Configurar Monitor de Ligação para o ExpressRoute

  • Artigo

Este artigo ajuda-o a configurar uma extensão Monitor de Ligação para monitorizar o ExpressRoute. O Monitor de Ligação é uma solução de monitorização de rede com base na cloud que monitoriza a conectividade entre implementações na cloud do Azure e as localizações no local (sucursais, etc.). Monitor de Ligação faz parte dos registos do Azure Monitor. A extensão também lhe permite monitorizar a conectividade de rede para as suas ligações de peering privadas e da Microsoft. Ao configurar Monitor de Ligação para o ExpressRoute, pode detetar problemas de rede para identificar e eliminar.

Nota

Este artigo foi atualizado recentemente para utilizar o termo registos do Azure Monitor em vez do Log Analytics. Os dados de registo ainda estão armazenados numa área de trabalho do Log Analytics e ainda são recolhidos e analisados pelo mesmo serviço do Log Analytics. Estamos a atualizar a terminologia para refletir melhor a função dos registos no Azure Monitor. Veja Alterações de terminologia do Azure Monitor para obter detalhes.

Com Monitor de Ligação do ExpressRoute, pode:

  • Monitorize a perda e latência em várias VNets e defina alertas.

  • Monitorize todos os caminhos (incluindo caminhos redundantes) na rede.

  • Resolva problemas transitórios e de rede para um ponto anterior no tempo que são difíceis de replicar.

  • Ajude a determinar um segmento específico na rede responsável pelo desempenho degradado.

Fluxo de trabalho

Os agentes de monitorização são instalados em vários servidores, tanto no local como no Azure. Os agentes comunicam entre si enviando pacotes de handshake TCP. A comunicação entre os agentes permite ao Azure mapear a topologia de rede e o caminho que o tráfego pode seguir.

  1. Criar uma área de trabalho do Log Analytics.

  2. Instalar e configurar agentes de software. (Se apenas quiser monitorizar através do Peering da Microsoft, não precisa de instalar e configurar agentes de software.):

    • Instale agentes de monitorização nos servidores no local e nas VMs do Azure (para peering privado).
    • Configure as definições nos servidores do agente de monitorização para permitir que os agentes de monitorização comuniquem. (Abra portas de firewall, etc.)

  3. Configure regras do grupo de segurança de rede (NSG) para permitir que o agente de monitorização instalado nas VMs do Azure comunique com os agentes de monitorização no local.

  4. Ative Observador de Rede na sua subscrição.

  5. Configurar a monitorização: crie monitores de ligação com grupos de teste para monitorizar pontos finais de origem e destino na sua rede.

Se já estiver a utilizar o Monitor de Desempenho de Rede (preterido) ou Monitor de Ligação para monitorizar outros objetos ou serviços e já tiver uma área de trabalho do Log Analytics numa das regiões suportadas. Pode ignorar o passo 1 e o passo 2 e iniciar a configuração no passo 3.

Criar uma área de trabalho

Crie uma área de trabalho na subscrição que tenha a ligação VNets para os circuitos do ExpressRoute.

  1. Inicie sessão no portal do Azure. Na subscrição que tem as redes virtuais ligadas ao circuito do ExpressRoute, selecione + Criar um recurso. Procure Área de Trabalho do Log Analytics e, em seguida, selecione Criar.

    Nota

    Pode criar uma nova área de trabalho ou utilizar uma área de trabalho existente. Se quiser utilizar uma área de trabalho existente, tem de se certificar de que a área de trabalho foi migrada para a nova linguagem de consulta. Mais informações...

    Captura de ecrã a mostrar a pesquisa do Log Analytics na criação de um recurso.

  2. Crie uma área de trabalho ao introduzir ou selecionar as seguintes informações.

    Definições Valor
    Subscrição Selecione a subscrição com o circuito do ExpressRoute.
    Grupo de Recursos Crie um novo ou selecione um grupo de recursos existente.
    Name Introduza um nome para identificar esta área de trabalho.
    Região Selecione uma região onde esta área de trabalho é criada.

    Captura de ecrã do separador básico para criar a área de trabalho do Log Analytics.

    Nota

    O circuito do ExpressRoute pode estar em qualquer parte do mundo. Não tem de estar na mesma região que a área de trabalho.

  3. Selecione Rever + Criar para validar e, em seguida , Criar para implementar a área de trabalho. Assim que a área de trabalho tiver sido implementada, avance para a secção seguinte para configurar a solução de monitorização.

Configurar a solução de monitorização

Conclua o script de Azure PowerShell ao substituir os valores de $SubscriptionId, $location, $resourceGroup e $workspaceName. Em seguida, execute o script para configurar a solução de monitorização.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Depois de configurar a solução de monitorização. Avance para o passo seguinte de instalar e configurar os agentes de monitorização nos seus servidores.

