Configurer le Moniteur de connexion pour ExpressRoute

Cet article vous permet de configurer une extension Moniteur de connexion pour superviser ExpressRoute. Le Moniteur de connexion est une solution de supervision réseau basée sur le cloud qui supervise la connectivité entre les déploiements cloud Azure et les emplacements locaux (succursales, etc.). Le Moniteur de connexion fait partie des journaux Azure Monitor. L’extension vous permet également de superviser la connectivité réseau pour vos connexions de peering privées et Microsoft. Quand vous configurez le Moniteur de connexion pour ExpressRoute, vous pouvez détecter les problèmes de réseau à identifier et à éliminer.

Notes

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.

Avec le Moniteur de connexion pour ExpressRoute, vous pouvez :

  • Superviser les pertes et la latence entre différents réseaux virtuels et définir des alertes.

  • Surveiller tous les chemins (notamment les chemins redondants) sur le réseau.

  • Résoudre les problèmes réseau temporaires et ponctuels qui sont difficiles à répliquer.

  • Déterminer plus facilement un segment spécifique sur le réseau qui est responsable de la dégradation des performances.

Workflow

Des agents de surveillance sont installés sur plusieurs serveurs, en local et sur Azure. Les agents communiquent entre eux en envoyant des paquets d’établissement de liaison TCP. La communication entre les agents permet à Azure de mapper la topologie réseau et le chemin d’accès que le trafic peut prendre.

  1. Créez un espace de travail Log Analytics.

  2. Installez et configurez les agents logiciels (Si vous voulez superviser uniquement par le biais du peering Microsoft, cette étape est inutile.) :

    • Installez des agents de surveillance sur les serveurs locaux et les machines virtuelles Azure (pour le peering privé).
    • Configurez les paramètres sur les serveurs de l’agent de surveillance pour autoriser les agents de surveillance à communiquer. (Ouvrez les ports du pare-feu, etc.)
  3. Configurez des règles de groupe de sécurité réseau pour permettre à l’agent de surveillance installé sur des machines virtuelles Azure de communiquer avec des agents de surveillance locaux.

  4. Activez Network Watcher sur votre abonnement.

  5. Configurez la supervision : créez des moniteurs de connexion avec des groupes de test pour superviser les points de terminaison source et de destination sur votre réseau.

Si vous utilisez déjà Network Performance Monitor (déprécié) ou le Moniteur de connexion pour superviser d’autres objets ou services, et que vous disposez déjà d’un espace de travail Log Analytics dans l’une des régions prises en charge, vous pouvez ignorer les étapes 1 et 2 et commencer votre configuration à l’étape 3.

Créer un espace de travail

Créez un espace de travail dans l’abonnement où les réseaux virtuels sont liés aux circuits ExpressRoute.

  1. Connectez-vous au portail Azure. Dans l’abonnement dans lequel les réseaux virtuels sont connectés à votre circuit ExpressRoute, sélectionnez + Créer une ressource. Recherchez Espace de travail Log Analytics, puis sélectionnez Créer.

    Notes

    Vous pouvez créer un espace de travail ou utiliser un espace de travail existant. Si vous souhaitez utiliser un espace de travail existant, vous devez vérifier qu’il a été migré vers le nouveau langage de requête. Plus d’informations...

    Capture d’écran de la recherche de Log Analytics dans Créer une ressource.

  2. Créez un espace de travail en entrant ou en sélectionnant les informations suivantes.

    Paramètres Valeur
    Abonnement Sélectionnez l’abonnement avec le circuit ExpressRoute.
    Groupe de ressources Créez un groupe de ressources ou sélectionnez-en un existant.
    Name Entrez un nom pour identifier cet espace de travail.
    Région Sélectionnez une région dans laquelle l’espace de travail est créé.

    Capture d’écran de l’onglet Informations de base de la page Créer un espace de travail Log Analytics.

