接続モニター

完了

接続モニターを使用すると、Azure Network Watcher で、統合されたエンドツーエンドの接続監視が提供されます。 接続モニターの機能では、ハイブリッド デプロイと Azure クラウド デプロイがサポートされています。 Network Watcher には、Azure のデプロイに対する接続に関連したメトリックを監視、診断、表示するためのツールが用意されています。

接続モニターは、次のシナリオで使用できます。

  • 2 層アプリケーション内の 2 つの VM 間のネットワーク接続を調べて、フロントエンド Web サーバー仮想マシン (VM) がデータベース サーバー VM をホストしている VM と通信できることを確認できます。
  • 異なるリージョンにデプロイされた VM の間で、リージョン間の待ち時間を計算する必要があります (たとえば、オーストラリア南東部リージョンの VM と、米国中部リージョンにデプロイされた VM)。
  • Microsoft 365 の URL について、ブランチ オフィス サイトの待ち時間を比較する必要があります。
  • Azure ストレージ アカウント エンドポイントへの接続について、オンプレミス サイトの待ち時間と、Azure アプリケーションの待ち時間を比較する必要があります。
  • オンプレミスのセットアップと、クラウド アプリケーションがホストされている Azure VM 間の接続を確認したい。
  • Azure 仮想マシン スケール セットの複数のインスタンスから Azure 以外の多層アプリケーションへの接続を調べる必要があります。

ネットワークの問題点を診断する

接続モニターは、接続モニターとネットワークでの問題を診断するのに役立ちます。 ハイブリッド ネットワークの問題は、前にインストールした Log Analytics エージェントによって検出されます。 Azure の問題は、Network Watcher の拡張機能によって検出されます。

ソースがオンプレミスの VM であるネットワークの場合、次の問題を検出できます。

  • 要求がタイムアウトしました。
  • エンドポイントが DNS によって解決されない (一時的または永続的)。 URL が無効。
  • ホストが見つからない。
  • ソースが宛先に接続できない。 ICMP 経由でターゲットに到達できない。
  • 証明書関連の次のような問題:
    • エージェントの認証にクライアント証明書が必要である。
    • 証明書失効リストにアクセスできない。
    • エンドポイントのホスト名が、証明書のサブジェクト名またはサブジェクト代替名と一致しない。
    • ソースのローカル コンピューターの信頼された証明機関ストアにルート証明書がない。
    • SSL 証明書が有効期限切れである、無効である、失効している、または互換性がない。

ソースが Azure VM であるネットワークの場合、次の問題を検出できます。

  • エージェントに関する次のような問題:
    • エージェントが停止した
    • DNS の解決が失敗した
    • 宛先ポートでリッスンしているアプリケーションまたはリスナーがなく、ソケットを開くことができなかった。
  • VM の状態に関する次のような問題:
    • 開始中
    • 停止中
    • 停止済み
    • 割り当て解除中
    • 割り当て解除済み
    • 再起動中
    • 未割り当て
  • ARP テーブル エントリがない。
  • ローカル ファイアウォールの問題または NSG の規則が原因で、トラフィックがブロックされた。
  • 仮想ネットワーク ゲートウェイに関する次のような問題:
    • ルートがない
    • 2 つのゲートウェイ間のトンネルが切断されているか、存在しない。
    • 2 番目のゲートウェイがトンネルによって検出されなかった。
    • ピアリング情報が見つからなかった。
    • Microsoft Edge にルートがなかった。
    • システム ルートまたはユーザー定義ルート (UDR) が原因でトラフィックが停止した。
    • Border Gateway Protocol (BGP) がゲートウェイ接続で有効にならない。
    • 動的 IP アドレス (DIP) プローブがロード バランサーでダウンする。

接続モニターの構成

接続モニターを使って特定のシナリオを測定するには、次の一般的な手順を実行する必要があります。

  1. 監視エージェントをインストールする。
  2. 接続モニターを作成する。
  3. 監視データを分析してアラートを設定する。
  4. ネットワークの問題を診断する。

