Verbindingsmonitor configureren voor ExpressRoute

Dit artikel helpt u bij het configureren van een Verbindingsmonitor-extensie voor het bewaken van ExpressRoute. Verbindingsmonitor is een cloudoplossing voor netwerkcontrole die de connectiviteit controleert tussen implementaties in de Azure-cloud en on-premises locaties (filialen, enzovoort). Verbindingsmonitor maakt deel uit van Azure Monitor-logboeken. Met de extensie kunt u ook de netwerkconnectiviteit bewaken voor uw privé- en Microsoft-peeringverbindingen. Wanneer u Verbindingsmonitor voor ExpressRoute configureert, kunt u netwerkproblemen detecteren om deze te identificeren en te elimineren.

Notitie

Dit artikel is onlangs bijgewerkt waarbij Log Analytics is vervangen door de term Azure Monitor-logboeken. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

Met Verbindingsmonitor voor ExpressRoute kunt u het volgende doen:

  • Bewaak verlies en latentie in verschillende VNets en stel waarschuwingen in.

  • Bewaak alle paden (inclusief redundante paden) in het netwerk.

  • Tijdelijke en tijdgebonden netwerkproblemen oplossen die moeilijk te repliceren zijn.

  • Help bij het bepalen van een specifiek segment in het netwerk dat verantwoordelijk is voor verminderde prestaties.

Werkstroom

Bewakingsagents worden geïnstalleerd op meerdere servers, zowel on-premises als in Azure. De agents communiceren met elkaar door TCP-handshakepakketten te verzenden. Dankzij de communicatie tussen de agents kan Azure de netwerktopologie en het pad dat het verkeer kan nemen, toewijzen.

  1. Maak een Log Analytics-werkruimte.

  2. Softwareagents installeren en configureren. (Als u alleen wilt controleren via Microsoft-peering, hoeft u geen software-agents te installeren en configureren.):

    • Installeer bewakingsagents op de on-premises servers en de Azure-VM's (voor persoonlijke peering).
    • Configureer instellingen op de servers van de bewakingsagent zodat de bewakingsagents kunnen communiceren. (Open firewallpoorten, enzovoort)
  3. Configureer NSG-regels (netwerkbeveiligingsgroep) zodat de bewakingsagent die op Azure-VM's is geïnstalleerd, kan communiceren met on-premises bewakingsagents.

  4. Schakel Network Watcher in voor uw abonnement.

  5. Bewaking instellen: maak verbindingsmonitors met testgroepen om bron- en doeleindpunten in uw netwerk te bewaken.

Als u netwerkprestatiemeter (afgeschaft) of Verbindingsmonitor al gebruikt om andere objecten of services te bewaken en u al een Log Analytics-werkruimte hebt in een van de ondersteunde regio's. U kunt stap 1 en stap 2 overslaan en de configuratie starten bij stap 3.

Een werkruimte maken

Maak een werkruimte in het abonnement met de VNets-koppeling naar de ExpressRoute-circuit(s).

  1. Meld u aan bij de Azure-portal. Selecteer + Een resource maken vanuit het abonnement met de virtuele netwerken die zijn verbonden met uw ExpressRoute-circuit. Zoek naar Log Analytics-werkruimte en selecteer vervolgens Maken.

    Notitie

    U kunt een nieuwe werkruimte maken of een bestaande werkruimte gebruiken. Als u een bestaande werkruimte wilt gebruiken, moet u ervoor zorgen dat de werkruimte is gemigreerd naar de nieuwe querytaal. Meer informatie...

    Schermopname van het zoeken naar Log Analytics in een resource maken.

  2. Maak een werkruimte door de volgende gegevens in te voeren of te selecteren.

    Instellingen Waarde
    Abonnement Selecteer het abonnement met het ExpressRoute-circuit.
    Resourcegroep Maak een nieuwe resourcegroep of selecteer een bestaande resourcegroep.
    Naam Voer een naam in om deze werkruimte te identificeren.
    Regio Selecteer een regio waarin deze werkruimte wordt gemaakt.

