Kapcsolatfigyelő konfigurálása az ExpressRoute-hoz
Ez a cikk segít konfigurálni egy kapcsolatfigyelő bővítményt az ExpressRoute monitorozásához. A Kapcsolatfigyelő egy felhőalapú hálózatmonitorozási megoldás, amely az Azure-felhőbeli üzemelő példányok és a helyszíni környezetek (fiókirodák stb.) közötti kapcsolatot monitorozza. kapcsolatfigyelő az Azure Monitor-naplók része. A bővítmény lehetővé teszi a privát és Microsoft társviszony-létesítési kapcsolatok hálózati kapcsolatainak monitorozását is. Ha kapcsolatfigyelő konfigurál az ExpressRoute-hoz, észlelheti a hálózati problémákat az azonosításhoz és a probléma elhárításához.
Megjegyzés
Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen tárolódnak, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi azokat. Frissítjük a terminológiát, hogy jobban tükrözze a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiai változásait ismertető cikket.
Az ExpressRoute-hoz készült kapcsolatfigyelő a következőket teheti:
Monitorozza a különböző virtuális hálózatok közötti veszteséget és késést, és állítson be riasztásokat.
A hálózaton lévő összes elérési út (beleértve a redundáns útvonalakat is) monitorozása.
A nehezen replikálható átmeneti és időponthoz kötött hálózati problémák elhárítása.
Segítség a hálózat azon szegmensének meghatározásához, amely a teljesítménycsökkenésért felelős.
Munkafolyamat
A figyelési ügynökök több kiszolgálón vannak telepítve, a helyszínen és az Azure-ban is. Az ügynökök TCP-kézfogási csomagok küldésével kommunikálnak egymással. Az ügynökök közötti kommunikáció lehetővé teszi, hogy az Azure leképzi a hálózati topológiát és a forgalom által igénybe veendő útvonalat.
Egy Log Analytics-munkaterület létrehozása.
Szoftverügynökök telepítése és konfigurálása. (Ha csak a Microsoft társviszony-létesítésen keresztül szeretne monitorozni, nem kell szoftverügynököket telepítenie és konfigurálnia.):
- Telepítse a monitorozási ügynököket a helyszíni kiszolgálókra és az Azure-beli virtuális gépekre (privát társviszony-létesítéshez).
- Konfigurálja a figyelési ügynök kiszolgálóinak beállításait, hogy a figyelési ügynökök kommunikálhassanak. (Tűzfalportok megnyitása stb.)
Konfigurálja a hálózati biztonsági csoport (NSG) szabályait, hogy az Azure-beli virtuális gépekre telepített figyelési ügynök kommunikálhasson a helyszíni figyelési ügynökökkel.
Engedélyezze Network Watcher az előfizetésében.
Monitorozás beállítása: Kapcsolatfigyelők létrehozása tesztcsoportokkal a forrás- és célvégpontok figyeléséhez a hálózaton.
Ha már használja a Hálózati teljesítményfigyelőt (elavult) vagy kapcsolatfigyelő más objektumok vagy szolgáltatások monitorozásához, és már rendelkezik Log Analytics-munkaterületkel az egyik támogatott régióban. Kihagyhatja az 1. és a 2. lépést, és megkezdheti a konfigurációt a 3. lépésben.
Munkaterület létrehozása
Hozzon létre egy munkaterületet az előfizetésben, amely rendelkezik az ExpressRoute-kapcsolatcsoport(ok) virtuális hálózatokra mutató hivatkozásával.
Jelentkezzen be az Azure Portalra. Az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott virtuális hálózatokat tartalmazó előfizetésben válassza az + Erőforrás létrehozása lehetőséget. Keresse meg a Log Analytics-munkaterületet, majd válassza a Létrehozás lehetőséget.
Megjegyzés
Létrehozhat egy új munkaterületet, vagy használhat egy meglévő munkaterületet. Ha meglévő munkaterületet szeretne használni, győződjön meg arról, hogy a munkaterület át lett migrálva az új lekérdezési nyelvre. További információ...
Hozzon létre egy munkaterületet az alábbi információk megadásával vagy kiválasztásával.