監視エージェントをインストールする

接続モニターでは、軽量の実行可能ファイルを使用して接続チェックが実行されます。 Azure 環境とオンプレミス環境両方からの接続チェックがサポートされています。 使用する実行可能ファイルは、VM が Azure とオンプレミスのどちらでホストされているかによって異なります。

Azure VM または仮想マシン スケール セットに Network Watcher エージェント仮想マシン拡張機能がインストールされている場合、接続モニターはそれらを監視ソースとして使用できます。 この拡張機能は、"Network Watcher 拡張機能" とも呼ばれます。 この拡張機能を使うと、エンド ツー エンドの監視やその他の高度な機能を利用できます。

ネットワーク セキュリティ グループ (NSG) またはファイアウォールの規則により、ソースとターゲットの間の通信がブロックされる場合があります。 接続モニターを使うと、この問題を検出し、トポロジに診断メッセージとして表示できます。 接続監視を有効にするには、NSG とファイアウォール規則で、ソースとターゲットの間の TCP または ICMP 経由のパケットを確実に許可します。

接続モニターで、オンプレミスのコンピューターが監視のソースとして認識されるようにするには、コンピューターに Log Analytics エージェントをインストールします。 その後、Network Performance Monitor ソリューションを有効にします。 これらのエージェントは Log Analytics ワークスペースにリンクされているので、監視を開始するには、ワークスペース ID とプライマリ キーをセットアップする必要があります。

接続モニターを作成する

接続モニター (プレビュー) で作成できる接続モニターでは、オンプレミスのマシンと Azure VM/スケール セットの両方をソースとして追加できます。 これらの接続モニターでは、エンドポイントへの接続も監視できます。 エンドポイントは、Azure または他の任意の URL や IP アドレス上のどこにあってもかまいません。

接続モニターには、次のエンティティが含まれています。

  • 接続モニター リソース:リージョン固有の Azure リソース。 以下に示すすべてのエンティティは、接続モニター リソースのプロパティです。
  • エンドポイント: 接続チェックに含まれるソースまたはターゲット。 エンドポイントの例としては、Azure VM/スケール セット、オンプレミスのエージェント、URL、IP アドレスなどがあります。
  • テスト構成:テスト用のプロトコル固有の構成。 選択したプロトコルに基づいて、ポート、しきい値、テストの頻度、その他の特性を定義できます。
  • テスト グループ:ソース エンドポイント、ターゲット エンドポイント、テスト構成が含まれるグループ。 接続モニターには、複数のテスト グループを含めることができます。
  • テスト:ソース エンドポイント、ターゲット エンドポイント、テスト構成の組み合わせ。 テストは、監視データを入手できる最も小さいレベルです。 監視データには、失敗したチェックの割合と、ラウンドトリップ時間 (RTT) が含まれます。