    Schermopname van het tabblad Basis voor het maken van een Log Analytics-werkruimte.

    Notitie

    Het ExpressRoute-circuit kan zich overal ter wereld bevinden. Deze hoeft zich niet in dezelfde regio te bevinden als de werkruimte.

  3. Selecteer Beoordelen en maken om te valideren en vervolgens Maken om de werkruimte te implementeren. Zodra de werkruimte is geïmplementeerd, gaat u verder met de volgende sectie om de bewakingsoplossing te configureren.

Bewakingsoplossing configureren

Voltooi het Azure PowerShell-script door de waarden voor $SubscriptionId, $location, $resourceGroup en $workspaceName te vervangen. Voer vervolgens het script uit om de bewakingsoplossing te configureren.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Zodra u de bewakingsoplossing hebt geconfigureerd. Ga verder met de volgende stap van het installeren en configureren van de bewakingsagents op uw servers.

On-premises agents installeren en configureren

Het installatiebestand van de agent downloaden

  1. Navigeer naar de Log Analytics-werkruimte en selecteer Agentbeheer onder Instellingen. Download de agent die overeenkomt met het besturingssysteem van uw computer.

    Schermopname van de pagina agentbeheer in de werkruimte.

  2. Kopieer vervolgens de werkruimte-id en primaire sleutel naar Kladblok.

    Schermopname van werkruimte-id en primaire sleutel.

  3. Voor Windows-computers kunt u dit PowerShell-script downloaden en uitvoerenEnableRules.ps1in een PowerShell-venster met beheerdersbevoegdheden. Het PowerShell-script opent de relevante firewallpoort voor de TCP-transacties.

    Voor Linux-machines moet het poortnummer handmatig worden gewijzigd door de volgende stappen uit te voeren:

    • Navigeer naar pad: /var/opt/microsoft/omsagent/npm_state.
    • Bestand openen: npmdregistry
    • De waarde voor poortnummer wijzigen PortNumber:<port of your choice>

Log Analytics-agent installeren op elke bewakingsserver

Het is raadzaam om de Log Analytics-agent op ten minste twee servers aan beide zijden van de ExpressRoute-verbinding te installeren voor redundantie. Bijvoorbeeld uw on-premises en virtuele Azure-netwerk. Gebruik de volgende stappen om agents te installeren:

  1. Selecteer het juiste besturingssysteem voor de stappen voor het installeren van de Log Analytics-agent op uw servers.

  2. Wanneer u klaar bent, wordt de Microsoft Monitoring Agent weergegeven in de Configuratiescherm. U kunt uw configuratie controleren en de connectiviteit van de agent met Azure Monitor-logboeken controleren.

  3. Herhaal stap 1 en 2 voor de andere on-premises machines die u wilt gebruiken voor bewaking.

Network Watcher-agent installeren op elke bewakingsserver

Nieuwe virtuele Azure-machine

Als u een nieuwe Azure-VM maakt voor het bewaken van de connectiviteit van uw VNet, kunt u de Network Watcher-agent installeren bij het maken van de VM.

Bestaande virtuele Azure-machine

Als u een bestaande VM gebruikt om de connectiviteit te bewaken, kunt u de netwerkagent afzonderlijk installeren voor Linux en Windows.

Open de firewallpoorten op de servers van de bewakingsagent

Regels voor een firewall kunnen de communicatie tussen de bron- en doelservers blokkeren. Verbindingsmonitor detecteert dit probleem en geeft het weer als een diagnostisch bericht in de topologie. Als u verbindingscontrole wilt inschakelen, moet u ervoor zorgen dat firewallregels pakketten via TCP of ICMP tussen de bron en het doel toestaan.