Beállítások Érték Előfizetés Válassza ki az ExpressRoute-kapcsolatcsoporttal rendelkező előfizetést. Erőforráscsoport Hozzon létre egy újat, vagy válasszon ki egy meglévő erőforráscsoportot. Name Adjon meg egy nevet a munkaterület azonosításához. Régió Válassza ki azt a régiót, ahol ez a munkaterület létrejön. Megjegyzés
Az ExpressRoute-kapcsolatcsoport bárhol lehet a világon. Nem kell ugyanabban a régióban lennie, mint a munkaterületnek.
A munkaterület üzembe helyezéséhez válassza a Felülvizsgálat + Létrehozás lehetőséget az ellenőrzéshez, majd a Létrehozás lehetőséget. A munkaterület üzembe helyezése után folytassa a következő szakaszban a monitorozási megoldás konfigurálásával.
Monitorozási megoldás konfigurálása
Fejezze be a Azure PowerShell szkriptet a $SubscriptionId, $location, $resourceGroup és $workspaceName értékeinek cseréjével. Ezután futtassa a szkriptet a monitorozási megoldás konfigurálásához.
$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId
$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"
$solution = @{
Location = $location
Properties = @{
workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
}
Plan = @{
Name = "NetworkMonitoring($($workspaceName))"
Publisher = "Microsoft"
Product = "OMSGallery/NetworkMonitoring"
PromotionCode = ""
}
ResourceName = "NetworkMonitoring($($workspaceName))"
ResourceType = "Microsoft.OperationsManagement/solutions"
ResourceGroupName = $resourceGroup
}
New-AzResource @solution -Force
Miután konfigurálta a monitorozási megoldást. Folytassa a figyelési ügynökök kiszolgálókon való telepítésének és konfigurálásának következő lépésével.
Ügynökök telepítése és konfigurálása a helyszínen
Az ügynök telepítőfájljának letöltése
Lépjen a Log Analytics-munkaterületre , és válassza az Ügynökök kezelése lehetőséget a Beállítások területen. Töltse le a gép operációs rendszerének megfelelő ügynököt.
Ezután másolja a munkaterület-azonosítót és az elsődleges kulcsot a Jegyzettömbbe.
Windows rendszerű gépek esetén töltse le és futtassa ezt a PowerShell-szkriptet ,EnableRules.ps1 rendszergazdai jogosultságokkal rendelkező PowerShell-ablakban. A PowerShell-szkript megnyitja a TCP-tranzakciók megfelelő tűzfalportját.
Linux rendszerű gépek esetén a portszámot manuálisan kell módosítani az alábbi lépésekkel:
- Lépjen a /var/opt/microsoft/omsagent/npm_state elérési útra.
- Fájl megnyitása: npmdregistry
- A portszám értékének módosítása
PortNumber:<port of your choice>
A Log Analytics-ügynök telepítése minden monitorozási kiszolgálón
Javasoljuk, hogy telepítse a Log Analytics-ügynököt legalább két kiszolgálóra az ExpressRoute-kapcsolat mindkét oldalán a redundancia érdekében. Például a helyszíni és az Azure-beli virtuális hálózat. Ügynökök telepítéséhez kövesse az alábbi lépéseket:
Válassza ki a megfelelő operációs rendszert a Log Analytics-ügynök kiszolgálókra való telepítéséhez szükséges lépésekhez.
Ha elkészült, a Microsoft Monitoring Agent megjelenik a Vezérlőpult. Áttekintheti a konfigurációt, és ellenőrizheti, hogy az ügynök kapcsolódott-e az Azure Monitor-naplókhoz.
Ismételje meg az 1. és a 2. lépést a monitorozáshoz használni kívánt többi helyszíni gép esetében.
Network Watcher ügynök telepítése minden monitorozási kiszolgálóra
Új Azure-beli virtuális gép
Ha új Azure-beli virtuális gépet hoz létre a virtuális hálózat kapcsolatának figyeléséhez, a virtuális gép létrehozásakor telepítheti a Network Watcher ügynököt.
Meglévő Azure-beli virtuális gép
Ha meglévő virtuális gépet használ a kapcsolat monitorozásához, a hálózati ügynököt külön telepítheti Linux és Windows rendszeren.
