Мониторинг Azure Виртуальная глобальная сеть — рекомендации
В этой статье приведены рекомендации по настройке для мониторинга Виртуальная глобальная сеть и различных компонентов, которые можно развернуть с ним. Рекомендации, представленные в этой статье, в основном основаны на существующих метриках и журналах Azure Monitor, созданных Виртуальная глобальная сеть Azure. Список метрик и журналов, собранных для Виртуальная глобальная сеть, см. в справочнике по данным мониторинга Виртуальная глобальная сеть.
Большинство рекомендаций в этой статье предлагают создание оповещений Azure Monitor. Оповещения Azure Monitor предназначены для упреждающего уведомления о наличии важных событий в данных мониторинга, которые помогут вам быстрее устранить первопричину и в конечном итоге сократить время простоя. Сведения о создании оповещений метрик см. в руководстве по созданию оповещений метрик для ресурса Azure. Чтобы узнать, как создать оповещение запроса журнала, см . руководство по созданию оповещения запроса журнала для ресурса Azure.
шлюзы Виртуальная глобальная сеть
VPN-шлюз типа "сеть — сеть";
Конструктор проверка list — оповещения метрик
- Создайте правило генерации оповещений для увеличения количества исходящих пакетов туннеля и /или входящего трафика.
- Создайте правило генерации оповещений для отслеживания состояния однорангового узла BGP.
- Создайте правило генерации оповещений для отслеживания числа маршрутов BGP, объявленных и изученных.
- Создайте правило генерации оповещений для VPN-шлюза чрезмерного использования.
- Создайте правило генерации оповещений для переполнения туннеля.
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений для увеличения числа исходящих пакетов туннеля и /или входящего трафика. | Увеличение исходящего трафика туннеля и (или) число удаления пакетов входящего трафика может указывать на проблему с VPN-шлюзом Azure или с удаленным VPN-устройством. При создании правил генерации оповещений выберите метрику удаления пакетов Ingress/Ingress. Определите статическое пороговое значение больше 0 и тип агрегата Total при настройке логики оповещения. Вы можете отслеживать Подключение в целом или разделять правило генерации оповещений по экземпляру и удаленному IP-адресу, чтобы получать оповещения о проблемах, связанных с отдельными туннелями. Чтобы узнать разницу между понятием VPN-подключения, канала и туннеля в Виртуальная глобальная сеть, ознакомьтесь с Виртуальная глобальная сеть часто задаваемыми вопросами. |
| Создайте правило генерации оповещений для отслеживания состояния однорангового узла BGP. | При использовании BGP в подключениях типа "сеть — сеть" важно отслеживать работоспособность пиринга BGP между экземплярами шлюза и удаленными устройствами, так как периодические сбои могут нарушить подключение. При создании правила генерации оповещений выберите метрику состояния однорангового узла BGP. Используя статическое пороговое значение, выберите тип статистической обработки "Среднее" и настройте оповещение, которое будет активировано всякий раз, когда значение меньше 1. Рекомендуется разделить оповещение по экземпляру и одноранговой учетной записью BGP для обнаружения проблем с отдельными пирингами. Избегайте выбора IP-адресов экземпляра шлюза в качестве однорангового адреса BGP, так как эта метрика отслеживает состояние BGP для каждого возможного сочетания, включая сам экземпляр (который всегда равен 0). |
| Создайте правило генерации оповещений для отслеживания числа маршрутов BGP, объявленных и изученных. | Маршруты BGP, объявленные и маршруты BGP Learned , отслеживают количество маршрутов, объявленных и полученных от одноранговых узлов VPN-шлюза соответственно. Если эти метрики неожиданно упали до нуля, это может быть связано с тем, что возникла проблема с шлюзом или локальной средой. Рекомендуется настроить оповещение для обоих этих метрик, которые будут запускаться всякий раз, когда их значение равно нулю. Выберите тип агрегирования total. Разделение по экземпляру для отслеживания отдельных экземпляров шлюза. |
| Создайте правило генерации оповещений для VPN-шлюза чрезмерного использования. | Агрегированная пропускная способность VPN-шлюза определяется числом единиц масштабирования на экземпляр. Обратите внимание, что все туннели, завершающиеся в одном экземпляре шлюза, будут совместно использовать агрегированную пропускную способность. Скорее всего, стабильность туннеля будет затронута, если экземпляр работает в своей емкости в течение длительного периода времени. При создании правила генерации оповещений выберите пропускную способность шлюза S2S. Настройте оповещение для активации всякий раз, когда средняя пропускная способность больше значения, близкого к максимальной статистической пропускной способности обоих экземпляров. Кроме того, разделите оповещение по экземпляру и используйте максимальную пропускную способность для каждого экземпляра в качестве ссылки. Рекомендуется заранее определить потребности пропускной способности для каждого туннеля, чтобы выбрать соответствующее количество единиц масштабирования. Дополнительные сведения о поддерживаемых значениях единиц масштабирования для VPN-шлюзов типа "сеть — сеть" см. в статье Виртуальная глобальная сеть вопросы и ответы. |
