Konfigurowanie Monitor połączenia dla usługi ExpressRoute

  • Artykuł

Ten artykuł ułatwia skonfigurowanie rozszerzenia Monitor połączenia do monitorowania usługi ExpressRoute. Monitor połączenia to rozwiązanie do monitorowania sieci w chmurze, które monitoruje łączność między wdrożeniami w chmurze na platformie Azure a lokalizacjami lokalnymi (oddziałami firmy itp.). Monitor połączenia jest częścią dzienników usługi Azure Monitor. Rozszerzenie umożliwia również monitorowanie łączności sieciowej dla połączeń prywatnych i komunikacji równorzędnej firmy Microsoft. Podczas konfigurowania Monitor połączenia dla usługi ExpressRoute można wykrywać problemy z siecią w celu identyfikowania i eliminowania.

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dzienników są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor .

Za pomocą Monitor połączenia dla usługi ExpressRoute można wykonywać następujące czynności:

  • Monitorowanie utraty i opóźnienia w różnych sieciach wirtualnych i ustawianie alertów.

  • Monitoruj wszystkie ścieżki (w tym nadmiarowe ścieżki) w sieci.

  • Rozwiązywanie przejściowych i czasowych problemów z siecią, które są trudne do replikacji.

  • Pomoc w określeniu określonego segmentu w sieci, który jest odpowiedzialny za obniżoną wydajność.

Przepływ pracy

Agenci monitorowania są instalowani na wielu serwerach, zarówno lokalnie, jak i na platformie Azure. Agenci komunikują się ze sobą, wysyłając pakiety uzgadniania TCP. Komunikacja między agentami umożliwia platformie Azure mapowania topologii sieci i ścieżki, którą może zająć ruch.

  1. Utworzenie obszaru roboczego usługi Log Analytics.

  2. Instalowanie i konfigurowanie agentów oprogramowania. (Jeśli chcesz monitorować tylko komunikację równorzędną firmy Microsoft, nie musisz instalować i konfigurować agentów oprogramowania).

    • Zainstaluj agentów monitorowania na serwerach lokalnych i maszynach wirtualnych platformy Azure (na potrzeby prywatnej komunikacji równorzędnej).
    • Skonfiguruj ustawienia na serwerach agentów monitorowania, aby umożliwić agentom monitorowania komunikowanie się. (Otwórz porty zapory itp.)

  3. Skonfiguruj reguły sieciowej grupy zabezpieczeń, aby umożliwić agentowi monitorowania zainstalowanemu na maszynach wirtualnych platformy Azure komunikowanie się z lokalnymi agentami monitorowania.

  4. Włącz Network Watcher w ramach subskrypcji.

  5. Konfigurowanie monitorowania: tworzenie monitorów połączeń za pomocą grup testowych w celu monitorowania punktów końcowych źródłowych i docelowych w sieci.

Jeśli używasz już monitor wydajności sieci (przestarzałe) lub Monitor połączenia do monitorowania innych obiektów lub usług, i masz już obszar roboczy usługi Log Analytics w jednym z obsługiwanych regionów. Możesz pominąć krok 1 i krok 2 i rozpocząć konfigurację w kroku 3.

Tworzenie obszaru roboczego

Utwórz obszar roboczy w subskrypcji z linkiem sieci wirtualnych do obwodów usługi ExpressRoute.

  1. Zaloguj się w witrynie Azure Portal. W subskrypcji z sieciami wirtualnymi połączonymi z obwodem usługi ExpressRoute wybierz pozycję + Utwórz zasób. Wyszukaj obszar roboczy usługi Log Analytics, a następnie wybierz pozycję Utwórz.

    Uwaga

    Możesz utworzyć nowy obszar roboczy lub użyć istniejącego obszaru roboczego. Jeśli chcesz użyć istniejącego obszaru roboczego, upewnij się, że obszar roboczy został zmigrowany do nowego języka zapytań. Więcej informacji...

    Zrzut ekranu przedstawiający wyszukiwanie usługi Log Analytics w ramach tworzenia zasobu.

  2. Utwórz obszar roboczy, wprowadzając lub wybierając następujące informacje.

    Ustawienia Wartość
    Subskrypcja Wybierz subskrypcję z obwodem usługi ExpressRoute.
    Grupa zasobów Utwórz nową lub wybierz istniejącą grupę zasobów.
    Nazwa Wprowadź nazwę, aby zidentyfikować ten obszar roboczy.
    Region Wybierz region, w którym został utworzony ten obszar roboczy.

