共用方式為

設定 Azure ExpressRoute 的連線監視器

本文會引導您設定連線監視器延伸模組來監視 ExpressRoute。 連線監視器是雲端式網路監視解決方案,可追蹤 Azure 雲端部署與內部部署位置 (例如分公司) 之間的連線。 它是 Azure 監視器記錄的一部分,可讓您監視私有與 Microsoft 對等連線的網路連接。 藉由設定適用於 ExpressRoute 的連線監視器,您可以識別並解決網路問題。

附註

本文最近有所更新,改為使用「Azure 監視器記錄」一詞,而非 Log Analytics。 記錄資料仍儲存在 Log Analytics 工作區中,並仍由相同的 Log Analytics 服務收集和分析。 我們會持續更新術語,以更精確地反映 Azure 監視器記錄的角色。 如需詳細資料,請參閱 Azure 監視器遙測變更

透過適用於 ExpressRoute 的連線監視器,您可以:

  • 監視各種 VNet 的遺失和延遲並設定警示。
  • 監視所有網路路徑,包括備援路徑。
  • 針對難以複寫的暫時性和時間點網路問題進行疑難排解。
  • 識別造成效能降低的特定網路區段。

Workflow

監視代理程式安裝在內部部署和 Azure 中的多部伺服器上。 這些代理程式會藉由傳送 TCP 交握封包來進行通訊,讓 Azure 能夠對應網路拓撲和流量路徑。

  1. 建立 Log Analytics 工作區。
  2. 安裝並設定軟體代理程式 (只有 Microsoft 對等互連不需要):
    • 在內部部署伺服器和 Azure VM 上安裝監視代理程式 (適用於私人對等互連)。
    • 設定監視代理程式伺服器上的設定以允許通訊 (例如開放防火牆連接埠)。
  3. 設定網路安全性群組 (NSG) 規則,以允許 Azure VM 上的監視代理程式與內部部署代理程式之間的通訊。
  4. 在您的訂用帳戶上啟用網路監看員。
  5. 使用測試群組建立連線監視器來設定監視,以監視整個網路的來源和目的地端點。

如果您已經使用網路效能監控 (已棄用) 或連線監視器,並具有位於支援區域中的 Log Analytics 工作區,則可以略過步驟 1 和 2,並從步驟 3 開始。

建立工作區

在有 VNet 連結至 ExpressRoute 線路的訂用帳戶中建立工作區。

  1. 登入 Azure 入口網站。 從具有連線至 ExpressRoute 線路之虛擬網路的訂用帳戶中,選取 [+ 建立資源]。 搜尋 Log Analytics 工作區,然後選取 [建立]

    附註

    您可以建立新的工作區,或是使用現有的工作區。 如果使用現有的工作區,請確定其已移轉至新的查詢語言。 如需詳細資訊,請參閱 Azure 監視器中的記錄警示

  2. 輸入或選取下列資訊來建立工作區:

    設定
    訂用帳戶 選取具有 ExpressRoute 線路的訂用帳戶。
    資源群組 建立新的資源群組,或選取現有的資源群組。
    名稱 輸入名稱以識別此工作區。
    區域 選取建立此工作區的區域。

    附註

    ExpressRoute 線路可以位於世界上任何位置。 不一定要與工作區位於相同區域。

  3. 選取 [檢閱 + 建立],以驗證然後選取 [建立] 以部署工作區。 部署之後,請繼續進行下一節來設定監視解決方案。

設定監視解決方案

藉由取代 $SubscriptionId$location$resourceGroup$workspaceName 的值,來完成 Azure PowerShell 指令碼。 然後執行指令碼來設定監視解決方案。

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

設定監視解決方案之後,請繼續在伺服器上安裝並設定監視代理程式。

在內部部署環境中安裝和設定代理程式

下載代理程式安裝檔案

  1. 瀏覽至 Log Analytics 工作區,然後選取 [設定] 下的 [代理程式管理]。 下載與您電腦的作業系統對應的代理程式。

    螢幕擷取畫面:工作區中的代理程式管理頁面。

  2. 將 [工作區識別碼] 和 [主索引鍵] 複製到 [記事本]。

  3. 針對 Windows 機器,請在具有系統管理員權限的 PowerShell 視窗中下載並執行此 PowerShell 指令碼 EnableRules.ps1。 指令碼會開放 TCP 交易的相關防火牆連接埠。

