnements aus der Dropdownliste „Abonnement“ aus. Die Liste der Hosts, für die die Azure Arc-Endpunkt-Erweiterung und die Azure Monitor-Agent-Erweiterung aktiviert ist, wird angezeigt.
      • Um öffentliche Endpunkte als Ziele auszuwählen, wählen Sie die Registerkarte Externe Adressen aus. Die Liste der Endpunkte umfasst die Office 365- und Dynamics 365-Test-URLs, die nach Namen gruppiert sind. Sie können auch Endpunkte auswählen, die in anderen Testgruppen im selben Verbindungsmonitor erstellt wurden.
      • Um einen Endpunkt hinzuzufügen, wählen Sie oben rechts Endpunkt hinzufügen aus, und geben Sie dann einen Endpunktnamen und eine URL, eine IP oder einen FQDN an.
  7. Der nächste Schritt besteht darin, Warnungen zu konfigurieren. Warnungen ermöglichen es Ihnen, benachrichtigt zu werden, wenn Tests fehlschlagen. Wenn Sie eine Warnung erstellen, müssen Sie angeben, das Fehlschlagen welcher Verbindungsmonitor-Tests die Warnung auslöst. Geben Sie eine Aktionsgruppe an, um zu bestimmen, was passiert, wenn die Warnung ausgelöst wird.
  8. Wählen Sie unten im Bereich die Option Weiter: Überprüfen und erstellen aus.

Analysieren von Überwachungsdaten

Während der Überwachung der Endpunkte wertet Verbindungsmonitor den Status der Endpunkte einmal alle 24 Stunden neu aus. Wenn also während eines 24-Stunden-Zyklus die Zuordnung einer VM aufgehoben oder diese deaktiviert wird, meldet der Verbindungsmonitor einen unbestimmten Zustand aufgrund des Fehlens von Daten im Netzwerkpfad bis zum Ende des 24-Stunden-Zyklus, bevor der Status der VM erneut ausgewertet und der VM-Status als „Zuordnung aufgehoben“ gemeldet wird.

Abhängig von den Daten, die bei den Überprüfungen zurückgegeben werden, können Tests die folgenden Status aufweisen:

  • Erfolgreich: Die tatsächlichen Werte für den Prozentsatz der Überprüfungen mit Fehlern und die Roundtripzeit (RTT) liegen innerhalb der angegebenen Schwellenwerte.
  • Fehler: Die tatsächlichen Werte für den Prozentsatz der Überprüfungen mit Fehlern oder die Roundtripzeit lagen oberhalb der angegebenen Schwellenwerte. Wenn kein Schwellenwert angegeben ist, weist ein Test den Status Fehler auf, sobald der Prozentsatz der Überprüfungen mit Fehlern bei 100 liegt.
  • Warnung:
    • Wenn ein Schwellenwert angegeben ist und der Verbindungsmonitor bei Überprüfungen mit Fehlern einen Prozentsatz von mehr als 80 Prozent des Schwellenwerts beobachtet, wird der Test als Warnung gekennzeichnet.
    • Wenn keine Schwellenwerte angegeben sind, weist der Verbindungsmonitor automatisch einen Schwellenwert zu. Wird dieser Schwellenwert überschritten, ändert sich der Teststatus in Warnung. Bei RTT in TCP- oder ICMP-Tests beträgt der Schwellenwert 750 Millisekunden (ms). Für den Prozentsatz der Überprüfungen mit Fehlern beträgt der Schwellenwert 10 Prozent.
  • Unbestimmt: Keine Daten im Log Analytics-Arbeitsbereich. Überprüfen Sie die Metriken.
  • Nicht ausgeführt: Deaktiviert durch Deaktivierung der Testgruppe.

Die vom Verbindungsmonitor gesammelten Daten werden im Log Analytics-Arbeitsbereich gespeichert. Sie haben diesen Arbeitsbereich beim Erstellen des Verbindungsmonitors eingerichtet.

Über Azure Monitor-Metriken sind auch Überwachungsdaten verfügbar. Mit Log Analytics können Sie die Überwachungsdaten über den gewünschten Zeitraum aufbewahren. Azure Monitor speichert Metriken standardmäßig nur für 30 Tage.