| Создайте правило генерации оповещений для переполнения туннеля. | Максимальная пропускная способность для каждого туннеля определяется единицами масштабирования экземпляра шлюза, в котором он завершает работу. Если туннель находится под угрозой приближения максимальной пропускной способности, что может привести к проблемам с производительностью и подключением, а также действовать упреждающим образом, исследуя первопричину повышенного использования туннеля или увеличивая единицы масштабирования шлюза. При создании правила генерации оповещений выберите пропускную способность туннеля. Разделение по экземпляру и удаленному IP-адресу для отслеживания всех отдельных туннелей или выбора конкретных туннелей. Настройте оповещение для активации всякий раз, когда средняя пропускная способность больше значения, близкого к максимальной пропускной способности для каждого туннеля. Дополнительные сведения о том, как максимальная пропускная способность туннеля влияет на единицы масштабирования шлюза, см. в статье Виртуальная глобальная сеть вопросы и ответы. |
Конструктор проверка list — оповещения запросов журнала
Чтобы настроить оповещения на основе журнала, необходимо сначала создать параметр диагностики для VPN-шлюза типа "сеть — сеть" или "точка — сеть". Параметр диагностики определяет, какие журналы и (или) метрики необходимо собирать, а также как хранить эти данные для последующего анализа. В отличие от метрик шлюза, журналы шлюза не будут доступны, если не настроен параметр диагностики. Сведения о создании параметра диагностики см. в статье "Создание параметра диагностики" для просмотра журналов.
- Создайте правило генерации оповещений об отключении туннеля.
- Создайте правило генерации оповещений об отключении BGP.
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений об отключении туннеля. | Используйте журналы диагностики туннеля для отслеживания событий отключения в подключениях типа "сеть — сеть". Событие отключения может быть вызвано сбоем согласования SAs, безответственности удаленного VPN-устройства, среди других причин. Журналы диагностики туннеля также предоставляют причину отключения. См. правило генерации оповещений о отключении туннеля — запрос журнала под этой таблицей, чтобы выбрать события отключения при создании правила генерации оповещений. Настройте оповещение для активации всякий раз, когда число строк, полученных при выполнении приведенного выше запроса, больше 0. Чтобы это оповещение было эффективным, выберите степень детализации агрегирования в диапазоне от 1 до 5 минут, а частота оценки — от 1 до 5 минут. Таким образом, после прохождения интервала детализации агрегирования число строк снова равно 0 для нового интервала. Советы по устранению неполадок при анализе журналов диагностики туннеля см. в статье "Устранение неполадок VPN-шлюза Azure с помощью журналов диагностики". Кроме того, используйте журналы диагностики IKE, чтобы дополнить устранение неполадок, так как эти журналы содержат подробные диагностика IKE. |
| Создайте правило генерации оповещений об отключении BGP. | Используйте журналы диагностики маршрутов для отслеживания обновлений маршрутов и проблем с сеансами BGP. Повторяющиеся события отключения BGP могут повлиять на подключение и вызвать простой. Чтобы выбрать события отключения при создании правила генерации оповещений об отключении, ознакомьтесь с запросом генерации оповещений BGP под этой таблицей. Настройте оповещение для активации всякий раз, когда число строк, полученных при выполнении приведенного выше запроса, больше 0. Чтобы это оповещение было эффективным, выберите степень детализации агрегирования в диапазоне от 1 до 5 минут, а частота оценки — от 1 до 5 минут. Таким образом, после прохождения интервала детализации агрегирования число строк снова равно 0 для нового интервала, если сеансы BGP восстановлены. Дополнительные сведения о данных, собранных журналами диагностики маршрутов, см. в статье "Устранение неполадок Azure VPN-шлюз с помощью журналов диагностики". |
Запросы к журналам
Создание правила генерации оповещений об отключении туннеля — запрос журнала: следующий запрос журнала можно использовать для выбора событий отключения туннеля при создании правила генерации оповещений:
