Настройка монитора подключений для ExpressRoute
Эта статья поможет вам настроить расширение "Монитор подключений" для мониторинга ExpressRoute. "Монитор подключений" представляет собой сетевое решение для мониторинга на основе облака, с помощью которого можно отслеживать подключение между облачными развертываниями Azure и локальными расположениями (филиалами и т. д.). Монитор подключений входит в журналы Azure Monitor. Расширение также позволяет выполнять мониторинг сетевых подключений для частных и пиринговых подключений Майкрософт. При настройке монитора подключений для ExpressRoute вы можете обнаружить проблемы сети, определить их и устранить.
Примечание.
Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.
Настройка монитора подключений для ExpressRoute позволяет выполнять следующие действия:
отслеживание потерь и задержек в различных виртуальных сетях и настройка оповещений;
отслеживание всех путей (включая избыточные) в сети;
устранение временных неполадок в сети и неполадок в сети до точки во времени, которые усложняют репликацию;
определение конкретного сегмента в сети, с которым связана низкая производительность.
Рабочий процесс
Агенты мониторинга устанавливаются на нескольких серверах, как локально, так и в среде Azure. Они взаимодействуют друг с другом, отправляя пакеты подтверждения TCP. Такое взаимодействие позволяет Azure сопоставить топологию сети и путь передачи трафика.
Создадите рабочую область Log Analytics.
Установите и настройте агенты программного обеспечения. (Если вы хотите только отслеживать через пиринг Майкрософт, вам не обязательно устанавливать и настраивать агенты программного обеспечения.)
- Установите агенты мониторинга на локальных серверах и виртуальных машинах Azure (для частного пиринга).
- Настройте параметры на серверах, на которых расположены агенты мониторинга, чтобы разрешить их взаимодействие. (Откройте порты брандмауэра и т. д.).
Настройте правила группы безопасности сети (NSG), чтобы разрешить агентам мониторинга, установленным на виртуальных машинах Azure, взаимодействовать с локальными агентами.
Включите Наблюдатель за сетями в подписке.
Настройте мониторинг: создайте мониторы подключений с помощью тестовых групп для мониторинга исходной и целевой конечных точек в сети.
Если вы уже используете Монитор производительности сети (не рекомендуется) или Монитор подключений для мониторинга других объектов или служб и у вас уже есть рабочая область Log Analytics в одном из поддерживаемых регионов, вы можете пропустить шаги 1 и 2 и начать настройку с шага 3.
Создание рабочей области
Создайте рабочую область (в подписке с виртуальной сетью, связанной с каналами ExpressRoute).
Войдите на портал Azure. В подписке с виртуальными сетями, подключенными к каналу ExpressRoute, выберите + Создать ресурс. Выполните поиск по запросу рабочая область Log Analytics, а затем нажмите Создать.
Примечание.
Вы можете создать новую рабочую область или использовать имеющуюся. Если выбрана имеющаяся рабочая область, убедитесь, что она использует новый язык запросов. Дополнительные сведения...
Создайте рабочую область, указав или выбрав следующую информацию.
Настройки Значение Отток подписок Выберите подписку с каналом ExpressRoute. Группа ресурсов Выберите существующую группу ресурсов или создайте новую. Имя. Введите название рабочей области. Область/регион Выберите регион, в котором создана эта рабочая область. Примечание.
Канал ExpressRoute может находиться в любой точке мира. Он не обязательно находится в том же регионе, что и рабочая область.
Выберите Просмотр и создание, а затем Создать, чтобы развернуть рабочую область. После развертывания рабочей области перейдите к следующему разделу для настройки решения для мониторинга.
Настройка решения для мониторинга
Выполните скрипт Azure PowerShell, заменив значения для $SubscriptionId, $location, $resourceGroup и $workspaceName. Затем запустите сценарий, чтобы настроить решение для мониторинга.
$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId
$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"
$solution = @{
Location = $location
Properties = @{
workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
}
Plan = @{
Name = "NetworkMonitoring($($workspaceName))"
Publisher = "Microsoft"
Product = "OMSGallery/NetworkMonitoring"
PromotionCode = ""
}
ResourceName = "NetworkMonitoring($($workspaceName))"
ResourceType = "Microsoft.OperationsManagement/solutions"
ResourceGroupName = $resourceGroup
}
New-AzResource @solution -Force
После настройки решения для мониторинга перейдите к следующему шагу установки и настройки агентов мониторинга на серверах.
