Megosztás a következőn keresztül:

Kapcsolatfigyelő konfigurálása az ExpressRoute-hoz

  • Cikk

Ez a cikk segít konfigurálni egy kapcsolatfigyelő-bővítményt az ExpressRoute figyeléséhez. A Kapcsolatfigyelő egy felhőalapú hálózatmonitorozási megoldás, amely az Azure-felhőbeli üzemelő példányok és a helyszíni környezetek (fiókirodák stb.) közötti kapcsolatot monitorozza. A kapcsolatfigyelő az Azure Monitor-naplók része. A bővítmény lehetővé teszi a magán- és Microsoft-társviszony-létesítési kapcsolatok hálózati kapcsolatainak monitorozását is. A kapcsolatfigyelő használatára való konfigurálásával azonosíthatja és elkerülheti a hálózati problémákat.

Feljegyzés

Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen lesznek tárolva, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi őket. Frissítjük a terminológiát, hogy jobban tükrözzük a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiájának változásait .

Az ExpressRoute kapcsolatfigyelő a következőt teheti:

  • Különböző virtuális hálózatok veszteségeinek és késleltetésének figyelése és riasztások beállítása.

  • A hálózaton lévő összes elérési út (beleértve a redundáns elérési utakat is) figyelése.

  • Nehezen replikálható átmeneti és időponthoz kötődő hálózati problémák hibaelhárítása.

  • Segítségnyújtás a csökkent teljesítményért felelős konkrét szegmens meghatározásához a hálózaton.

Munkafolyamat

A monitorozási ügynökök több kiszolgálón vannak telepítve, mind a helyszínen, mind az Azure-ban. Az ügynökök TCP-kézfogási csomagok küldésével kommunikálnak egymással. Az ügynökök közötti kommunikáció lehetővé teszi az Azure számára, hogy leképozza a hálózati topológiát és a forgalom által igénybe vehető útvonalat.

  1. Egy Log Analytics-munkaterület létrehozása.

  2. Szoftverügynökök telepítése és konfigurálása. (Ha csak microsoftos társviszony-létesítésen keresztül szeretne monitorozni, nem kell szoftverügynököket telepítenie és konfigurálnia):)

    • Monitorozási ügynökök telepítése a helyszíni kiszolgálókra és az Azure-beli virtuális gépekre (privát társviszony-létesítéshez).
    • Konfigurálja a figyelési ügynök kiszolgálóinak beállításait, hogy a figyelési ügynökök kommunikálhassanak. (Tűzfalportok megnyitása stb.)

  3. Konfigurálja a hálózati biztonsági csoport (NSG) szabályait, hogy az Azure-beli virtuális gépekre telepített monitorozási ügynök kommunikálhasson a helyszíni figyelési ügynökökkel.

  4. Engedélyezze a Network Watchert az előfizetésében.

  5. Monitorozás beállítása: Kapcsolatfigyelők létrehozása tesztcsoportokkal a forrás- és célvégpontok figyeléséhez a hálózaton.

Ha már használja a Hálózati teljesítményfigyelőt (elavult), vagy kapcsolatfigyelő más objektumok vagy szolgáltatások figyelésére, és már rendelkezik Log Analytics-munkaterületkel az egyik támogatott régióban. Kihagyhatja az 1. és a 2. lépést, és megkezdheti a konfigurációt a 3. lépésben.

Munkaterület létrehozása

Hozzon létre egy munkaterületet az előfizetésben, amely rendelkezik az ExpressRoute-kapcsolatcsoport(ok) virtuális hálózatokra mutató hivatkozásával.

  1. Jelentkezzen be az Azure Portalra. Az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott virtuális hálózatokat tartalmazó előfizetésből válassza az + Erőforrás létrehozása lehetőséget. Keresse meg a Log Analytics-munkaterületet, majd válassza a Létrehozás lehetőséget.

    Feljegyzés

    Létrehozhat egy új munkaterületet, vagy használhat egy meglévő munkaterületet. Ha meglévő munkaterületet szeretne használni, győződjön meg arról, hogy a munkaterület át lett migrálva az új lekérdezési nyelvre. További információ...

    Képernyőkép a Log Analytics erőforrás létrehozásakor való kereséséről.

  2. Hozzon létre egy munkaterületet az alábbi információk megadásával vagy kiválasztásával.

    Beállítások Érték
    Előfizetés Válassza ki az előfizetést az ExpressRoute-kapcsolatcsoporttal.
    Erőforráscsoport Hozzon létre egy újat, vagy válasszon ki egy meglévő erőforráscsoportot.
    Név Adjon meg egy nevet a munkaterület azonosításához.
    Régió Válassza ki azt a régiót, amelyben a munkaterület létrejön.