Nyissa meg a tűzfalportokat a figyelési ügynök kiszolgálóin
A tűzfalszabályok blokkolhatják a forrás- és célkiszolgálók közötti kommunikációt. kapcsolatfigyelő észleli ezt a problémát, és diagnosztikai üzenetként jeleníti meg a topológiában. A kapcsolatfigyelés engedélyezéséhez győződjön meg arról, hogy a tűzfalszabályok engedélyezik a TCP-en vagy ICMP-en keresztüli csomagokat a forrás és a cél között.
Windows
Windows rendszerű gépeken futtathat egy PowerShell-szkriptet a kapcsolatfigyelő által igényelt beállításkulcsok létrehozásához. Ez a szkript a Windows tűzfalszabályokat is létrehozza, amelyek lehetővé teszik, hogy a figyelési ügynökök TCP-kapcsolatokat hozzanak létre egymással. A szkript által létrehozott beállításkulcsok határozzák meg, hogy naplózza-e a hibakeresési naplókat és a naplófájl elérési útját. Meghatározza a kommunikációhoz használt ügynök TCP-portját is. A szkript automatikusan beállítja ezeknek a kulcsoknak az értékeit. Ezeket a kulcsokat nem szabad manuálisan módosítani.
A 8084-ös port alapértelmezés szerint meg van nyitva. Egyéni portot úgy használhat, hogy megadja a "portNumber" paramétert a szkriptnek. Ha azonban így tesz, ugyanazt a portot kell megadnia az összes kiszolgálóhoz, amelyen futtatja a szkriptet.
Megjegyzés
Az EnableRules PowerShell-szkript csak azon a kiszolgálón konfigurálja a Windows tűzfalszabályokat, amelyen a szkript fut. Ha hálózati tűzfallal rendelkezik, győződjön meg arról, hogy engedélyezi az kapcsolatfigyelő által használt TCP-portra irányuló forgalmat.
Az ügynökkiszolgálókon nyisson meg egy PowerShell-ablakot rendszergazdai jogosultságokkal. Futtassa az EnableRules PowerShell-szkriptet (amelyet korábban töltött le). Ne használjon paramétereket.
Linux
Linux rendszerű gépek esetében a használt portszámokat manuálisan kell módosítani:
- Lépjen a /var/opt/microsoft/omsagent/npm_state elérési útra.
- Fájl megnyitása: npmdregistry
- Módosítsa a portszám
PortNumber:\<port of your choice\>
értékét. A használt portszámoknak meg kell egyeznie a munkaterületen használt összes ügynökkel
Hálózati biztonsági csoport szabályainak konfigurálása
Az Azure-ban található kiszolgálók monitorozásához konfigurálnia kell a hálózati biztonsági csoport (NSG) szabályait, hogy engedélyezze a TCP- vagy ICMP-forgalmat kapcsolatfigyelő. Az alapértelmezett port a **8084, amely lehetővé teszi, hogy az Azure-beli virtuális gépre telepített figyelési ügynök kommunikáljon egy helyszíni monitorozási ügynökkel.
Az NSG-vel kapcsolatos további információkért lásd a hálózati forgalom szűréséről szóló oktatóanyagot.
Megjegyzés
A lépés elvégzése előtt győződjön meg arról, hogy telepítette az ügynököket (a helyszíni kiszolgálóügynököt és az Azure-kiszolgálóügynököt is), és futtatta a PowerShell-szkriptet.
A Network Watcher engedélyezése
Minden virtuális hálózattal rendelkező előfizetés engedélyezve van a Network Watcher. Győződjön meg arról, hogy a Network Watcher nincs explicit módon letiltva az előfizetéséhez. További információ: Network Watcher engedélyezése.
Kapcsolatfigyelő létrehozása
A kapcsolatfigyelők, tesztek és tesztcsoportok hálózatbeli forrás- és célvégpontok közötti létrehozásának magas szintű áttekintéséért lásd: Kapcsolatfigyelő létrehozása. Az alábbi lépésekkel konfigurálhatja a privát társviszony-létesítés és a Microsoft-társviszony-létesítés kapcsolatfigyelését.
A Azure Portal keresse meg a Network Watcher erőforrást, és válassza a Figyelés területen a Kapcsolatfigyelő lehetőséget. Ezután válassza a Létrehozás lehetőséget egy új kapcsolatfigyelő létrehozásához.