Windows

Voor Windows-computers kunt u een PowerShell-script uitvoeren om de registersleutels te maken die vereist zijn voor de Verbindingsmonitor. Met dit script worden ook de Windows Firewall-regels gemaakt, zodat bewakingsagents TCP-verbindingen met elkaar kunnen maken. De registersleutels die door het script worden gemaakt, geven aan of de foutopsporingslogboeken en het pad voor het logboekbestand moeten worden geregistreerd. Het definieert ook de TCP-poort van de agent die wordt gebruikt voor communicatie. De waarden voor deze sleutels worden automatisch ingesteld door het script. U moet deze sleutels niet handmatig wijzigen.

Poort 8084 wordt standaard geopend. U kunt een aangepaste poort gebruiken door de parameter 'portNumber' op te geven aan het script. Als u dit echter doet, moet u dezelfde poort opgeven voor alle servers waarop u het script uitvoert.

Notitie

Het PowerShell-script EnableRules configureert Windows Firewall-regels alleen op de server waarop het script wordt uitgevoerd. Als u een netwerkfirewall hebt, moet u ervoor zorgen dat deze verkeer toestaat dat is bestemd voor de TCP-poort die wordt gebruikt door Verbindingsmonitor.

Open op de agentservers een PowerShell-venster met beheerdersbevoegdheden. Voer het PowerShell-script EnableRules uit (dat u eerder hebt gedownload). Gebruik geen parameters.

Schermopname van het uitvoeren van het script regels inschakelen in het PowerShell-venster.

Linux

Voor Linux-machines moeten de gebruikte poortnummers handmatig worden gewijzigd:

  1. Navigeer naar pad: /var/opt/microsoft/omsagent/npm_state.
  2. Bestand openen: npmdregistry
  3. Wijzig de waarde voor Poortnummer PortNumber:\<port of your choice\>. De poortnummers die worden gebruikt, moeten hetzelfde zijn voor alle agents die in een werkruimte worden gebruikt

Regels voor netwerkbeveiligingsgroepen configureren

Als u servers in Azure wilt bewaken, moet u NSG-regels (netwerkbeveiligingsgroep) configureren om TCP- of ICMP-verkeer van Verbindingsmonitor toe te staan. De standaardpoort is **8084, waarmee de bewakingsagent die op de Azure-VM is geïnstalleerd, kan communiceren met een on-premises bewakingsagent.

Zie zelfstudie over het filteren van netwerkverkeer voor meer informatie over netwerkverkeer.

Notitie

Zorg ervoor dat u de agents (zowel de on-premises serveragent als de Azure-serveragent) hebt geïnstalleerd en dat u het PowerShell-script hebt uitgevoerd voordat u doorgaat met deze stap.

Network Watcher inschakelen

Alle abonnementen met een virtueel netwerk worden ingeschakeld met Network Watcher. Zorg ervoor dat Network Watcher niet expliciet is uitgeschakeld voor uw abonnement. Zie Network Watcher inschakelen voor meer informatie.

Een verbindingsmonitor maken

Zie Een verbindingsmonitor maken voor een algemeen overzicht van het maken van een verbindingsmonitor, testen en testen van groepen voor bron- en doeleindpunten in uw netwerk. Gebruik de volgende stappen om verbindingscontrole te configureren voor privépeering en Microsoft-peering.

  1. Navigeer in de Azure Portal naar uw Network Watcher resource en selecteer Verbindingsmonitor onder Bewaking. Selecteer vervolgens Maken om een nieuwe verbindingsmonitor te maken.

    Schermopname van verbindingsmonitor in Network Watcher.

  2. Selecteer op het tabblad Basis van de werkstroom voor het maken dezelfde regio waarin u uw Log Analytics-werkruimte hebt geïmplementeerd voor het veld Regio . Selecteer voor Werkruimteconfiguratie de bestaande Log Analytics-werkruimte die u eerder hebt gemaakt. Selecteer vervolgens Volgende: Testgroepen >>.

    Schermopname van het tabblad Basis voor het maken van Verbindingsmonitor.

  3. Op de pagina Details van testgroep toevoegen voegt u de bron- en doeleindpunten voor uw testgroep toe. U stelt ook de testconfiguraties ertussen in. Voer een naam in voor deze testgroep.