    Képernyőkép a Log Analytics-munkaterület létrehozásához szükséges alapszintű lapról.

    Feljegyzés

    Az ExpressRoute-kapcsolatcsoport bárhol lehet a világon. Nem kell ugyanabban a régióban lennie, mint a munkaterületnek.

  3. A munkaterület üzembe helyezéséhez válassza a Véleményezés + Létrehozás lehetőséget az ellenőrzéshez, majd a Létrehozás lehetőséget . A munkaterület üzembe helyezése után folytassa a következő szakaszban a monitorozási megoldás konfigurálásához.

Monitorozási megoldás konfigurálása

Töltse ki az Azure PowerShell-szkriptet a $SubscriptionId, $location, $resourceGroup és $workspaceName értékeinek cseréjével. Ezután futtassa a szkriptet a monitorozási megoldás konfigurálásához.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Miután konfigurálta a monitorozási megoldást. Folytassa a monitorozási ügynökök kiszolgálókon való telepítésének és konfigurálásának következő lépésével.

Ügynökök telepítése és konfigurálása a helyszínen

Az ügynök telepítőfájljának letöltése

  1. Lépjen a Log Analytics-munkaterületre, és válassza az Ügynökök kezelése lehetőséget a Beállítások területen. Töltse le a gép operációs rendszerének megfelelő ügynököt.

    Képernyőkép a munkaterület ügynökkezelési oldaláról.

  2. Ezután másolja a munkaterület azonosítóját és az elsődleges kulcsot a Jegyzettömbbe.

    Képernyőkép a munkaterület azonosítóról és az elsődleges kulcsról.

  3. Windows rendszerű gépek esetén töltse le és futtassa az EnableRules.ps1 PowerShell-szkriptet rendszergazdai jogosultságokkal rendelkező PowerShell-ablakban. A PowerShell-szkript megnyitja a TCP-tranzakciókhoz tartozó tűzfalportot.

    Linux rendszerű gépek esetén a portszámot manuálisan kell módosítani az alábbi lépésekkel:

    • Lépjen az elérési útra: /var/opt/microsoft/omsagent/npm_state.
    • Fájl megnyitása: npmdregistry
    • Portszám értékének módosítása PortNumber:<port of your choice>

A Log Analytics-ügynök telepítése minden monitorozási kiszolgálón

Javasoljuk, hogy telepítse a Log Analytics-ügynököt legalább két kiszolgálóra az ExpressRoute-kapcsolat mindkét oldalán a redundancia érdekében. Például a helyszíni és az Azure-beli virtuális hálózat. Az ügynökök telepítéséhez kövesse az alábbi lépéseket:

  1. Válassza ki a megfelelő operációs rendszert a Log Analytics-ügynök kiszolgálókon való telepítéséhez szükséges lépésekhez.

  2. Ha elkészült, a Microsoft Monitoring Agent megjelenik a Vezérlőpult. Áttekintheti a konfigurációt, és ellenőrizheti az Azure Monitor-naplókhoz való ügynökkapcsolatot .

  3. Ismételje meg az 1. és a 2. lépést a monitorozáshoz használni kívánt többi helyszíni gép esetében.

A Network Watcher-ügynök telepítése minden monitorozási kiszolgálón

Új Azure-beli virtuális gép

Ha új Azure-beli virtuális gépet hoz létre a virtuális hálózat kapcsolatának figyeléséhez, a virtuális gép létrehozásakor telepítheti a Network Watcher-ügynököt.

Meglévő Azure-beli virtuális gép

Ha egy meglévő virtuális gépet használ a kapcsolat figyeléséhez, a hálózati ügynököt külön telepítheti Linuxra és Windowsra.

A tűzfalportok megnyitása a figyelési ügynök kiszolgálóin

A tűzfalszabályok blokkolhatják a forrás- és célkiszolgálók közötti kommunikációt. kapcsolatfigyelő észleli ezt a problémát, és diagnosztikai üzenetként jeleníti meg a topológiában. A kapcsolatfigyelés engedélyezéséhez győződjön meg arról, hogy a tűzfalszabályok tcp-en vagy ICMP-en keresztül engedélyezik a csomagokat a forrás és a cél között.