    Notes

    Le circuit ExpressRoute peut être n’importe où dans le monde. Il ne doit pas nécessairement se trouver dans la même région que l’espace de travail.

  3. Sélectionnez Vérifier + créer pour valider, puis Créer pour déployer l’espace de travail. Une fois l’espace de travail déployé, passez à la section suivante pour configurer la solution de supervision.

Configurer des solutions de supervision

Terminez le script Azure PowerShell en remplaçant les valeurs $SubscriptionId, $location, $resourceGroup et $workspaceName. Exécutez ensuite le script pour configurer la solution de supervision.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Une fois que vous avez configuré la solution de supervision, passez à l’étape suivante de la procédure d’installation et de configuration des agents de supervision sur vos serveurs.

Installer et configurer des agents localement

Télécharger le fichier de configuration de l’agent

  1. Accédez à l’espace de travail Log Analytics, puis sélectionnez Gestion des agents sous Paramètres. Téléchargez l’agent qui correspond au système d’exploitation de votre machine.

    Capture d’écran de la page Gestion des agents dans l’espace de travail.

  2. Ensuite, copiez et collez l’ID d’espace de travail et la clé primaire dans le bloc-notes.

    Capture d’écran de l’ID et de la clé primaire de l’espace de travail.

  3. Pour les machines Windows, téléchargez et exécutez ce script PowerShell EnableRules.ps1 dans une fenêtre PowerShell avec des privilèges d’administrateur. Le script PowerShell ouvre le port approprié du pare-feu pour les transactions TCP.

    Pour les machines Linux, le numéro de port doit être modifié manuellement à l’aide des étapes suivantes :

    • Accédez au chemin suivant : /var/opt/microsoft/omsagent/npm_state.
    • Ouvrez le fichier : npmdregistry.
    • Modifiez la valeur du numéro de port PortNumber:<port of your choice>.

Installer l’agent Log Analytics sur chaque serveur de supervision

À des fins de redondance, il est recommandé d’installer l’agent Log Analytics sur au moins deux serveurs des deux côtés de la connexion ExpressRoute. Par exemple, votre réseau virtuel local et votre réseau virtuel Azure. Pour installer les agents, procédez comme suit :

  1. Sélectionnez le système d’exploitation approprié pour effectuer les étapes d’installation de l’agent Log Analytics sur vos serveurs.

  2. Lorsque vous avez terminé, Microsoft Monitoring Agent apparaît dans le Panneau de configuration. Vous pouvez passer en revue votre configuration, puis vérifier la connectivité de l’agent aux journaux Azure Monitor.

  3. Répétez les étapes 1 et 2 pour les autres machines locales que vous souhaitez utiliser pour la supervision.

Installer l’Agent Network Watcher sur chaque serveur de supervision

Nouvelle machine virtuelle Azure

Si vous créez une machine virtuelle Azure pour la supervision de la connectivité de votre réseau virtuel, vous pouvez installer l’Agent Network Watcher lors de la création de la machine virtuelle.

Machine virtuelle Azure existante

Si vous utilisez une machine virtuelle existante pour la supervision de la connectivité, vous pouvez installer l’Agent réseau séparément pour Linux et pour Windows.

Ouvrir les ports de pare-feu sur les serveurs de l’agent de supervision

Les règles définies pour un pare-feu peuvent bloquer la communication entre les serveurs source et de destination. Le Moniteur de connexion détecte ce problème et l’affiche sous la forme d’un message de diagnostic dans la topologie. Pour activer la vérification de la connectivité, veillez à ce que les règles de pare-feu autorisent les paquets sur TCP ou ICMP entre la source et la destination.

Windows

Pour les machines Windows, vous pouvez exécuter un script PowerShell pour créer les clés de Registre exigées par le Moniteur de connexion. Ce script crée également des règles de pare-feu Windows pour autoriser les agents de surveillance à créer des connexions TCP entre eux. Les clés de Registre créées par le script spécifient également s’il faut enregistrer les journaux d’activité de débogage et le chemin d’accès des fichiers journaux. Le script définit également le port TCP de l’agent utilisé pour la communication. Les valeurs de ces clés sont définies automatiquement par le script. Vous ne devez pas changer manuellement ces clés.