Установка и настройка агентов в локальной среде
Загрузка файла установки агента
Перейдите в рабочую область Log Analytics и выберите Управление агентами в разделе Параметры. Скачайте агент, соответствующий операционной системе вашего компьютера.
Затем скопируйте идентификатор рабочего пространства и первичный ключ в Блокнот.
На компьютерах под управлением ОС Windows скачайте и запустите этот сценарий PowerShell EnableRules.ps1 в окне PowerShell с правами администратора. Скрипт PowerShell открывает соответствующий порт брандмауэра для транзакций TCP.
На компьютерах Linux номер порта необходимо изменить вручную, выполнив следующие действия:
- Перейдите по пути /var/opt/Microsoft/omsagent/npm_state.
- Откройте файл npmdregistry.
- Измените значение для параметра Port Number —
PortNumber:<port of your choice>
.
Установка агента Log Analytics на каждом сервере мониторинга
Рекомендуется установить агент Log Analytics по крайней мере на двух серверах на обеих сторонах подключения ExpressRoute, чтобы обеспечить избыточность. Например, в локальной виртуальной сети и в виртуальной сети Azure. Чтобы установить агенты, выполните следующие действия.
Выберите соответствующую операционную систему, чтобы установить агент Log Analytics на серверах.
После завершения установки на панели управления появится Microsoft Monitoring Agent. Можно просмотреть конфигурацию и проверить, подключен ли агент к журналам Azure Monitor.
Повторите шаги 1 и 2 для других локальных компьютеров, которые вы хотите использовать для мониторинга.
Установка агента наблюдателя за сетями на каждом сервере мониторинга
Новая виртуальная машина Azure
Если вы создаете виртуальную машину Azure для наблюдения за подключением к виртуальной сети, можно установить агент наблюдателя за сетями при создании виртуальной машины.
Существующая виртуальная машина Azure
Если для наблюдения за подключением вы используете существующую виртуальную машину, можно установить сетевой агент отдельно для Linux и Windows.
Открытие портов брандмауэра на серверах агента мониторинга
Правила для брандмауэра могут блокировать обмен данными между исходным и целевым серверами. Монитор подключений обнаруживает эту ошибку и показывает ее в топологии в виде сообщения диагностики. Чтобы включить мониторинг подключения, убедитесь, что правила брандмауэра разрешают пакеты по протоколу TCP или ICMP между источником и назначением.
Windows
Для компьютеров Windows можно запустить скрипт PowerShell, чтобы создать разделы реестра, необходимые Монитор подключений. Этот сценарий также создаст правила брандмауэра Windows, разрешающие агентам мониторинга создавать TCP-подключения между собой. В разделах реестра, созданных сценарием, укажите, следует ли записывать журналы отладки и путь к файлу журнала. Он также определяет TCP-порт агента, используемый для обмена данными. Значения этих ключей автоматически задаются скриптом. Не изменяйте эти разделы вручную.
Открытый порт по умолчанию — 8084. Вы можете использовать пользовательский порт, задав в сценарии параметр portNumber. Тем не менее, если это сделать, необходимо указать один порт для всех серверов, на которых вы запускаете сценарий.
Примечание.
Сценарий PowerShell "EnableRules" настраивает правила брандмауэра Windows только на том сервере, где он выполняется. При наличии брандмауэра сети он должен разрешать пропуск трафика к TCP-порту, который используется монитором подключений.
На серверах агента откройте окно PowerShell от имени администратора. Запустите загруженный ранее сценарий PowerShell EnableRules. Больше никакие параметры не нужны.
Linux
Для компьютеров Linux номера портов необходимо будет задать вручную.
- Перейдите по пути /var/opt/Microsoft/omsagent/npm_state.
- Откройте файл npmdregistry.
- Измените значение для параметра Port Number —
PortNumber:\<port of your choice\>
. Используемые номера портов должны быть одинаковыми во всех агентах, используемых в рабочей области.
Настройка правил группы безопасности сети
Для отслеживания серверов, находящихся в Azure, необходимо настроить правила группы безопасности сети (NSG), разрешающие использование TCP- или ICMP-трафика от монитора подключений. По умолчанию используется порт **8084, который позволяет агенту мониторинга, установленному на виртуальной машине Azure, обмениваться данными с локальным агентом мониторинга.