Windows

Windows rendszerű gépeken PowerShell-szkriptet futtatva létrehozhatja a kapcsolatfigyelő által igényelt beállításkulcsokat. Ez a szkript a Windows tűzfalszabályokat is létrehozza, amelyek lehetővé teszik a figyelési ügynökök számára, hogy TCP-kapcsolatokat hozzanak létre egymással. A szkript által létrehozott beállításkulcsok megadják, hogy naplózza-e a hibakeresési naplókat és a naplófájl elérési útját. Emellett meghatározza a kommunikációhoz használt ügynök TCP-portját is. A szkript automatikusan beállítja ezeknek a kulcsoknak az értékeit. Ezeket a kulcsokat nem szabad manuálisan módosítani.

A 8084-s port alapértelmezés szerint meg van nyitva. Egyéni portot úgy használhat, hogy megadja a "portNumber" paramétert a szkriptnek. Ha azonban így tesz, ugyanazt a portot kell megadnia az összes kiszolgálóhoz, amelyen a szkriptet futtatja.

Feljegyzés

Az "EnableRules" PowerShell-szkript csak azon a kiszolgálón konfigurálja a Windows tűzfalszabályokat, ahol a szkript fut. Ha hálózati tűzfallal rendelkezik, győződjön meg arról, hogy engedélyezi a kapcsolatfigyelő által használt TCP-portra irányuló forgalmat.

Az ügynökkiszolgálókon nyisson meg egy Rendszergazdai jogosultságokkal rendelkező PowerShell-ablakot. Futtassa az EnableRules PowerShell-szkriptet (amelyet korábban letöltött). Ne használjon paramétereket.

Képernyőkép az engedélyezési szabályszkript PowerShell-ablakban való futtatásáról.

Linux

Linux rendszerű gépek esetén a használt portszámokat manuálisan kell módosítani:

  1. Lépjen az elérési útra: /var/opt/microsoft/omsagent/npm_state.
  2. Fájl megnyitása: npmdregistry
  3. Módosítsa a portszám PortNumber:\<port of your choice\>értékét. A használt portszámoknak meg kell egyeznie a munkaterületen használt összes ügynökkel

Hálózati biztonsági csoport szabályainak konfigurálása

Az Azure-beli kiszolgálók monitorozásához hálózati biztonsági csoport (NSG) szabályokat kell konfigurálnia, hogy engedélyezze a TCP- vagy ICMP-forgalmat kapcsolatfigyelő. Az alapértelmezett port a **8084, amely lehetővé teszi, hogy az Azure-beli virtuális gépen telepített monitorozási ügynök kommunikáljon egy helyszíni monitorozási ügynökkel.

Az NSG-vel kapcsolatos további információkért lásd a hálózati forgalom szűréséről szóló oktatóanyagot.

Feljegyzés

A lépés végrehajtása előtt győződjön meg arról, hogy telepítette az ügynököket (a helyszíni kiszolgálóügynököt és az Azure-kiszolgálóügynököt is), és futtatta a PowerShell-szkriptet.

A Network Watcher engedélyezése

Minden virtuális hálózattal rendelkező előfizetés engedélyezve van a Network Watcherrel. Győződjön meg arról, hogy a Network Watcher nincs kifejezetten letiltva az előfizetéséhez. További információ: Network Watcher engedélyezése.

Kapcsolatfigyelő létrehozása

A hálózati forrás- és célvégpontok közötti kapcsolatfigyelők, tesztek és tesztelési csoportok létrehozásának magas szintű áttekintéséért lásd : Kapcsolatfigyelő létrehozása. Az alábbi lépésekkel konfigurálhatja a privát társviszony-létesítés és a Microsoft társviszony-létesítés kapcsolatfigyelését.

  1. Az Azure Portalon keresse meg a Network Watcher-erőforrást, és válassza a Kapcsolatfigyelő lehetőséget a Figyelés területen. Ezután válassza a Létrehozás lehetőséget egy új kapcsolatfigyelő létrehozásához.

    A Network Watcher kapcsolatfigyelőjének képernyőképe.

  2. A létrehozási munkafolyamat Alapjai lapján válassza ki azt a régiót, ahol üzembe helyezte a Log Analytics-munkaterületet a Régió mezőben. Munkaterület-konfiguráció esetén válassza ki a korábban létrehozott Meglévő Log Analytics-munkaterületet. Ezután válassza a Tovább: Tesztcsoportok lehetőséget >>.

    Képernyőkép a kapcsolatfigyelő létrehozására szolgáló egyszerű lapról.

