Delen via


Verbindingsmonitor configureren voor ExpressRoute

Dit artikel helpt u bij het configureren van een Verbindingsmonitor-extensie voor het bewaken van ExpressRoute. Verbindingsmonitor is een cloudoplossing voor netwerkcontrole die de connectiviteit controleert tussen implementaties in de Azure-cloud en on-premises locaties (filialen, enzovoort). Verbindingsmonitor maakt deel uit van Azure Monitor-logboeken. Met de extensie kunt u ook de netwerkverbinding voor uw privé- en Microsoft-peeringverbindingen bewaken. Wanneer u Verbindingsmonitor configureert voor ExpressRoute, kunt u netwerkproblemen detecteren om te identificeren en op te lossen.

Notitie

Dit artikel is onlangs bijgewerkt waarbij Log Analytics is vervangen door de term Azure Monitor-logboeken. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

Met Verbindingsmonitor voor ExpressRoute kunt u het volgende doen:

  • Bewaak verlies en wachttijd in verschillende VNets en stel waarschuwingen in.

  • Bewaak alle paden (inclusief redundante paden) in het netwerk.

  • Los tijdelijke en point-in-time netwerkproblemen op die moeilijk te repliceren zijn.

  • Help bij het bepalen van een specifiek segment in het netwerk dat verantwoordelijk is voor gedegradeerde prestaties.

Workflow

Bewakingsagents worden geïnstalleerd op meerdere servers, zowel on-premises als in Azure. De agents communiceren met elkaar door TCP-handshakepakketten te verzenden. Met de communicatie tussen de agents kan Azure de netwerktopologie en het pad toewijzen dat het verkeer kan aannemen.

  1. Maak een Log Analytics-werkruimte.

  2. Softwareagents installeren en configureren. (Als u alleen wilt controleren via Microsoft-peering, hoeft u geen softwareagents te installeren en te configureren.):

    • Installeer bewakingsagents op de on-premises servers en de Azure-VM's (voor privépeering).
    • Configureer instellingen op de bewakingsagentservers zodat de bewakingsagents kunnen communiceren. (Open firewallpoorten, enzovoort)
  3. Configureer NSG-regels (netwerkbeveiligingsgroep) zodat de bewakingsagent die op virtuele Azure-machines is geïnstalleerd, kan communiceren met on-premises bewakingsagents.

  4. Schakel Network Watcher in voor uw abonnement.

  5. Bewaking instellen: Maak verbindingsmonitors met testgroepen om bron- en doeleindpunten in uw netwerk te bewaken.

Als u netwerkprestatiemeter al gebruikt (afgeschaft) of Verbindingsmonitor om andere objecten of services te bewaken en u al een Log Analytics-werkruimte in een van de ondersteunde regio's hebt. U kunt stap 1 en stap 2 overslaan en uw configuratie beginnen bij stap 3.

Een werkruimte maken

Maak een werkruimte in het abonnement met de VNets-koppeling naar de ExpressRoute-circuits.

  1. Meld u aan bij het Azure-portaal. Selecteer + Een resource maken vanuit het abonnement met de virtuele netwerken die zijn verbonden met uw ExpressRoute-circuit. Zoek naar Log Analytics-werkruimte en selecteer Vervolgens Maken.

    Notitie

    U kunt een nieuwe werkruimte maken of een bestaande werkruimte gebruiken. Als u een bestaande werkruimte wilt gebruiken, moet u ervoor zorgen dat de werkruimte is gemigreerd naar de nieuwe querytaal. Meer informatie...

    Schermopname van het zoeken naar Log Analytics bij het maken van een resource.

  2. Maak een werkruimte door de volgende gegevens in te voeren of te selecteren.

    Instellingen Weergegeven als
    Abonnement Selecteer het abonnement met het ExpressRoute-circuit.
    Resourcegroep Maak een nieuwe resourcegroep of selecteer een bestaande resourcegroep.
    Naam Voer een naam in om deze werkruimte te identificeren.
    Regio Selecteer een regio waarin deze werkruimte is gemaakt.