Le port 8084 est ouvert par défaut. Vous pouvez utiliser un port personnalisé en ajoutant le paramètre « portNumber » au script. Toutefois, si vous le faites, vous devez spécifier le même port pour tous les serveurs sur lesquels vous exécutez le script.

Notes

Le script PowerShell « EnableRules » configure des règles de pare-feu Windows uniquement sur le serveur exécutant le script. Si vous avez un pare-feu réseau, vous devez vérifier qu’il autorise le trafic destiné au port TCP que le Moniteur de connexion utilise.

Sur les serveurs d’agent, ouvrez une fenêtre PowerShell avec des privilèges administratifs. Exécutez le script PowerShell EnableRules (que vous avez téléchargé précédemment). N’utilisez pas de paramètres.

Capture d’écran de l’exécution du script Activer les règles dans la fenêtre PowerShell.

Linux

Pour les machines Linux, les numéros de port utilisés doivent être changés manuellement :

  1. Accédez au chemin suivant : /var/opt/microsoft/omsagent/npm_state.
  2. Ouvrez le fichier : npmdregistry.
  3. Changez la valeur du numéro de port PortNumber:\<port of your choice\>. Les numéros de port utilisés doivent être identiques pour tous les agents utilisés dans un espace de travail

Configurer les règles du groupe de sécurité réseau

Pour superviser des serveurs se trouvant dans Azure, vous devez configurer les règles du groupe de sécurité réseau (NSG) afin d’autoriser le trafic TCP ou ICMP en provenance du Moniteur de connexion. Le port par défaut est **8084, ce qui permet à l’agent de supervision installé sur la machine virtuelle Azure de communiquer avec un agent de supervision local.

Pour plus d’informations sur les groupes de sécurité réseau (NSG), consultez le tutoriel sur le filtrage du trafic réseau.

Notes

Vérifiez que vous avez installé les agents (l’agent de serveur local et l’agent de serveur Azure) et que vous avez exécuté le script PowerShell avant de continuer avec cette étape.

Activer Network Watcher

Tous les abonnements disposant d'un réseau virtuel sont activés avec Network Watcher. Vérifiez que Network Watcher n’est pas explicitement désactivé pour votre abonnement. Pour plus d’informations, consultez Activer Network Watcher.

Créer un moniteur de connexion

Pour obtenir une vue d’ensemble globale de la création d’un moniteur de connexion, de tests et de groupes de tests sur des points de terminaison source et de destination dans votre réseau, consultez Créer un moniteur de connexion. Effectuez les étapes suivantes afin de configurer la vérification de la connectivité pour le peering privé et le peering Microsoft.

  1. Dans le portail Azure, accédez à votre ressource Network Watcher, puis sélectionnez Moniteur de connexion sous Supervision. Sélectionnez ensuite Créer pour créer un moniteur de connexion.

    Capture d’écran du moniteur de connexion dans Network Watcher.

  2. Sous l’onglet Informations de base du workflow de création, sélectionnez la région où vous avez déployé votre espace de travail Log Analytics pour le champ Région. Pour Configuration de l’espace de travail, sélectionnez l’espace de travail Log Analytics que vous avez créé précédemment. Sélectionnez ensuite Suivant : Groupes de tests >>.

    Capture d’écran de l’onglet Informations de base pour la création du Moniteur de connexion.

  3. Dans la page Ajouter les détails du groupe de tests, vous ajoutez les points de terminaison source et de destination de votre groupe de tests. Vous configurez également les configurations de test entre elles. Entrez un Nom pour ce groupe de tests.

    Capture d’écran de la page Ajouter les détails du groupe de tests.

