Kapcsolatfigyelő konfigurálása az ExpressRoute-hoz

  • Cikk

Ez a cikk segít konfigurálni egy kapcsolatfigyelő bővítményt az ExpressRoute monitorozásához. A Kapcsolatfigyelő egy felhőalapú hálózatmonitorozási megoldás, amely az Azure-felhőbeli üzemelő példányok és a helyszíni környezetek (fiókirodák stb.) közötti kapcsolatot monitorozza. kapcsolatfigyelő az Azure Monitor-naplók része. A bővítmény lehetővé teszi a privát és Microsoft társviszony-létesítési kapcsolatok hálózati kapcsolatainak monitorozását is. Ha kapcsolatfigyelő konfigurál az ExpressRoute-hoz, észlelheti a hálózati problémákat az azonosításhoz és a probléma elhárításához.

Megjegyzés

Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen tárolódnak, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi azokat. Frissítjük a terminológiát, hogy jobban tükrözze a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiai változásait ismertető cikket.

Az ExpressRoute-hoz készült kapcsolatfigyelő a következőket teheti:

  • Monitorozza a különböző virtuális hálózatok közötti veszteséget és késést, és állítson be riasztásokat.

  • A hálózaton lévő összes elérési út (beleértve a redundáns útvonalakat is) monitorozása.

  • A nehezen replikálható átmeneti és időponthoz kötött hálózati problémák elhárítása.

  • Segítség a hálózat azon szegmensének meghatározásához, amely a teljesítménycsökkenésért felelős.

Munkafolyamat

A figyelési ügynökök több kiszolgálón vannak telepítve, a helyszínen és az Azure-ban is. Az ügynökök TCP-kézfogási csomagok küldésével kommunikálnak egymással. Az ügynökök közötti kommunikáció lehetővé teszi, hogy az Azure leképzi a hálózati topológiát és a forgalom által igénybe veendő útvonalat.

  1. Egy Log Analytics-munkaterület létrehozása.

  2. Szoftverügynökök telepítése és konfigurálása. (Ha csak a Microsoft társviszony-létesítésen keresztül szeretne monitorozni, nem kell szoftverügynököket telepítenie és konfigurálnia.):

    • Telepítse a monitorozási ügynököket a helyszíni kiszolgálókra és az Azure-beli virtuális gépekre (privát társviszony-létesítéshez).
    • Konfigurálja a figyelési ügynök kiszolgálóinak beállításait, hogy a figyelési ügynökök kommunikálhassanak. (Tűzfalportok megnyitása stb.)

  3. Konfigurálja a hálózati biztonsági csoport (NSG) szabályait, hogy az Azure-beli virtuális gépekre telepített figyelési ügynök kommunikálhasson a helyszíni figyelési ügynökökkel.

  4. Engedélyezze Network Watcher az előfizetésében.

  5. Monitorozás beállítása: Kapcsolatfigyelők létrehozása tesztcsoportokkal a forrás- és célvégpontok figyeléséhez a hálózaton.

Ha már használja a Hálózati teljesítményfigyelőt (elavult) vagy kapcsolatfigyelő más objektumok vagy szolgáltatások monitorozásához, és már rendelkezik Log Analytics-munkaterületkel az egyik támogatott régióban. Kihagyhatja az 1. és a 2. lépést, és megkezdheti a konfigurációt a 3. lépésben.

Munkaterület létrehozása

Hozzon létre egy munkaterületet az előfizetésben, amely rendelkezik az ExpressRoute-kapcsolatcsoport(ok) virtuális hálózatokra mutató hivatkozásával.

  1. Jelentkezzen be az Azure Portalra. Az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott virtuális hálózatokat tartalmazó előfizetésben válassza az + Erőforrás létrehozása lehetőséget. Keresse meg a Log Analytics-munkaterületet, majd válassza a Létrehozás lehetőséget.

    Megjegyzés

    Létrehozhat egy új munkaterületet, vagy használhat egy meglévő munkaterületet. Ha meglévő munkaterületet szeretne használni, győződjön meg arról, hogy a munkaterület át lett migrálva az új lekérdezési nyelvre. További információ...

    Képernyőkép a Log Analytics kereséséről az erőforrás létrehozása során.

  2. Hozzon létre egy munkaterületet az alábbi információk megadásával vagy kiválasztásával.

    Beállítások Érték
    Előfizetés Válassza ki az ExpressRoute-kapcsolatcsoporttal rendelkező előfizetést.
    Erőforráscsoport Hozzon létre egy újat, vagy válasszon ki egy meglévő erőforráscsoportot.
    Name Adjon meg egy nevet a munkaterület azonosításához.
    Régió Válassza ki azt a régiót, ahol ez a munkaterület létrejön.