  3. A Tesztcsoport adatainak hozzáadása lapon adja hozzá a tesztcsoport forrás- és célvégpontjait. A tesztkonfigurációkat is beállítja közöttük. Adja meg a tesztcsoport nevét.

    Képernyőkép a tesztcsoport részleteinek hozzáadásáról.

  4. Válassza a Forrás hozzáadása lehetőséget, és lépjen a Nem Azure-végpontok lapra. Válassza ki azokat a helyszíni erőforrásokat, amelyeken telepítve van a Log Analytics-ügynök, amelyet figyelni szeretne a kapcsolathoz, majd válassza a Végpontok hozzáadása lehetőséget.

    Képernyőkép a forrásvégpontok hozzáadásáról.

  5. Ezután válassza a Célhelyek hozzáadása lehetőséget.

    Az ExpressRoute-beli privát társviszony-létesítésen keresztüli kapcsolatok monitorozásához lépjen az Azure-végpontok lapra. Válassza ki a telepített Network Watcher-ügynökkel rendelkező Azure-erőforrásokat, amelyeket az Azure-beli virtuális hálózatokkal való kapcsolat figyeléséhez szeretne figyelni. Ügyeljen arra, hogy az IP-oszlopban jelölje ki az egyes erőforrások magánhálózati IP-címét . Válassza a Végpontok hozzáadása lehetőséget a végpontok hozzáadásához a tesztcsoport célhelyeinek listájához.

    Képernyőkép az Azure-célvégpontok hozzáadásáról.

    Az ExpressRoute Microsoft-társviszony-létesítésen keresztüli kapcsolat figyeléséhez lépjen a Külső címek lapra. Válassza ki azokat a Microsoft-szolgáltatások végpontokat, amelyekhez a Microsoft társviszony-létesítésen keresztüli kapcsolatot szeretné figyelni. Válassza a Végpontok hozzáadása lehetőséget a végpontok hozzáadásához a tesztcsoport célhelyeinek listájához.

    Képernyőkép a külső célvégpontok hozzáadásáról.

  6. Most válassza a Tesztkonfiguráció hozzáadása lehetőséget. Válassza ki a TCP-t a protokollhoz, és adja meg a kiszolgálókon megnyitott célportot . Ezután konfigurálja a teszt gyakoriságát és küszöbértékeit a sikertelen ellenőrzésekhez és a menetidőhöz. Ezután válassza a Tesztkonfiguráció hozzáadása lehetőséget.

    Képernyőkép a tesztkonfiguráció hozzáadásáról.

  7. A források, a célhelyek és a tesztkonfiguráció hozzáadása után válassza a Tesztcsoport hozzáadása lehetőséget.

    Képernyőkép a konfigurált tesztcsoport adatainak hozzáadásáról.

  8. Válassza a Következő: Riasztás >> létrehozása lehetőséget, ha riasztást szeretne létrehozni. Ha végzett, válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

Eredmények megtekintése

  1. Nyissa meg a Network Watcher-erőforrást, és válassza a Kapcsolatfigyelő lehetőséget a Figyelés területen. 5 perc elteltével meg kell jelennie az új kapcsolatfigyelőnek. A kapcsolatfigyelő hálózati topológiájának és teljesítménydiagramjának megtekintéséhez válassza ki a tesztet a tesztcsoport legördülő listájából.

    Képernyőkép a kapcsolatfigyelő áttekintési oldaláról.

  2. A Teljesítményelemzési panelen megtekintheti a sikertelen ellenőrzés százalékos arányát és az egyes tesztek eredményeit az oda-vissza menetidőre vonatkozóan. A megjelenő adatok időkeretét a panel tetején található legördülő lista kiválasztásával módosíthatja.

    Képernyőkép a teljesítményelemzési panelről.

  3. A Teljesítményelemzési panel bezárása megmutatja a kapcsolatfigyelő által észlelt hálózati topológiát a kiválasztott forrás- és célvégpontok között. Ez a nézet a forrás- és célvégpontok közötti forgalom kétirányú útvonalait mutatja be. A csomagok ugrásonkénti késését is láthatja, mielőtt azok elérnék a Microsoft peremhálózatát.

    A kapcsolatfigyelő hálózati topológiájának képernyőképe.

    Ha bármelyik ugrást kiválasztja a topológia nézetben, további információk jelennek meg a ugrásról. A kapcsolatfigyelő által az ugrással kapcsolatban észlelt problémák itt jelennek meg.

    A hálózati ugrással kapcsolatos további információk képernyőképe.

Következő lépések

További információ az Azure ExpressRoute monitorozásáról