AzureDiagnostics | where Category == "TunnelDiagnosticLog" | where OperationName == "TunnelDisconnected"Создайте оповещение об отключении BGP— запрос журнала: следующий запрос журнала можно использовать для выбора событий отключения BGP при создании правила генерации оповещений:
AzureDiagnostics | where Category == "RouteDiagnosticLog" | where OperationName == "BgpDisconnectedEvent"
VPN-шлюз типа "точка — сеть"
В следующем разделе описана только конфигурация оповещений на основе метрик. Однако Виртуальная глобальная сеть шлюзы типа "точка — сеть" также поддерживают журналы диагностики. Дополнительные сведения о доступных журналах диагностики для шлюзов типа "точка — сеть" см. в Виртуальная глобальная сеть Виртуальная глобальная сеть VPN-шлюзе типа "точка — сеть" диагностика.
Конструктор проверка list — оповещения метрик
- Создайте правило генерации оповещений для переполнения шлюза.
- Создайте оповещение для количества подключений P2S, приближающегося к ограничению.
- Создайте оповещение о количестве маршрутов VPN пользователя, приближающегося к ограничению.
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений для переполнения шлюза. | Пропускная способность шлюза типа "точка — сеть" определяется числом настроенных единиц масштабирования. Дополнительные сведения о единицах масштабирования шлюза "точка — сеть" см. в разделе "Точка — сеть" (VPN пользователя). Используйте метрику пропускной способности шлюза P2S для отслеживания использования шлюза и настройки правила генерации оповещений, которое активируется всякий раз, когда пропускная способность шлюза больше , чем значение, близкое к статистической пропускной способности, например, если шлюз был настроен с 2 единицами масштабирования, он будет иметь агрегированную пропускную способность 1 Гбит/с. В этом случае можно определить пороговое значение 950 Мбит/с. Используйте это оповещение для упреждающего изучения первопричин увеличения использования и в конечном счете увеличения числа единиц масштабирования при необходимости. При настройке правила генерации оповещений выберите тип средней агрегации. |
| Создание оповещений для количества подключений P2S приближается к ограничению | Максимальное количество разрешенных подключений типа "точка — сеть" также определяется числом единиц масштабирования, настроенных в шлюзе. Дополнительные сведения о единицах масштабирования шлюза типа "точка — сеть" см. в разделе "Вопросы и ответы" для "точка — сеть" (VPN пользователя). Используйте метрику счетчика Подключение ion P2S для отслеживания количества подключений. Выберите эту метрику, чтобы настроить правило генерации оповещений, которое активируется всякий раз, когда число подключений приближается к максимально допустимому значению. Например, шлюз единиц масштабирования поддерживает до 500 одновременных подключений. В этом случае вы можете настроить оповещение для активации всякий раз, когда число подключений больше 450. Используйте это оповещение, чтобы определить, требуется ли увеличение количества единиц масштабирования. При настройке правила генерации оповещений выберите тип агрегирования total. |
| Создайте правило генерации оповещений для маршрутов VPN пользователя, которое приближается к ограничению. | Максимальное количество маршрутов VPN пользователя определяется используемым протоколом. IKEv2 имеет ограничение на уровне протокола 255 маршрутов, в то время как OpenVPN имеет ограничение в 1000 маршрутов. Дополнительные сведения об этом см . в основных понятиях конфигурации VPN-сервера. Возможно, вы хотите быть оповещены, если вы близко к максимальному количеству маршрутов VPN пользователя и действовать заранее, чтобы избежать простоя. Используйте число VPN-маршрутов пользователя, чтобы отслеживать это и настраивать правило генерации оповещений, которое активируется всякий раз, когда число маршрутов превышает значение, близкое к ограничению. Например, если ограничение равно 255 маршрутам, соответствующее пороговое значение может иметь значение 230. При настройке правила генерации оповещений выберите тип агрегирования total. |
Шлюз ExpressRoute
В следующем разделе рассматриваются оповещения на основе метрик. Помимо оповещений, описанных ниже, которые сосредоточены на компоненте шлюза, рекомендуется использовать доступные метрики, журналы и средства для мониторинга канала ExpressRoute. Дополнительные сведения о мониторинге ExpressRoute см. в статье "Мониторинг ExpressRoute", "метрики" и "Оповещения". Дополнительные сведения об использовании средства сборщика трафика ExpressRoute см. в статье "Настройка сборщика трафика ExpressRoute для ExpressRoute Direct".