    Képernyőkép a Log Analytics-munkaterület létrehozására szolgáló alapszintű lapról.

    Megjegyzés

    Az ExpressRoute-kapcsolatcsoport bárhol lehet a világon. Nem kell ugyanabban a régióban lennie, mint a munkaterületnek.

  3. A munkaterület üzembe helyezéséhez válassza a Felülvizsgálat + Létrehozás lehetőséget az ellenőrzéshez, majd a Létrehozás lehetőséget. A munkaterület üzembe helyezése után folytassa a következő szakaszban a monitorozási megoldás konfigurálásával.

Monitorozási megoldás konfigurálása

Fejezze be a Azure PowerShell szkriptet a $SubscriptionId, $location, $resourceGroup és $workspaceName értékeinek cseréjével. Ezután futtassa a szkriptet a monitorozási megoldás konfigurálásához.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Miután konfigurálta a monitorozási megoldást. Folytassa a figyelési ügynökök kiszolgálókon való telepítésének és konfigurálásának következő lépésével.

Ügynökök telepítése és konfigurálása a helyszínen

Az ügynök telepítőfájljának letöltése

  1. Lépjen a Log Analytics-munkaterületre , és válassza az Ügynökök kezelése lehetőséget a Beállítások területen. Töltse le a gép operációs rendszerének megfelelő ügynököt.

    Képernyőkép a munkaterület ügynökkezelési oldaláról.

  2. Ezután másolja a munkaterület-azonosítót és az elsődleges kulcsot a Jegyzettömbbe.

    Képernyőkép a munkaterület-azonosítóról és az elsődleges kulcsról.

  3. Windows rendszerű gépek esetén töltse le és futtassa ezt a PowerShell-szkriptet ,EnableRules.ps1 rendszergazdai jogosultságokkal rendelkező PowerShell-ablakban. A PowerShell-szkript megnyitja a TCP-tranzakciók megfelelő tűzfalportját.

    Linux rendszerű gépek esetén a portszámot manuálisan kell módosítani az alábbi lépésekkel:

    • Lépjen a /var/opt/microsoft/omsagent/npm_state elérési útra.
    • Fájl megnyitása: npmdregistry
    • A portszám értékének módosítása PortNumber:<port of your choice>

A Log Analytics-ügynök telepítése minden monitorozási kiszolgálón

Javasoljuk, hogy telepítse a Log Analytics-ügynököt legalább két kiszolgálóra az ExpressRoute-kapcsolat mindkét oldalán a redundancia érdekében. Például a helyszíni és az Azure-beli virtuális hálózat. Ügynökök telepítéséhez kövesse az alábbi lépéseket:

  1. Válassza ki a megfelelő operációs rendszert a Log Analytics-ügynök kiszolgálókra való telepítéséhez szükséges lépésekhez.

  2. Ha elkészült, a Microsoft Monitoring Agent megjelenik a Vezérlőpult. Áttekintheti a konfigurációt, és ellenőrizheti, hogy az ügynök kapcsolódott-e az Azure Monitor-naplókhoz.

  3. Ismételje meg az 1. és a 2. lépést a monitorozáshoz használni kívánt többi helyszíni gép esetében.

Network Watcher ügynök telepítése minden monitorozási kiszolgálóra

Új Azure-beli virtuális gép

Ha új Azure-beli virtuális gépet hoz létre a virtuális hálózat kapcsolatának figyeléséhez, a virtuális gép létrehozásakor telepítheti a Network Watcher ügynököt.

Meglévő Azure-beli virtuális gép

Ha meglévő virtuális gépet használ a kapcsolat monitorozásához, a hálózati ügynököt külön telepítheti Linux és Windows rendszeren.

Nyissa meg a tűzfalportokat a figyelési ügynök kiszolgálóin

A tűzfalszabályok blokkolhatják a forrás- és célkiszolgálók közötti kommunikációt. kapcsolatfigyelő észleli ezt a problémát, és diagnosztikai üzenetként jeleníti meg a topológiában. A kapcsolatfigyelés engedélyezéséhez győződjön meg arról, hogy a tűzfalszabályok engedélyezik a TCP-en vagy ICMP-en keresztüli csomagokat a forrás és a cél között.