Дополнительные сведения об NSG см. в руководстве по фильтрации сетевого трафика.
Примечание.
Прежде чем переходить к этому шагу, убедитесь, что агенты установлены (как для локального сервера, так и для сервера Azure) и сценарий PowerShell запущен.
Включение наблюдателя за сетями
Для всех подписок с виртуальной сетью используется наблюдатель за сетями. Убедитесь, что наблюдатель за сетями не отключен явным образом в вашей подписке. Дополнительные сведения см. в статье Включение наблюдателя за сетями.
Создание монитора подключения
Общие сведения о создании монитора подключений, тестов и тестовых групп в исходной и целевой конечных точках в сети см. в разделе Создание монитора подключений. Выполните следующие действия, чтобы настроить мониторинг подключения для частного пиринга и пиринга Майкрософт.
На портале Azure перейдите к своему ресурсу Наблюдателя за сетями и выберите Монитор подключений в разделе Мониторинг. Затем выберите Создать для создания нового монитора подключений.
На вкладке Основные сведения рабочего процесса создания выберите тот же регион, в котором развернута рабочая область Log Analytics для поля Регион. В поле Конфигурация рабочей области выберите существующую рабочую область Log Analytics, созданную ранее. Затем нажмите Далее: тестовые группы >>.
На странице "Добавление сведений о группе тестирования" добавьте исходные и конечные конечные точки для тестовой группы. Вы также настраиваете конфигурации тестов между ними. Введите имя для этой тестовой группы.
Выберите Добавить источник и перейдите на вкладку Конечные точки, не относящиеся к Azure. Выберите локальные ресурсы с установленным агентом Log Analytics, которые должны отслеживать возможность подключения, а затем щелкните Добавить конечные точки.
Затем щелкните Добавить назначения.
Чтобы отслеживать подключение через частный пиринг ExpressRoute, перейдите на вкладку Конечные точки Azure. Выберите ресурсы Azure с установленным агентом наблюдателя за сетями, которые должны отслеживать возможность подключения к виртуальным сетям в Azure. Обязательно выберите в столбце IP-адрес частный IP-адрес каждого из этих ресурсов. Выберите Добавить конечные точки, чтобы добавить эти конечные точки в список назначений для тестовой группы.
Чтобы отслеживать подключение через пиринг Майкрософт ExpressRoute, перейдите на вкладку Внешние адреса. Выберите конечные точки служб Майкрософт, возможность подключения к которым необходимо отслеживать через пиринг Майкрософт. Выберите Добавить конечные точки, чтобы добавить эти конечные точки в список назначений для тестовой группы.
Теперь выберите Добавить конфигурацию теста. Выберите протокол TCP и введите порт назначения, открытый на ваших серверах. Затем настройте частоту тестирования и пороги для неудачных проверок и времени кругового пути. Затем выберите Добавить конфигурацию теста.
После добавления источников, назначений и конфигурации теста выберите Добавить тестовую группу.
Если вы хотите создать оповещение, выберите Далее: создать оповещение >>. По завершении выберите Просмотр и создание, а затем щелкните Создать.
Показать результаты
Перейдите к своему ресурсу Наблюдателя за сетями и выберите Монитор подключений в разделе Мониторинг. Новый монитор подключений должен отобразиться через 5 минут. Чтобы просмотреть топологию сети и диаграммы производительности монитора подключений, выберите тест в раскрывающемся списке тестовой группы.
На панели Анализ производительности можно просмотреть процент непройденных проверок и время кругового пути для каждого теста. Вы можете настроить интервал времени для отображаемых данных, выбрав раскрывающееся меню в верхней части панели.
При закрытии панели Анализ производительности отображается топология сети, обнаруженная монитором подключений между выбранными исходной и целевой конечными точками. В этом представлении отображаются двунаправленные пути трафика между исходной и целевой конечными точками. Кроме того, можно увидеть задержку прыжков пакетов до попадания в сеть периметра Майкрософт.
При выборе любого прыжка в представлении топологии отображаются дополнительные сведения о прыжке. Все проблемы, обнаруженные монитором подключения о прыжке, отображаются здесь.
Следующие шаги
Дополнительные сведения о мониторинге в Azure ExpressRoute