A létrehozási munkafolyamat Alapvető beállítások lapján válassza ki azt a régiót, ahol üzembe helyezte a Log Analytics-munkaterületet a Régió mezőben. A Munkaterület konfigurációja beállításnál válassza ki a korábban létrehozott meglévő Log Analytics-munkaterületet. Ezután válassza a Tovább: Tesztcsoportok lehetőséget >>.
A Tesztcsoport adatainak hozzáadása lapon adja hozzá a tesztcsoport forrás- és célvégpontjait. A tesztkonfigurációkat is beállítja közöttük. Adja meg a tesztcsoport nevét .
Válassza a Forrás hozzáadása lehetőséget, és lépjen a Nem Azure-végpontok lapra. Válassza ki azokat a helyszíni erőforrásokat, amelyeken telepítve van a Log Analytics-ügynök, és figyelni szeretné a kapcsolatot, majd válassza a Végpontok hozzáadása lehetőséget.
Ezután válassza a Célhelyek hozzáadása lehetőséget.
Az ExpressRoute privát társviszony-létesítésen keresztüli kapcsolat monitorozásához lépjen az Azure-végpontok lapra. Válassza ki azokat az Azure-erőforrásokat, amelyeken telepítve van a Network Watcher ügynök, amelyet figyelni szeretne az Azure-beli virtuális hálózatokhoz való csatlakozáshoz. Mindenképpen válassza ki az egyes erőforrások magánhálózati IP-címét az IP-oszlopban . Válassza a Végpontok hozzáadása lehetőséget a végpontok a tesztcsoport céllistájához való hozzáadásához.
Az ExpressRoute Microsoft-társviszony-létesítésen keresztüli kapcsolat monitorozásához lépjen a Külső címek lapra. Válassza ki azokat a Microsoft-szolgáltatásvégpontokat, amelyekhez a Microsoft társviszony-létesítésen keresztüli kapcsolatot szeretné figyelni. Válassza a Végpontok hozzáadása lehetőséget a végpontok a tesztcsoport céllistájához való hozzáadásához.
Most válassza a Tesztkonfiguráció hozzáadása lehetőséget. Válassza a TCP lehetőséget a protokollhoz, és adja meg a kiszolgálókon megnyitott célportot . Ezután konfigurálja a teszt gyakoriságát és küszöbértékeit a sikertelen ellenőrzésekhez és a körutazási időhöz. Ezután válassza a Tesztkonfiguráció hozzáadása lehetőséget.
A források, a célhelyek és a tesztkonfiguráció hozzáadása után válassza a Tesztcsoport hozzáadása lehetőséget.
Válassza a Következő: Riasztás >>létrehozása lehetőséget, ha riasztást szeretne létrehozni. Ha végzett, válassza a Felülvizsgálat + létrehozás , majd a Létrehozás lehetőséget.
Eredmények megtekintése
Nyissa meg a Network Watcher erőforrást, és válassza a Figyelés területen a Kapcsolatfigyelő lehetőséget. 5 perc elteltével meg kell jelennie az új kapcsolatfigyelőnek. A kapcsolatfigyelő hálózati topológiájának és teljesítménydiagramjának megtekintéséhez válassza ki a tesztet a tesztcsoport legördülő listájából.
A Teljesítményelemzés panelen megtekintheti a sikertelen ellenőrzés százalékos arányát és az egyes tesztek eredményeit az oda-vissza menetidőre vonatkozóan. A megjelenő adatok időkeretét a panel tetején található legördülő menü kiválasztásával módosíthatja.
A Teljesítményelemzés panel bezárásával megjelenik a kapcsolatfigyelő által észlelt hálózati topológia a kiválasztott forrás- és célvégpontok között. Ez a nézet a forrás- és célvégpontok közötti forgalom kétirányú útvonalait mutatja. A csomagok ugrásonkénti késését is láthatja, mielőtt azok elérnék a Microsoft peremhálózatát.
Ha kiválaszt egy ugrást a topológia nézetben, további információk jelennek meg az ugrásról. A kapcsolatfigyelő által az ugrással kapcsolatban észlelt problémák itt jelennek meg.
Következő lépések
További információ az Azure ExpressRoute monitorozásáról