Instalar e configurar agentes no local

Transferir o ficheiro de configuração do agente

  1. Navegue para a área de trabalho do Log Analytics e selecione Gestão de agentes em Definições. Transfira o agente que corresponde ao sistema operativo do computador.

    Captura de ecrã da página de gestão de agentes na área de trabalho.

  2. Em seguida, copie o ID da Área de Trabalho e a Chave Primária para o Bloco de Notas.

    Captura de ecrã do ID da área de trabalho e da chave primária.

  3. Para computadores Windows, transfira e execute este script do PowerShell EnableRules.ps1 numa janela do PowerShell com privilégios de Administrador. O script do PowerShell abre a porta de firewall relevante para as transações TCP.

    Para computadores Linux, o número da porta tem de ser alterado manualmente com os seguintes passos:

    • Navegue para o caminho: /var/opt/microsoft/omsagent/npm_state.
    • Abrir ficheiro: npmdregistry
    • Alterar o valor de Número de Porta PortNumber:<port of your choice>

Instalar o agente do Log Analytics em cada servidor de monitorização

Recomenda-se que instale o agente do Log Analytics em, pelo menos, dois servidores em ambos os lados da ligação do ExpressRoute para redundância. Por exemplo, a sua rede virtual no local e no Azure. Utilize os seguintes passos para instalar agentes:

  1. Selecione o sistema operativo adequado para os passos para instalar o agente do Log Analytics nos seus servidores.

  2. Quando estiver concluído, o Agente de Monitorização da Microsoft é apresentado no Painel de Controlo. Pode rever a configuração e verificar a conectividade do agente aos registos do Azure Monitor.

  3. Repita os passos 1 e 2 para os outros computadores no local que pretende utilizar para monitorização.

Instalar Observador de Rede agente em cada servidor de monitorização

Nova máquina virtual do Azure

Se estiver a criar uma nova VM do Azure para monitorizar a conectividade da VNet, pode instalar o agente Observador de Rede ao criar a VM.

Máquina virtual do Azure existente

Se estiver a utilizar uma VM existente para monitorizar a conectividade, pode instalar o Agente de Rede separadamente para Linux e Windows.

Abrir as portas da firewall nos servidores do agente de monitorização

As regras de uma firewall podem bloquear a comunicação entre os servidores de origem e de destino. Monitor de Ligação deteta este problema e apresenta-o como uma mensagem de diagnóstico na topologia. Para ativar a monitorização da ligação, certifique-se de que as regras de firewall permitem pacotes através de TCP ou ICMP entre a origem e o destino.

Windows

Para computadores Windows, pode executar um script do PowerShell para criar as chaves de registo necessárias para o Monitor de Ligação. Este script também cria as regras da Firewall do Windows para permitir que os agentes de monitorização criem ligações TCP entre si. As chaves de registo criadas pelo script especificam se pretende registar os registos de depuração e o caminho para o ficheiro de registos. Também define a porta TCP do agente utilizada para comunicação. Os valores destas chaves são definidos automaticamente pelo script. Não deve alterar manualmente estas chaves.

A porta 8084 está aberta por predefinição. Pode utilizar uma porta personalizada ao fornecer o parâmetro "portNumber" ao script. No entanto, se o fizer, tem de especificar a mesma porta para todos os servidores nos quais executa o script.

Nota

O script do PowerShell "EnableRules" configura as regras da Firewall do Windows apenas no servidor onde o script é executado. Se tiver uma firewall de rede, deve certificar-se de que permite o tráfego destinado à porta TCP que está a ser utilizada pelo Monitor de Ligação.

Nos servidores de agente, abra uma janela do PowerShell com privilégios administrativos. Execute o script enableRules do PowerShell (que transferiu anteriormente). Não utilize parâmetros.

Captura de ecrã a mostrar a execução do script ativar regras na janela do PowerShell.

Linux

Para computadores Linux, os números de porta utilizados têm de ser alterados manualmente:

  1. Navegue para o caminho: /var/opt/microsoft/omsagent/npm_state.
  2. Abrir ficheiro: npmdregistry
  3. Altere o valor de Número PortNumber:\<port of your choice\>de Porta . Os números de porta que estão a ser utilizados devem ser iguais em todos os agentes utilizados numa área de trabalho

Configurar regras de grupo de segurança de rede

Para monitorizar os servidores que estão no Azure, tem de configurar regras do grupo de segurança de rede (NSG) para permitir o tráfego TCP ou ICMP a partir de Monitor de Ligação. A porta predefinida é **8084, o que permite que o agente de monitorização instalado na VM do Azure comunique com um agente de monitorização no local.

Para obter mais informações sobre o NSG, veja o tutorial sobre a filtragem do tráfego de rede.

Nota

Certifique-se de que instalou os agentes (o agente de servidor no local e o agente do servidor do Azure) e que executou o script do PowerShell antes de prosseguir com este passo.