    Schermopname van de pagina testgroepdetails toevoegen.

  4. Selecteer Bron toevoegen en navigeer naar het tabblad Niet-Azure-eindpunten . Kies de on-premises resources waarop de Log Analytics-agent is geïnstalleerd en die u wilt bewaken en selecteer vervolgens Eindpunten toevoegen.

    Schermopname van het toevoegen van broneindpunten.

  5. Selecteer vervolgens Bestemmingen toevoegen.

    Als u de connectiviteit via persoonlijke ExpressRoute-peering wilt bewaken, gaat u naar het tabblad Azure-eindpunten. Kies de Azure-resources waarop de Network Watcher-agent is geïnstalleerd en die u de connectiviteit met uw virtuele netwerken in Azure wilt bewaken. Zorg ervoor dat u het privé-IP-adres van elk van deze resources selecteert in de ip-kolom . Selecteer Eindpunten toevoegen om deze eindpunten toe te voegen aan de lijst met bestemmingen voor de testgroep.

    Schermopname van het toevoegen van Azure-doeleindpunten.

    Als u de connectiviteit via ExpressRoute Microsoft-peering wilt bewaken, gaat u naar het tabblad Externe adressen . Selecteer de Microsoft-services-eindpunten waarmee u de connectiviteit via Microsoft-peering wilt bewaken. Selecteer Eindpunten toevoegen om deze eindpunten toe te voegen aan de lijst met bestemmingen voor de testgroep.

    Schermopname van het toevoegen van externe doeleindpunten.

  6. Selecteer nu Testconfiguratie toevoegen. Selecteer TCP voor het protocol en voer de doelpoort in die u op uw servers hebt geopend. Configureer vervolgens de testfrequentie en drempelwaarden voor mislukte controles en retourtijd. Selecteer vervolgens Testconfiguratie toevoegen.

    Schermopname van de pagina Testconfiguratie toevoegen.

  7. Selecteer Testgroep toevoegen nadat u uw bronnen, bestemmingen en testconfiguratie hebt toegevoegd.

    Schermopname van de geconfigureerde details van de testgroep toevoegen.

  8. Selecteer volgende: waarschuwing >>maken als u waarschuwingen wilt maken. Als u klaar bent, selecteert u Controleren en maken en vervolgens Maken.

Resultaten weergeven

  1. Ga naar uw Network Watcher resource en selecteer Verbindingsmonitor onder Bewaking. Na 5 minuten ziet u de nieuwe verbindingsmonitor. Als u de netwerktopologie en prestatiegrafieken van de verbindingsmonitor wilt weergeven, selecteert u de test in de vervolgkeuzelijst testgroep.

    Schermopname van de overzichtspagina van de verbindingsmonitor.

  2. In het deelvenster Prestatieanalyse kunt u het percentage mislukte controles en de resultaten van elke test voor de retourtijd bekijken. U kunt het tijdsbestek voor de weergegeven gegevens aanpassen door de vervolgkeuzelijst bovenaan het deelvenster te selecteren.

    Schermopname van het deelvenster Prestatieanalyse.

  3. Als u het deelvenster Prestatieanalyse sluit, wordt de netwerktopologie weergegeven die is gedetecteerd door de verbindingsmonitor tussen de bron- en doeleindpunten die u hebt geselecteerd. In deze weergave ziet u de bidirectionele paden van verkeer tussen uw bron- en doeleindpunten. U kunt ook de hop-voor-hoplatentie van pakketten zien voordat ze het edge-netwerk van Microsoft bereiken.

    Schermopname van de netwerktopologie in verbindingsmonitor.

    Als u een hop selecteert in de topologieweergave, wordt aanvullende informatie over de hop weergegeven. Eventuele problemen die door de verbindingsmonitor over de hop zijn gedetecteerd, worden hier weergegeven.

    Schermopname van meer informatie voor een netwerkhop.

Volgende stappen

Meer informatie over Azure ExpressRoute bewaken