    Schermopname van het tabblad Basis voor het maken van een Log Analytics-werkruimte.

    Notitie

    Het ExpressRoute-circuit kan overal ter wereld zijn. Deze hoeft zich niet in dezelfde regio als de werkruimte te bevinden.

  3. Selecteer Beoordelen + Maken om te valideren en vervolgens Maken om de werkruimte te implementeren. Zodra de werkruimte is geïmplementeerd, gaat u verder met de volgende sectie om de bewakingsoplossing te configureren.

Bewakingsoplossing configureren

Voltooi het Azure PowerShell-script door de waarden voor $SubscriptionId, $location, $resourceGroup en $workspaceName te vervangen. Voer vervolgens het script uit om de bewakingsoplossing te configureren.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Zodra u de bewakingsoplossing hebt geconfigureerd. Ga door naar de volgende stap van het installeren en configureren van de bewakingsagents op uw servers.

Agents on-premises installeren en configureren

Het installatiebestand van de agent downloaden

  1. Navigeer naar de Log Analytics-werkruimte en selecteer Agents-beheer onder Instellingen. Download de agent die overeenkomt met het besturingssysteem van uw computer.

    Schermopname van de pagina agentbeheer in de werkruimte.

  2. Kopieer vervolgens de werkruimte-id en primaire sleutel naar Kladblok.

    Schermopname van werkruimte-id en primaire sleutel.

  3. Voor Windows-computers downloadt en voert u dit PowerShell-script EnableRules.ps1 uit in een PowerShell-venster met beheerdersbevoegdheden. Het PowerShell-script opent de relevante firewallpoort voor de TCP-transacties.

    Voor Linux-machines moet het poortnummer handmatig worden gewijzigd met de volgende stappen:

    • Navigeer naar pad: /var/opt/microsoft/omsagent/npm_state.
    • Bestand openen: npmdregistry
    • De waarde voor poortnummer wijzigen PortNumber:<port of your choice>

Log Analytics-agent installeren op elke bewakingsserver

Het is raadzaam om de Log Analytics-agent op ten minste twee servers aan beide zijden van de ExpressRoute-verbinding te installeren voor redundantie. Bijvoorbeeld uw on-premises en virtuele Azure-netwerk. Gebruik de volgende stappen om agents te installeren:

  1. Selecteer het juiste besturingssysteem voor de stappen voor het installeren van de Log Analytics-agent op uw servers.

  2. Als u klaar bent, wordt de Microsoft Monitoring Agent weergegeven in de Configuratiescherm. U kunt uw configuratie controleren en de connectiviteit van de agent met Azure Monitor-logboeken controleren.

  3. Herhaal stap 1 en 2 voor de andere on-premises machines die u wilt gebruiken voor bewaking.

Network Watcher-agent installeren op elke bewakingsserver

Nieuwe virtuele Azure-machine

Als u een nieuwe Azure-VM maakt voor het bewaken van de connectiviteit van uw VNet, kunt u de Network Watcher-agent installeren bij het maken van de VIRTUELE machine.

Bestaande virtuele Azure-machine

Als u een bestaande VM gebruikt om de connectiviteit te bewaken, kunt u de netwerkagent afzonderlijk installeren voor Linux en Windows.

Open de firewallpoorten op de bewakingsagentservers

Regels voor een firewall kunnen de communicatie tussen de bron- en doelservers blokkeren. Verbindingsmonitor detecteert dit probleem en geeft dit weer als een diagnostisch bericht in de topologie. Als u verbindingsbewaking wilt inschakelen, moet u ervoor zorgen dat firewallregels pakketten toestaan via TCP of ICMP tussen de bron en bestemming.