Конструктор проверка list — оповещения метрик
- Создайте правило генерации оповещений для битов, полученных в секунду.
- Создайте правило генерации оповещений для переполнения ЦП.
- Создайте правило генерации оповещений для пакетов в секунду.
- Создайте правило генерации оповещений для числа маршрутов, объявленных одноранговым.
- Число правил генерации оповещений для количества маршрутов, полученных от однорангового узла.
- Создайте правило генерации оповещений для высокой частоты изменений маршрута.
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений для битов, полученных в секунду. | Биты, полученные в секунду , отслеживают общий объем трафика, полученного шлюзом из MSE. Если объем трафика, полученного шлюзом, может возникнуть риск достижения максимальной пропускной способности, так как это может привести к проблемам с производительностью и подключением. Это позволяет заранее действовать, изучая первопричину увеличения использования шлюза или увеличив максимально допустимой пропускной способности шлюза. При настройке правила генерации оповещений выберите тип средней агрегации и пороговое значение, близкое к максимальной пропускной способности, подготовленной для шлюза. Кроме того, рекомендуется задать оповещение, если число полученных битов в секунду почти равно нулю, так как это может указывать на проблему с шлюзом или MSE. Максимальная пропускная способность шлюза ExpressRoute определяется количеством подготовленных единиц масштабирования. Дополнительные сведения о производительности шлюза ExpressRoute см. в статье "Сведения о подключениях ExpressRoute" в Azure Виртуальная глобальная сеть. |
| Создайте правило генерации оповещений для переполнения ЦП. | При использовании шлюзов ExpressRoute важно отслеживать использование ЦП. Длительное использование может повлиять на производительность и подключение. Используйте метрику использования ЦП, чтобы отслеживать это и создавать оповещение, если загрузка ЦП превышает 80 %, чтобы вы могли изучить первопричину и в конечном итоге увеличить количество единиц масштабирования при необходимости. При настройке правила генерации оповещений выберите тип средней агрегации. Дополнительные сведения о производительности шлюза ExpressRoute см. в статье "Сведения о подключениях ExpressRoute" в Azure Виртуальная глобальная сеть. |
| Создайте правило генерации оповещений для пакетов, полученных в секунду. | Пакеты в секунду отслеживают количество входящих пакетов, передаваемых через шлюз Виртуальная глобальная сеть ExpressRoute. Если количество пакетов в секунду приближается к предельному количеству единиц масштабирования, настроенных на шлюзе, может потребоваться оповещение. При настройке правила генерации оповещений выберите тип средней агрегации. Выберите пороговое значение, близкое к максимальному количеству пакетов в секунду, допустимому на основе числа единиц масштабирования шлюза. Дополнительные сведения о производительности ExpressRoute см. в статье "Сведения о подключениях ExpressRoute" в Azure Виртуальная глобальная сеть. Кроме того, рекомендуется задать оповещение, если количество пакетов в секунду почти равно нулю, так как это может указывать на проблему с шлюзом или MSE. |