    Zrzut ekranu przedstawiający kartę podstawową tworzenia obszaru roboczego usługi Log Analytics.

    Uwaga

    Obwód usługi ExpressRoute może być w dowolnym miejscu na świecie. Nie musi znajdować się w tym samym regionie co obszar roboczy.

  3. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować, a następnie pozycję Utwórz , aby wdrożyć obszar roboczy. Po wdrożeniu obszaru roboczego przejdź do następnej sekcji, aby skonfigurować rozwiązanie do monitorowania.

Konfigurowanie rozwiązania do monitorowania

Ukończ skrypt Azure PowerShell, zastępując wartości $SubscriptionId, $location, $resourceGroup i $workspaceName. Następnie uruchom skrypt, aby skonfigurować rozwiązanie do monitorowania.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Po skonfigurowaniu rozwiązania do monitorowania. Przejdź do następnego kroku instalowania i konfigurowania agentów monitorowania na serwerach.

Instalowanie i konfigurowanie agentów lokalnie

Pobieranie pliku instalacyjnego agenta

  1. Przejdź do obszaru roboczego usługi Log Analytics i wybierz pozycję Zarządzanie agentami w obszarze Ustawienia. Pobierz agenta odpowiadającego systemowi operacyjnemu maszyny.

    Zrzut ekranu przedstawiający stronę zarządzania agentami w obszarze roboczym.

  2. Następnie skopiuj identyfikator obszaru roboczego i klucz podstawowy do Notatnika.

    Zrzut ekranu przedstawiający identyfikator obszaru roboczego i klucz podstawowy.

  3. W przypadku maszyn z systemem Windows pobierz i uruchom ten skrypt programu PowerShell EnableRules.ps1 w oknie programu PowerShell z uprawnieniami administratora. Skrypt programu PowerShell otwiera odpowiedni port zapory dla transakcji TCP.

    W przypadku maszyn z systemem Linux numer portu należy zmienić ręcznie, wykonując następujące kroki:

    • Przejdź do ścieżki: /var/opt/microsoft/omsagent/npm_state.
    • Otwórz plik: npmdregistry
    • Zmienianie wartości numeru portu PortNumber:<port of your choice>

Instalowanie agenta usługi Log Analytics na każdym serwerze monitorowania

Zaleca się zainstalowanie agenta usługi Log Analytics na co najmniej dwóch serwerach po obu stronach połączenia usługi ExpressRoute w celu zapewnienia nadmiarowości. Na przykład lokalna i sieć wirtualna platformy Azure. Aby zainstalować agentów, wykonaj następujące kroki:

  1. Wybierz odpowiedni system operacyjny, aby wykonać kroki instalacji agenta usługi Log Analytics na serwerach.

  2. Po zakończeniu program Microsoft Monitoring Agent pojawi się w Panel sterowania. Konfigurację można przejrzeć i zweryfikować łączność agenta z dziennikami usługi Azure Monitor.

  3. Powtórz kroki 1 i 2 dla innych maszyn lokalnych, których chcesz użyć do monitorowania.

Instalowanie agenta Network Watcher na każdym serwerze monitorowania

Nowa maszyna wirtualna platformy Azure

Jeśli tworzysz nową maszynę wirtualną platformy Azure na potrzeby monitorowania łączności sieci wirtualnej, możesz zainstalować agenta Network Watcher podczas tworzenia maszyny wirtualnej.

Istniejąca maszyna wirtualna platformy Azure

Jeśli używasz istniejącej maszyny wirtualnej do monitorowania łączności, możesz zainstalować agenta sieciowego oddzielnie dla systemów Linux i Windows.

Otwieranie portów zapory na serwerach agenta monitorowania

Reguły zapory mogą blokować komunikację między serwerami źródłowymi i docelowymi. Monitor połączenia wykrywa ten problem i wyświetla go jako komunikat diagnostyczny w topologii. Aby włączyć monitorowanie połączeń, upewnij się, że reguły zapory zezwalają na pakiety za pośrednictwem protokołu TCP lub ICMP między źródłem a miejscem docelowym.