接続モニターを作成するには、次の手順のようにします。

  1. [Azure portal] で、[Network Watcher] に移動します。
  2. 左側のペインの [監視] セクションで、[接続モニター] を選択します。
  3. 接続モニター ダッシュボードで [作成] を選びます。
  4. [基本] ペインで、次の詳細を指定します。
    • [接続モニター名] :接続モニターの名前を入力します。 Azure リソースの標準的な名前付けルールを使用します。
    • サブスクリプション:接続モニターのサブスクリプションを選択します。
    • [リージョン] :接続モニターのリージョンを選択します。 選択できるのは、このリージョンに作成されたソース VM のみです。
    • [ワークスペースの構成] :カスタム ワークスペースまたは既定のワークスペースを選択します。 ワークスペースには監視データが保持されます。 カスタム ワークスペースを選択するには、既定のワークスペースのチェックボックスをオフにし、カスタム ワークスペースのサブスクリプションとリージョンを選択します。
  5. [次へ] を選択します。
  6. [テスト グループ] ページで、既存のテスト グループを選ぶか、新しいテスト グループを作成します。 テスト グループを作成するには、次の情報を指定します。
    • テスト グループの名前: テスト グループの名前を入力します。
    • ソース:Azure VM とオンプレミスのコンピューターにエージェントがインストールされている場合は、[ソースの追加] を選んで、両方をソースとして指定します。
      • 仮想ネットワーク、サブネット、単一の VM、または仮想マシン スケール セットを選択すると、対応するリソース ID がエンドポイントとして設定されます。 既定では、選択した仮想ネットワークまたはサブネット内のすべての VM が監視に関与します。 スコープを減らすには、特定のサブネットまたはエージェントを選択するか、スコープ プロパティの値を変更します。
      • オンプレミス エージェントを選ぶには、[Non-Azure endpoints] (Azure 以外のエンドポイント) タブを選びます。Log Analytics エージェントがインストールされているオンプレミス ホストの一覧から選びます。 [種類] として [Arc Endpoint] (Arc エンドポイント) を選び、[サブスクリプション] ドロップダウン リストからサブスクリプションを選びます。 Azure Arc エンドポイント拡張機能と Azure Monitor エージェント拡張機能が有効なホストの一覧が表示されます。
      • ターゲットとしてパブリック エンドポイントを選択するには、 [外部アドレス] タブを選択します。エンドポイントの一覧には、Office 365 のテスト URL と Dynamics 365 のテスト URL が含まれ、名前でグループ化されています。 同じ接続モニターの他のテスト グループで作成されたエンドポイントを選択することもできます。
      • エンドポイントを追加するには、右上の [エンドポイントの追加] を選択し、次に、エンドポイントの名前と、URL、IP、または FQDN を指定します。
  7. 次のステップでは、アラートを構成します。 アラートを使うと、テストが失敗した場合に通知を受け取ることができます。 アラートを作成するときは、アラートをトリガーする接続モニターのテスト エラーを指定する必要があります。 アクション グループを指定して、アラートがトリガーされたときに行うことを決定します。
  8. ペインの下部で [次へ: 確認および作成] を選択します。

監視データを分析する

エンドポイントの監視中、接続モニターは 24 時間ごとにエンドポイントの状態を再評価します。 そのため、24 時間サイクルの間に VM が割り当てを解除されたり、オフにされたりした場合、24 時間サイクルの終わりまでネットワーク パスにデータがないため、VM の状態が再評価されて、VM の状態が割り当て解除として報告されるまで、接続モニターは不確定の状態を報告します。

チェックによって返されるデータに応じて、テストは次のような状態になる可能性があります。

  • 合格: 失敗したチェックの割合およびラウンドトリップ時間 (RTT) の実際の値が、指定したしきい値を超えていません。
  • 失敗: 失敗したチェックの割合または RTT の実際の値が、指定したしきい値を超えました。 しきい値が指定されていない場合は、失敗したチェックの割合が 100 のときに、テストは "失敗" 状態になります。
  • 警告:
    • しきい値が指定され、接続モニターで、しきい値の 80% を超えるチェック失敗割合が観察されると、テストは "警告" としてマークされます。
    • しきい値が指定されていない場合は、接続モニターによって自動的にしきい値が割り当てられます。 そのしきい値を超えると、テストの状態は "警告" に変わります。 TCP または ICMP テストでの RTT の場合、しきい値は 750 ミリ秒 (ms) です。 チェック失敗割合のしきい値は 10% です。
  • 不確定: Log Analytics ワークスペース内にデータはありません。 メトリックを確認します。
  • 実行されていません: テスト グループを無効にすることによって無効にされています。

接続モニターによって収集されたデータは、Log Analytics ワークスペースに格納されます。 このワークスペースは、接続モニターを作成したときに設定されています。

監視データは Azure Monitor メトリックでも使用できます。 Log Analytics を使用すると、監視データを必要な限りいつまでも保持できます。 既定では、メトリックは Azure Monitor によって 30 日間だけ保管されます。