  4. Sélectionnez Ajouter une source, puis accédez à l’onglet Points de terminaison non-Azure. Choisissez les ressources locales sur lesquelles l’Agent Log Analytics est installé et dont vous voulez superviser la connectivité, puis sélectionnez Ajouter des points de terminaison.

    Capture d’écran de l’ajout de points de terminaison sources.

  5. Sélectionnez ensuite Ajouter des destinations.

    Pour superviser la connectivité sur le peering privé ExpressRoute, accédez à l’onglet Points de terminaison Azure. Choisissez les ressources Azure sur lesquelles l’agent Network Watcher est installé et dont vous voulez superviser la connectivité à vos réseaux virtuels dans Azure. Veillez à sélectionner l’adresse IP privée de chacune de ces ressources dans la colonne IP. Sélectionnez Ajouter des points de terminaison pour ajouter ces points de terminaison à votre liste de destinations pour le groupe de tests.

    Capture d’écran de l’ajout de points de terminaison de destination Azure.

    Pour superviser la connectivité sur le peering Microsoft ExpressRoute, accédez à l’onglet Adresses externes. Sélectionnez les points de terminaison de services Microsoft pour lesquels vous souhaitez superviser la connectivité via le peering Microsoft. Sélectionnez Ajouter des points de terminaison pour ajouter ces points de terminaison à votre liste de destinations pour le groupe de tests.

    Capture d’écran de l’ajout de points de terminaison de destination externes.

  6. À présent, sélectionnez Ajouter une configuration de test. Sélectionnez TCP comme protocole, puis entrez le port de destination que vous avez ouvert sur vos serveurs. Ensuite, configurez la fréquence de test et les seuils pour les vérifications ayant échoué et la durée d’aller-retour souhaités. Sélectionnez ensuite Ajouter une configuration de test.

    Capture d’écran de la page Ajouter une configuration de test.

  7. Sélectionnez Ajouter un groupe de tests une fois que vous avez ajouté vos sources, vos destinations et votre configuration de test.

    Capture d’écran de la page Ajouter les détails du groupe de tests configurée.

  8. Sélectionnez Suivant : Créer une alerte>> si vous voulez créer une alerte. Une fois l’opération terminée, sélectionnez Vérifier + créer, puis Créer.

Afficher les résultats

  1. Accédez à votre ressource Network Watcher, puis sélectionnez Moniteur de connexion sous Supervision. Vous devriez voir votre nouveau moniteur de connexion au bout de 5 minutes. Pour afficher la topologie du réseau et les graphiques de performances du moniteur de connexion, sélectionnez le test dans la liste déroulante des groupes de tests.

    Capture d’écran de la page de vue d’ensemble du moniteur de connexion.

  2. Dans le panneau Analyse des performances, vous pouvez voir le pourcentage de vérification ayant échoué et les résultats de chaque test pour une durée d’aller-retour. Vous pouvez ajuster le délai d’exécution des données affichées en sélectionnant la liste déroulante située en haut du panneau.

    Capture d’écran du panneau Analyse des performances.

  3. La fermeture du panneau Analyse des performances révèle la topologie du réseau détectée par le moniteur de connexion entre les points de terminaison source et de destination que vous avez sélectionnés. Cette vue vous montre les chemins bidirectionnels du trafic entre vos points de terminaison source et de destination. Vous pouvez également voir la latence tronçon par tronçon des paquets avant qu’ils n’atteignent le réseau de périphérie de Microsoft.

    Capture d’écran de la topologie du réseau dans le Moniteur de connexion.

    Si vous sélectionnez un tronçon dans la vue de la topologie, des informations supplémentaires sur le tronçon s’affichent. Tous les problèmes détectés par le Moniteur de connexion concernant le tronçon s’affichent ici.

    Capture d’écran d’informations supplémentaires concernant un tronçon réseau.

Étapes suivantes

En savoir plus sur la supervision d’Azure ExpressRoute