Windows

W przypadku maszyn z systemem Windows można uruchomić skrypt programu PowerShell, aby utworzyć klucze rejestru wymagane przez Monitor połączenia. Ten skrypt tworzy również reguły zapory systemu Windows, aby umożliwić agentom monitorowania tworzenie połączeń TCP ze sobą. Klucze rejestru utworzone przez skrypt określają, czy mają być rejestrowane dzienniki debugowania, oraz ścieżka pliku dzienników. Definiuje również port TCP agenta używany do komunikacji. Wartości tych kluczy są automatycznie ustawiane przez skrypt. Nie należy ręcznie zmieniać tych kluczy.

Port 8084 jest domyślnie otwarty. Port niestandardowy można użyć, podając parametr "portNumber" do skryptu. Jeśli jednak to zrobisz, musisz określić ten sam port dla wszystkich serwerów, na których jest uruchamiany skrypt.

Uwaga

Skrypt programu PowerShell "EnableRules" konfiguruje reguły zapory systemu Windows tylko na serwerze, na którym jest uruchamiany skrypt. Jeśli masz zaporę sieciową, upewnij się, że zezwala na ruch kierowany do portu TCP używanego przez Monitor połączenia.

Na serwerach agentów otwórz okno programu PowerShell z uprawnieniami administracyjnymi. Uruchom skrypt programu PowerShell EnableRules (pobrany wcześniej). Nie używaj żadnych parametrów.

Zrzut ekranu przedstawiający uruchamianie skryptu włączania reguł w oknie programu PowerShell.

Linux

W przypadku maszyn z systemem Linux numery portów używane należy zmienić ręcznie:

  1. Przejdź do ścieżki: /var/opt/microsoft/omsagent/npm_state.
  2. Otwórz plik: npmdregistry
  3. Zmień wartość parametru Numer PortNumber:\<port of your choice\>portu . Używane numery portów powinny być takie same we wszystkich agentach używanych w obszarze roboczym

Konfigurowanie reguł sieciowej grupy zabezpieczeń

Aby monitorować serwery na platformie Azure, należy skonfigurować reguły sieciowej grupy zabezpieczeń, aby zezwalać na ruch TCP lub ICMP z Monitor połączenia. Domyślny port to **8084, który umożliwia agentowi monitorowania zainstalowanemu na maszynie wirtualnej platformy Azure komunikowanie się z lokalnym agentem monitorowania.

Aby uzyskać więcej informacji na temat sieciowej grupy zabezpieczeń, zobacz samouczek dotyczący filtrowania ruchu sieciowego.

Uwaga

Przed kontynuowaniem tego kroku upewnij się, że zainstalowano agentów (zarówno agenta serwera lokalnego, jak i agenta serwera platformy Azure) i uruchom skrypt programu PowerShell.

Włączanie usługi Network Watcher

Wszystkie subskrypcje z siecią wirtualną są włączone z Network Watcher. Upewnij się, że Network Watcher nie jest jawnie wyłączona dla subskrypcji. Aby uzyskać więcej informacji, zobacz Włączanie Network Watcher.

Tworzenie monitora połączeń

Aby zapoznać się z ogólnym omówieniem sposobu tworzenia monitora połączenia, testów i grup testowych między punktami końcowymi źródłowymi i docelowymi w sieci, zobacz Tworzenie monitora połączeń. Wykonaj poniższe kroki, aby skonfigurować monitorowanie połączeń dla prywatnej komunikacji równorzędnej i komunikacji równorzędnej firmy Microsoft.

  1. W Azure Portal przejdź do zasobu Network Watcher i wybierz pozycję Monitor połączeń w obszarze Monitorowanie. Następnie wybierz pozycję Utwórz, aby utworzyć nowy monitor połączeń.

    Zrzut ekranu przedstawiający monitor połączeń w Network Watcher.

  2. Na karcie Podstawy przepływu pracy tworzenia wybierz ten sam region, w którym wdrożono obszar roboczy usługi Log Analytics dla pola Region . W obszarze Konfiguracja obszaru roboczego wybierz utworzony wcześniej obszar roboczy usługi Log Analytics. Następnie wybierz pozycję Dalej: Grupy testowe >>.

    Zrzut ekranu przedstawiający kartę podstawową do tworzenia Monitor połączenia.

  3. Na stronie Dodawanie szczegółów grupy testowej dodasz źródłowe i docelowe punkty końcowe dla grupy testowej. Konfiguracje testów można również skonfigurować między nimi. Wprowadź nazwę dla tej grupy testowej.