Ativar o Observador de Rede

Todas as subscrições que têm uma rede virtual são ativadas com Observador de Rede. Certifique-se de que Observador de Rede não está explicitamente desativada para a sua subscrição. Para obter mais informações, veja Ativar Observador de Rede.

Criar um monitor de ligação

Para obter uma descrição geral de alto nível sobre como criar um monitor de ligação, testes e grupos de teste em pontos finais de origem e destino na sua rede, veja Criar um monitor de ligação. Utilize os seguintes passos para configurar a monitorização da ligação para Peering Privado e Peering da Microsoft.

  1. Na portal do Azure, navegue para o recurso Observador de Rede e selecione Monitor de ligação em Monitorização. Em seguida, selecione Criar para criar um novo monitor de ligação.

    Captura de ecrã do monitor de ligação no Observador de Rede.

  2. No separador Noções básicas do fluxo de trabalho de criação, selecione a mesma região onde implementou a área de trabalho do Log Analytics para o campo Região . Para Configuração da área de trabalho, selecione a área de trabalho do Log Analytics existente que criou anteriormente. Em seguida, selecione Seguinte: Grupos de teste >>.

    Captura de ecrã do separador básico para criar Monitor de Ligação.

  3. Na página Adicionar detalhes do grupo de teste , adicione os pontos finais de origem e de destino para o grupo de teste. Também configurou as configurações de teste entre as mesmas. Introduza um Nome para este grupo de teste.

    Captura de ecrã da página adicionar detalhes do grupo de teste.

  4. Selecione Adicionar origem e navegue para o separador Pontos finais não Azure . Escolha os recursos no local que têm o agente do Log Analytics instalado que pretende monitorizar a conectividade e, em seguida, selecione Adicionar pontos finais.

    Captura de ecrã a mostrar a adição de pontos finais de origem.

  5. Em seguida, selecione Adicionar destinos.

    Para monitorizar a conectividade através do peering privado do ExpressRoute, navegue para o separador Pontos finais do Azure. Escolha os recursos do Azure com o agente Observador de Rede instalado que pretende monitorizar a conectividade às suas redes virtuais no Azure. Certifique-se de que seleciona o endereço IP privado de cada um destes recursos na coluna IP . Selecione Adicionar pontos finais para adicionar estes pontos finais à sua lista de destinos para o grupo de teste.

    Captura de ecrã a mostrar a adição de pontos finais de destino do Azure.

    Para monitorizar a conectividade através do peering da Microsoft do ExpressRoute, navegue para o separador Endereços Externos . Selecione os pontos finais dos serviços Microsoft aos quais pretende monitorizar a conectividade através do Peering da Microsoft. Selecione Adicionar pontos finais para adicionar estes pontos finais à sua lista de destinos para o grupo de teste.

    Captura de ecrã a mostrar a adição de pontos finais de destino externos.

  6. Agora, selecione Adicionar configuração de teste. Selecione TCP para o protocolo e introduza a porta de destino que abriu nos servidores. Em seguida, configure a frequência e os limiares de teste para verificações falhadas e tempo de ida e volta. Em seguida, selecione Adicionar Configuração de teste.

    Captura de ecrã a mostrar a página adicionar configuração de teste.

  7. Selecione Adicionar Grupo de Teste depois de adicionar as suas origens, destinos e configuração de teste.

    Captura de ecrã a mostrar a opção Adicionar detalhe do grupo de teste configurado.

  8. Selecione Seguinte: Criar alerta >> se quiser criar alertas. Depois de concluído, selecione Rever + criar e, em seguida , Criar.

Ver resultados

  1. Aceda ao recurso Observador de Rede e selecione Monitor de ligação em Monitorização. Deverá ver o novo monitor de ligação após 5 minutos. Para ver a topologia de rede e os gráficos de desempenho do monitor de ligação, selecione o teste na lista pendente do grupo de teste.

    Captura de ecrã da página de descrição geral do monitor de ligação.

  2. No painel Análise de desempenho , pode ver a percentagem de verificação falhada e os resultados de cada teste para o tempo de ida e volta. Pode ajustar o período de tempo dos dados apresentados ao selecionar o menu pendente na parte superior do painel.

    Captura de ecrã do painel de análise de desempenho.

  3. Fechar o painel Análise de desempenho revela a topologia de rede detetada pelo monitor de ligação entre os pontos finais de origem e de destino que selecionou. Esta vista mostra-lhe os caminhos bidirecionais do tráfego entre os pontos finais de origem e de destino. Também pode ver a latência hop-by-hop dos pacotes antes de chegarem à rede edge da Microsoft.

    Captura de ecrã da topologia de rede no monitor de ligação.

    Selecionar qualquer salto na vista de topologia apresenta informações adicionais sobre o salto. Quaisquer problemas detetados pelo monitor de ligação sobre o salto são apresentados aqui.

    Captura de ecrã a mostrar mais informações para um salto de rede.

Passos seguintes

Saiba mais sobre a Monitorização do Azure ExpressRoute