Windows

Voor Windows-computers kunt u een PowerShell-script uitvoeren om de registersleutels te maken die vereist zijn voor de Verbindingsmonitor. Met dit script worden ook de Windows Firewall-regels gemaakt waarmee bewakingsagents TCP-verbindingen met elkaar kunnen maken. De registersleutels die door het script zijn gemaakt, geven aan of de logboeken voor foutopsporing en het pad voor het logboekbestand moeten worden vastgelegd. Het definieert ook de TCP-poort van de agent die wordt gebruikt voor communicatie. De waarden voor deze sleutels worden automatisch ingesteld door het script. U moet deze sleutels niet handmatig wijzigen.

Poort 8084 wordt standaard geopend. U kunt een aangepaste poort gebruiken door de parameter portNumber op te geven aan het script. Als u dit doet, moet u echter dezelfde poort opgeven voor alle servers waarop u het script uitvoert.

Notitie

Met het PowerShell-script EnableRules worden Windows Firewall-regels alleen geconfigureerd op de server waarop het script wordt uitgevoerd. Als u een netwerkfirewall hebt, moet u ervoor zorgen dat verkeer dat is bestemd voor de TCP-poort die door Verbindingsmonitor wordt gebruikt, is toegestaan.

Open op de agentservers een PowerShell-venster met beheerdersbevoegdheden. Voer het PowerShell-script EnableRules uit (dat u eerder hebt gedownload). Gebruik geen parameters.

Schermopname van het uitvoeren van het script Regels inschakelen in het PowerShell-venster.

Linux

Voor Linux-machines moeten de gebruikte poortnummers handmatig worden gewijzigd:

  1. Navigeer naar pad: /var/opt/microsoft/omsagent/npm_state.
  2. Bestand openen: npmdregistry
  3. Wijzig de waarde voor poortnummer PortNumber:\<port of your choice\>. De gebruikte poortnummers moeten hetzelfde zijn voor alle agents die in een werkruimte worden gebruikt

Regels voor netwerkbeveiligingsgroepen configureren

Als u servers in Azure wilt bewaken, moet u NSG-regels (netwerkbeveiligingsgroep) configureren om TCP- of ICMP-verkeer van Verbindingsmonitor toe te staan. De standaardpoort is **8084, waarmee de bewakingsagent die op de Azure-VM is geïnstalleerd, kan communiceren met een on-premises bewakingsagent.

Zie de zelfstudie over het filteren van netwerkverkeer voor meer informatie over NSG.

Notitie

Zorg ervoor dat u de agents (zowel de on-premises serveragent als de Azure-serveragent) hebt geïnstalleerd en voer het PowerShell-script uit voordat u doorgaat met deze stap.

Network Watcher inschakelen

Alle abonnementen met een virtueel netwerk zijn ingeschakeld met Network Watcher. Zorg ervoor dat Network Watcher niet expliciet is uitgeschakeld voor uw abonnement. Zie Network Watcher inschakelen voor meer informatie.

Een verbindingsmonitor maken

Zie Een verbindingsmonitor maken voor een algemeen overzicht van het maken van verbindingsmonitors, tests en testgroepen tussen bron- en doeleindpunten in uw netwerk. Gebruik de volgende stappen om de bewaking van verbindingen voor privépeering en Microsoft-peering te configureren.

  1. Navigeer in Azure Portal naar uw Network Watcher-resource en selecteer Verbindingsmonitor onder Bewaking. Selecteer Vervolgens Maken om een nieuwe verbindingsmonitor te maken.

    Schermopname van verbindingsmonitor in Network Watcher.

  2. Selecteer op het tabblad Basis van de werkstroom voor het maken dezelfde regio waar u uw Log Analytics-werkruimte hebt geïmplementeerd voor het veld Regio . Selecteer voor werkruimteconfiguratie de bestaande Log Analytics-werkruimte die u eerder hebt gemaakt. Selecteer vervolgens Volgende: Testgroepen >>.

    Schermopname van het tabblad Basis voor het maken van Verbindingsmonitor.

  3. Op de pagina Details van testgroep toevoegen voegt u de bron- en doeleindpunten voor uw testgroep toe. U stelt ook de testconfiguraties tussen deze configuraties in. Voer een naam in voor deze testgroep.