| Создайте правило генерации оповещений для числа маршрутов, объявленных одноранговым. | Количество маршрутов, объявленных одноранговым узлам , отслеживает количество маршрутов, объявленных из шлюза ExpressRoute, на маршрутизатор виртуального концентратора и на устройства Microsoft Enterprise Edge. Рекомендуется добавить фильтр, чтобы выбрать только два одноранговых узла BGP, отображаемых как устройство ExpressRoute, и создать оповещение, чтобы определить, когда количество объявленных маршрутов приближается к документированному ограничению в 1000. Например, настройте оповещение для активации, если число объявленных маршрутов превышает 950. Мы также рекомендуем настроить оповещение, если количество маршрутов, объявленных на устройствах Microsoft Edge, равно нулю , чтобы заранее обнаружить проблемы с подключением. Чтобы добавить эти оповещения, выберите метрику "Количество маршрутов" для одноранговых узлов , а затем выберите параметр "Добавить фильтр " и устройства ExpressRoute . |
| Создайте правило генерации оповещений для количества маршрутов, извлеченных из однорангового узла. | Количество маршрутов, полученных от одноранговых узлов, отслеживает количество маршрутов, которые шлюз ExpressRoute учится на маршрутизаторе виртуального концентратора и на устройстве Microsoft Enterprise Edge. Рекомендуется добавить фильтр, чтобы выбрать только два одноранговых узла BGP, отображаемых как устройство ExpressRoute, и создать оповещение, чтобы определить, когда количество изученных маршрутов приближается к документируемой сумме 4000 для номеров SKU уровня "Стандартный" и 10 000 для каналов SKU уровня "Премиум". Мы также рекомендуем настроить оповещение, если количество маршрутов, объявленных на устройствах Microsoft Edge, равно нулю. Это может помочь определить, когда локальные сети остановили рекламные маршруты. |
| Создайте правило генерации оповещений для высокой частоты изменений маршрута. | Частота изменений маршрутов показывает частоту обучения и объявления маршрутов от и до одноранговых узлов, включая другие типы ветвей, таких как VPN типа "сеть — сеть" и "точка — сеть". Эта метрика обеспечивает видимость при подключении или отключении новых ветвей или нескольких каналов. Эта метрика является полезным инструментом при выявлении проблем с объявлениями BGP, такими как пламени. Рекомендуется настроить оповещение , если среда является статической , а изменения BGP не ожидаются. Выберите пороговое значение, превышающее 1, и степень детализации агрегирования в 15 минут для последовательного мониторинга поведения BGP. Если среда является динамической и часто ожидаются изменения BGP, вы можете не задать оповещение в противном случае, чтобы избежать ложных срабатываний. Однако вы все равно можете рассмотреть эту метрику для наблюдения за вашей сетью. |
Виртуальный концентратор
В следующем разделе рассматриваются оповещения на основе метрик для виртуальных центров.
Конструктор проверка list — оповещения метрик
- Создание правила генерации оповещений для состояния однорангового узла BGP
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений для отслеживания состояния однорангового узла BGP. | При создании правила генерации оповещений выберите метрику состояния однорангового узла BGP. Используя статическое пороговое значение, выберите тип статистической обработки "Среднее" и настройте оповещение, которое будет активировано всякий раз, когда значение меньше 1. Это позволит определить, когда маршрутизатор виртуального концентратора имеет проблемы с подключением к ExpressRoute, VPN типа "сеть — сеть" и "точка — сеть", развернутых в концентраторе. |
Брандмауэр Azure
В этом разделе статьи рассматриваются оповещения на основе метрик. Брандмауэр Azure предлагает полный список метрик и журналов для мониторинга. Помимо настройки оповещений, описанных в следующем разделе, изучите, как Брандмауэр Azure книга может помочь отслеживать Брандмауэр Azure или преимущества подключения журналов Брандмауэр Azure к Microsoft Sentinel с помощью соединителя Брандмауэр Azure для Microsoft Sentinel.