Windows

Windows rendszerű gépeken futtathat egy PowerShell-szkriptet a kapcsolatfigyelő által igényelt beállításkulcsok létrehozásához. Ez a szkript a Windows tűzfalszabályokat is létrehozza, amelyek lehetővé teszik, hogy a figyelési ügynökök TCP-kapcsolatokat hozzanak létre egymással. A szkript által létrehozott beállításkulcsok határozzák meg, hogy naplózza-e a hibakeresési naplókat és a naplófájl elérési útját. Meghatározza a kommunikációhoz használt ügynök TCP-portját is. A szkript automatikusan beállítja ezeknek a kulcsoknak az értékeit. Ezeket a kulcsokat nem szabad manuálisan módosítani.

A 8084-ös port alapértelmezés szerint meg van nyitva. Egyéni portot úgy használhat, hogy megadja a "portNumber" paramétert a szkriptnek. Ha azonban így tesz, ugyanazt a portot kell megadnia az összes kiszolgálóhoz, amelyen futtatja a szkriptet.

Megjegyzés

Az EnableRules PowerShell-szkript csak azon a kiszolgálón konfigurálja a Windows tűzfalszabályokat, amelyen a szkript fut. Ha hálózati tűzfallal rendelkezik, győződjön meg arról, hogy engedélyezi az kapcsolatfigyelő által használt TCP-portra irányuló forgalmat.

Az ügynökkiszolgálókon nyisson meg egy PowerShell-ablakot rendszergazdai jogosultságokkal. Futtassa az EnableRules PowerShell-szkriptet (amelyet korábban töltött le). Ne használjon paramétereket.

Képernyőkép az enable rules script powershell-ablakban való futtatásáról.

Linux

Linux rendszerű gépek esetében a használt portszámokat manuálisan kell módosítani:

  1. Lépjen a /var/opt/microsoft/omsagent/npm_state elérési útra.
  2. Fájl megnyitása: npmdregistry
  3. Módosítsa a portszám PortNumber:\<port of your choice\>értékét. A használt portszámoknak meg kell egyeznie a munkaterületen használt összes ügynökkel

Hálózati biztonsági csoport szabályainak konfigurálása

Az Azure-ban található kiszolgálók monitorozásához konfigurálnia kell a hálózati biztonsági csoport (NSG) szabályait, hogy engedélyezze a TCP- vagy ICMP-forgalmat kapcsolatfigyelő. Az alapértelmezett port a **8084, amely lehetővé teszi, hogy az Azure-beli virtuális gépre telepített figyelési ügynök kommunikáljon egy helyszíni monitorozási ügynökkel.

Az NSG-vel kapcsolatos további információkért lásd a hálózati forgalom szűréséről szóló oktatóanyagot.

Megjegyzés

A lépés elvégzése előtt győződjön meg arról, hogy telepítette az ügynököket (a helyszíni kiszolgálóügynököt és az Azure-kiszolgálóügynököt is), és futtatta a PowerShell-szkriptet.

A Network Watcher engedélyezése

Minden virtuális hálózattal rendelkező előfizetés engedélyezve van a Network Watcher. Győződjön meg arról, hogy a Network Watcher nincs explicit módon letiltva az előfizetéséhez. További információ: Network Watcher engedélyezése.

Kapcsolatfigyelő létrehozása

A kapcsolatfigyelők, tesztek és tesztcsoportok hálózatbeli forrás- és célvégpontok közötti létrehozásának magas szintű áttekintéséért lásd: Kapcsolatfigyelő létrehozása. Az alábbi lépésekkel konfigurálhatja a privát társviszony-létesítés és a Microsoft-társviszony-létesítés kapcsolatfigyelését.

  1. A Azure Portal keresse meg a Network Watcher erőforrást, és válassza a Figyelés területen a Kapcsolatfigyelő lehetőséget. Ezután válassza a Létrehozás lehetőséget egy új kapcsolatfigyelő létrehozásához.

    Képernyőkép a kapcsolatfigyelőről Network Watcher.

  2. A létrehozási munkafolyamat Alapvető beállítások lapján válassza ki azt a régiót, ahol üzembe helyezte a Log Analytics-munkaterületet a Régió mezőben. A Munkaterület konfigurációja beállításnál válassza ki a korábban létrehozott meglévő Log Analytics-munkaterületet. Ezután válassza a Tovább: Tesztcsoportok lehetőséget >>.

    Képernyőkép a kapcsolatfigyelő létrehozására szolgáló alapszintű lapról.