    Schermopname van de pagina details van testgroep toevoegen.

  4. Selecteer Bron toevoegen en navigeer naar het tabblad Niet-Azure-eindpunten . Kies de on-premises resources waarop de Log Analytics-agent is geïnstalleerd en selecteer vervolgens Eindpunten toevoegen.

    Schermopname van het toevoegen van broneindpunten.

  5. Selecteer vervolgens Bestemmingen toevoegen.

    Als u de connectiviteit wilt bewaken via persoonlijke ExpressRoute-peering, gaat u naar het tabblad Azure-eindpunten. Kies de Azure-resources waarop de Network Watcher-agent is geïnstalleerd en waarop u de connectiviteit met uw virtuele netwerken in Azure wilt bewaken. Zorg ervoor dat u het privé-IP-adres van elk van deze resources in de IP-kolom selecteert. Selecteer Eindpunten toevoegen om deze eindpunten toe te voegen aan uw lijst met bestemmingen voor de testgroep.

    Schermopname van het toevoegen van Azure-doeleindpunten.

    Als u de connectiviteit wilt bewaken via ExpressRoute Microsoft-peering, gaat u naar het tabblad Externe adressen. Selecteer de Microsoft-services eindpunten waarmee u de connectiviteit wilt bewaken via Microsoft-peering. Selecteer Eindpunten toevoegen om deze eindpunten toe te voegen aan uw lijst met bestemmingen voor de testgroep.

    Schermopname van het toevoegen van externe doeleindpunten.

  6. Selecteer nu Testconfiguratie toevoegen. Selecteer TCP voor het protocol en voer de doelpoort in die u hebt geopend op uw servers. Configureer vervolgens uw testfrequentie en drempelwaarden voor mislukte controles en retourtijd. Selecteer vervolgens Testconfiguratie toevoegen.

    Schermopname van de pagina testconfiguratie toevoegen.

  7. Selecteer Testgroep toevoegen zodra u uw bronnen, bestemmingen en testconfiguratie hebt toegevoegd.

    Schermopname van het geconfigureerde detail van de testgroep toevoegen.

  8. Selecteer de volgende: Waarschuwing maken >> als u waarschuwingen wilt maken. Nadat u klaar bent, selecteert u Beoordelen en maken en vervolgens Maken.

Resultaten weergeven

  1. Ga naar uw Network Watcher-resource en selecteer Verbindingsmonitor onder Bewaking. Na 5 minuten ziet u de nieuwe verbindingsmonitor. Als u de netwerktopologie en prestatiegrafieken van de verbindingsmonitor wilt bekijken, selecteert u de test in de vervolgkeuzelijst voor de testgroep.

    Schermopname van de overzichtspagina van verbindingsmonitor.

  2. In het deelvenster Prestatieanalyse kunt u het percentage van de controle mislukt weergeven en de resultaten van elke test voor de retourtijd. U kunt het tijdsbestek voor de weergegeven gegevens aanpassen door de vervolgkeuzelijst bovenaan het deelvenster te selecteren.

    Schermopname van het deelvenster Prestatieanalyse.

  3. Als u het deelvenster Prestatieanalyse sluit, wordt de netwerktopologie weergegeven die is gedetecteerd door de verbindingsmonitor tussen de bron- en doeleindpunten die u hebt geselecteerd. In deze weergave ziet u de bidirectionele paden van verkeer tussen uw bron- en doeleindpunten. U kunt ook de hop-by-hop-latentie van pakketten zien voordat ze het edge-netwerk van Microsoft bereiken.

    Schermopname van netwerktopologie in verbindingsmonitor.

    Als u een hop selecteert in de topologieweergave, wordt aanvullende informatie over de hop weergegeven. Eventuele problemen die zijn gedetecteerd door de verbindingsmonitor over de hop worden hier weergegeven.

    Schermopname van meer informatie voor een netwerkhop.

Volgende stappen

Meer informatie over het bewaken van Azure ExpressRoute