Конструктор проверка list — оповещения метрик
- Создайте правило генерации оповещений для риска исчерпания портов SNAT.
- Создайте правило генерации оповещений для переполнения брандмауэра.
| Рекомендация | Description |
|---|---|
| Создайте правило генерации оповещений для риска исчерпания портов SNAT. | Брандмауэр Azure предоставляет 2496 портов SNAT на общедоступный IP-адрес, настроенный для экземпляра масштабирования серверной виртуальной машины. Важно заранее оценить количество портов SNAT, которые будут соответствовать вашим организационным требованиям для исходящего трафика в Интернет. Это повышает риск исчерпания количества доступных портов SNAT в Брандмауэр Azure, что может привести к сбоям исходящего подключения. Используйте метрику использования портов SNAT, чтобы отслеживать процент исходящих портов SNAT, используемых в настоящее время. Создайте правило генерации оповещений для этой метрики, если этот процент превышает 95 % (например, из-за непредвиденного увеличения трафика), чтобы можно было действовать соответствующим образом, настроив дополнительный общедоступный IP-адрес на Брандмауэр Azure или используя шлюз Azure NAT. При настройке правила генерации оповещений используйте тип максимальной агрегации. Дополнительные сведения о интерпретации метрики использования портов SNAT см. в статье "Обзор журналов и метрик Брандмауэр Azure". Дополнительные сведения о масштабировании портов SNAT в Брандмауэр Azure см. в статье "Масштабирование портов SNAT" с помощью шлюза Azure NAT. |
| Создайте правило генерации оповещений для переполнения брандмауэра. | Брандмауэр Azure максимальная пропускная способность отличается в зависимости от номера SKU и функций, включенных. Дополнительные сведения о производительности Брандмауэр Azure см. в Брандмауэр Azure производительности. Если брандмауэр приближается к максимальной пропускной способности, может потребоваться оповещение, так как это может повлиять на производительность брандмауэра. Создайте правило генерации оповещений, которое будет запускаться всякий раз, когда метрика пропускной способности превышает значение, близкое к максимальной пропускной способности брандмауэра, если максимальная пропускная способность составляет 30 Гбит/с, настройте 25 Гбит/с в качестве порогового значения, например. Единица метрики пропускной способности — бит/с. При создании правила генерации оповещений выберите тип средней агрегации. |
Оповещения Работоспособность ресурсов
Вы также можете настроить оповещения Работоспособность ресурсов с помощью работоспособности служб для следующих ресурсов. Это гарантирует доступность среды Виртуальная глобальная сеть, и это позволяет устранять неполадки, связанные с сетевыми проблемами из-за того, что ресурсы Azure вступают в неработоспособное состояние, а не проблемы из локальной среды. Рекомендуется настроить оповещения, когда состояние ресурса ухудшается или недоступно. Если состояние ресурса ухудшается или недоступно, можно проанализировать, есть ли последние пики трафика, обрабатываемого этими ресурсами, маршруты, объявленные этим ресурсам, или количество созданных подключений ветви или виртуальной сети. Дополнительные сведения об ограничениях, поддерживаемых в Виртуальная глобальная сеть, см. в Виртуальная глобальная сеть Azure.
- Microsoft.Network/vpnGateways
- Microsoft.Network/expressRouteGateways
- Microsoft.Network/azureFirewalls
- Microsoft.Network/virtualHubs
- Microsoft.Network/p2sVpnGateways
Следующие шаги
- См. справочник по данным мониторинга Виртуальная глобальная сеть для ссылки на метрики, журналы и другие важные значения, созданные Виртуальная глобальная сеть.
- Подробные сведения о мониторинге ресурсов Azure см. в статье Мониторинг ресурсов Azure с помощью Azure Monitor.
- Дополнительные сведения об метриках Azure Monitor см. в обозревателе метрик Azure Monitor.
- Список всех поддерживаемых метрик ресурсов см. в Azure Monitor .
- Дополнительные сведения и устранение неполадок при создании параметров диагностики см. в статье "Создание параметров диагностики" в Azure Monitor с помощью портал Azure, CLI, PowerShell и т. д.