    Zrzut ekranu przedstawiający stronę dodawania szczegółów grupy testowej.

  4. Wybierz pozycję Dodaj źródło i przejdź do karty Punkty końcowe spoza platformy Azure . Wybierz zasoby lokalne z zainstalowanym agentem usługi Log Analytics, które chcesz monitorować łączność, a następnie wybierz pozycję Dodaj punkty końcowe.

    Zrzut ekranu przedstawiający dodawanie źródłowych punktów końcowych.

  5. Następnie wybierz pozycję Dodaj miejsca docelowe.

    Aby monitorować łączność za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, przejdź do karty Punkty końcowe platformy Azure. Wybierz zasoby platformy Azure z zainstalowanym agentem Network Watcher, który chcesz monitorować łączność z sieciami wirtualnymi na platformie Azure. Upewnij się, że w kolumnie IP wybierz prywatny adres IP każdego z tych zasobów. Wybierz pozycję Dodaj punkty końcowe , aby dodać te punkty końcowe do listy miejsc docelowych dla grupy testowej.

    Zrzut ekranu przedstawiający dodawanie punktów końcowych docelowych platformy Azure.

    Aby monitorować łączność za pośrednictwem komunikacji równorzędnej firmy Microsoft usługi ExpressRoute, przejdź do karty Adresy zewnętrzne . Wybierz punkty końcowe usług firmy Microsoft, z którymi chcesz monitorować łączność za pośrednictwem komunikacji równorzędnej firmy Microsoft. Wybierz pozycję Dodaj punkty końcowe , aby dodać te punkty końcowe do listy miejsc docelowych dla grupy testowej.

    Zrzut ekranu przedstawiający dodawanie zewnętrznych punktów końcowych docelowych.

  6. Teraz wybierz pozycję Dodaj konfigurację testu. Wybierz protokół TCP dla protokołu i wprowadź port docelowy otwarty na serwerach. Następnie skonfiguruj częstotliwość iprogi testu pod kątem testów, które zakończyły się niepowodzeniem i godziną rundy. Następnie wybierz pozycję Dodaj konfigurację testu.

    Zrzut ekranu przedstawiający stronę dodawania konfiguracji testu.

  7. Po dodaniu źródeł, miejsc docelowych i konfiguracji testowej wybierz pozycję Dodaj grupę testów .

    Zrzut ekranu przedstawiający konfigurowanie szczegółów dodawania grupy testowej.

  8. Wybierz pozycję Dalej: Utwórz alert, jeśli chcesz utworzyć alert >> . Po zakończeniu wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

Wyświetlanie wyników

  1. Przejdź do zasobu Network Watcher i wybierz pozycję Monitor połączeń w obszarze Monitorowanie. Nowy monitor połączeń powinien zostać wyświetlony po upływie 5 minut. Aby wyświetlić wykresy topologii sieci i wydajności monitora połączeń, wybierz test z listy rozwijanej grupy testowej.

    Zrzut ekranu przedstawiający stronę przeglądu monitora połączeń.

  2. W panelu Analiza wydajności można wyświetlić procent testów, które zakończyły się niepowodzeniem, a wyniki poszczególnych testów są wyświetlane dla czasu rundy. Możesz dostosować przedział czasu dla wyświetlanych danych, wybierając listę rozwijaną w górnej części panelu.

    Zrzut ekranu przedstawiający panel analizy wydajności.

  3. Zamknięcie panelu Analiza wydajności ujawnia topologię sieci wykrytą przez monitor połączeń między wybranymi źródłowymi i docelowymi punktami końcowymi. Ten widok przedstawia dwukierunkowe ścieżki ruchu między punktami końcowymi źródłowymi i docelowymi. Możesz również zobaczyć opóźnienie przeskoku pakietów przed dotarciem do sieci brzegowej firmy Microsoft.

    Zrzut ekranu przedstawiający topologię sieci w monitorze połączeń.

    Wybranie dowolnego przeskoku w widoku topologii powoduje wyświetlenie dodatkowych informacji o przeskoku. Wszelkie problemy wykryte przez monitor połączeń dotyczące przeskoku są wyświetlane tutaj.

    Zrzut ekranu przedstawiający więcej informacji dotyczących przeskoku sieciowego.

Następne kroki

Dowiedz się więcej o monitorowaniu usługi Azure ExpressRoute