  3. A Tesztcsoport adatainak hozzáadása lapon adja hozzá a tesztcsoport forrás- és célvégpontjait. A tesztkonfigurációkat is beállítja közöttük. Adja meg a tesztcsoport nevét .

    Képernyőkép a tesztcsoport részleteinek hozzáadásáról.

  4. Válassza a Forrás hozzáadása lehetőséget, és lépjen a Nem Azure-végpontok lapra. Válassza ki azokat a helyszíni erőforrásokat, amelyeken telepítve van a Log Analytics-ügynök, és figyelni szeretné a kapcsolatot, majd válassza a Végpontok hozzáadása lehetőséget.

    Képernyőkép a forrásvégpontok hozzáadásáról.

  5. Ezután válassza a Célhelyek hozzáadása lehetőséget.

    Az ExpressRoute privát társviszony-létesítésen keresztüli kapcsolat monitorozásához lépjen az Azure-végpontok lapra. Válassza ki azokat az Azure-erőforrásokat, amelyeken telepítve van a Network Watcher ügynök, amelyet figyelni szeretne az Azure-beli virtuális hálózatokhoz való csatlakozáshoz. Mindenképpen válassza ki az egyes erőforrások magánhálózati IP-címét az IP-oszlopban . Válassza a Végpontok hozzáadása lehetőséget a végpontok a tesztcsoport céllistájához való hozzáadásához.

    Képernyőkép az Azure-célvégpontok hozzáadásáról.

    Az ExpressRoute Microsoft-társviszony-létesítésen keresztüli kapcsolat monitorozásához lépjen a Külső címek lapra. Válassza ki azokat a Microsoft-szolgáltatásvégpontokat, amelyekhez a Microsoft társviszony-létesítésen keresztüli kapcsolatot szeretné figyelni. Válassza a Végpontok hozzáadása lehetőséget a végpontok a tesztcsoport céllistájához való hozzáadásához.

    Képernyőkép külső célvégpontok hozzáadásáról.

  6. Most válassza a Tesztkonfiguráció hozzáadása lehetőséget. Válassza a TCP lehetőséget a protokollhoz, és adja meg a kiszolgálókon megnyitott célportot . Ezután konfigurálja a teszt gyakoriságát és küszöbértékeit a sikertelen ellenőrzésekhez és a körutazási időhöz. Ezután válassza a Tesztkonfiguráció hozzáadása lehetőséget.

    Képernyőkép a Tesztkonfiguráció hozzáadása oldalról.

  7. A források, a célhelyek és a tesztkonfiguráció hozzáadása után válassza a Tesztcsoport hozzáadása lehetőséget.

    Képernyőkép a konfigurált tesztcsoport részleteinek hozzáadásáról.

  8. Válassza a Következő: Riasztás >>létrehozása lehetőséget, ha riasztást szeretne létrehozni. Ha végzett, válassza a Felülvizsgálat + létrehozás , majd a Létrehozás lehetőséget.

Eredmények megtekintése

  1. Nyissa meg a Network Watcher erőforrást, és válassza a Figyelés területen a Kapcsolatfigyelő lehetőséget. 5 perc elteltével meg kell jelennie az új kapcsolatfigyelőnek. A kapcsolatfigyelő hálózati topológiájának és teljesítménydiagramjának megtekintéséhez válassza ki a tesztet a tesztcsoport legördülő listájából.

    Képernyőkép a kapcsolatfigyelő áttekintési oldaláról.

  2. A Teljesítményelemzés panelen megtekintheti a sikertelen ellenőrzés százalékos arányát és az egyes tesztek eredményeit az oda-vissza menetidőre vonatkozóan. A megjelenő adatok időkeretét a panel tetején található legördülő menü kiválasztásával módosíthatja.

    Képernyőkép a teljesítményelemzési panelről.

  3. A Teljesítményelemzés panel bezárásával megjelenik a kapcsolatfigyelő által észlelt hálózati topológia a kiválasztott forrás- és célvégpontok között. Ez a nézet a forrás- és célvégpontok közötti forgalom kétirányú útvonalait mutatja. A csomagok ugrásonkénti késését is láthatja, mielőtt azok elérnék a Microsoft peremhálózatát.

    Képernyőkép a hálózati topológiáról a kapcsolatfigyelőben.

    Ha kiválaszt egy ugrást a topológia nézetben, további információk jelennek meg az ugrásról. A kapcsolatfigyelő által az ugrással kapcsolatban észlelt problémák itt jelennek meg.

    A hálózati ugrással kapcsolatos további információk képernyőképe.

Következő lépések

További információ az Azure ExpressRoute monitorozásáról