    針對 Linux 機器,請手動變更連接埠號碼:

    • 瀏覽至 /var/opt/microsoft/omsagent/npm_state。
    • 開啟 npmdregistry 檔案。
    • 變更連接埠號碼 PortNumber:<port of your choice> 的值。

在每部監視伺服器上安裝 Log Analytics 代理程式

在 ExpressRoute 連線兩端至少兩部伺服器上安裝 Log Analytics 代理程式以取得備援。 請遵循下列步驟:

  1. 選取適當的作業系統,以取得在伺服器上安裝 Log Analytics 代理程式的步驟:

  2. 安裝之後,Microsoft Monitoring Agent 會出現在 [控制台] 中。 檢閱您的設定,並驗證代理程式對 Azure 監視器記錄的連線能力

  3. 針對您想要監視的其他內部部署機器重複步驟 1 和 2。

在每個監視伺服器上安裝網路監看員代理程式

新的 Azure 虛擬機器

如果是為了監視連線能力而建立新的 Azure VM,您可以在 VM 建立期間安裝網路監看員代理程式。

現有的 Azure 虛擬機器

如果使用現有的 VM,請個別安裝適用於 Linux (部分機器翻譯) 和 Windows (部分機器翻譯) 的網路代理程式。

在監視代理程式伺服器上開放防火牆連接埠

確定防火牆規則允許來源和目的地伺服器之間的 TCP 或 ICMP 封包,以進行連線監視。

Windows

以系統管理權限在 PowerShell 視窗中執行 EnableRules (英文) PowerShell 指令碼 (已於稍早下載)。 此指令碼會建立必要的登錄機碼和 Windows 防火牆規則。

附註

腳本只會在執行它的伺服器上設定 Windows 防火牆規則。 確定網路防火牆允許連線監視器所使用之 TCP 連接埠的流量。

Linux

手動變更連接埠號碼:

  1. 瀏覽至 /var/opt/microsoft/omsagent/npm_state。
  2. 開啟 npmdregistry 檔案。
  3. 變更連接埠號碼 PortNumber:<port of your choice> 的值。 確定工作區中的所有代理程式都使用相同的連接埠號碼。

設定網路安全性群組規則

若要監視 Azure 中的伺服器,請設定 NSG 規則以允許來自連線監視器的 TCP 或 ICMP 流量。 預設連接埠為 8084

如需 NSG 的詳細資訊,請參閱篩選網路流量 (部分機器翻譯) 的教學課程。

附註

確定代理程式已安裝 (在內部部署和 Azure 上),並執行 PowerShell 指令碼,然後再繼續。

啟用網路監看員

確定已經為您的訂用帳戶啟用網路監看員。 如需詳細資訊,請參閱啟用網路監看員

建立連線監視

如需建立連線監視器、測試和測試群組的概觀,請參閱建立連線監視器 (部分機器翻譯)。 遵循下列步驟來設定私人對等互連和 Microsoft 對等互連的連線監視:

  1. 在 Azure 入口網站中,瀏覽至您的網路監看員資源,然後選取 [監視] 下的 [連線監視器]。 選取 [建立] 以建立新的連線監視器。

  2. 在 [基本] 索引標籤上,針對 [區域] 欄位選取與您部署 Log Analytics 工作區相同的區域。 針對 [工作區設定],選取您稍早建立的現有 Log Analytics 工作區。 然後選取 [下一步: 測試群組>>]

  3. 在 [新增測試群組詳細資料] 頁面上,新增測試群組的來源和目的地端點。 輸入此測試群組的名稱

  4. 選取 [新增來源] 並瀏覽至 [非 Azure 端點] 索引標籤。選擇您要監視且已安裝 Log Analytics 代理程式的內部部署資源,然後選取 [新增端點]

    螢幕擷取畫面:新增來源端點。

  5. 選取 [新增目的地]

    若要監視透過 ExpressRoute 私人對等互連的連線能力,請瀏覽至 [Azure 端點] 索引標籤。選擇您要監視且已安裝網路監看員代理程式的 Azure 資源。 選取 [IP] 欄中每個資源的私人 IP 位址。 選取 [新增端點]

    螢幕擷取畫面:新增 Azure 目的地端點。

    若要監視透過 ExpressRoute Microsoft 對等互連的連線能力,請瀏覽至 [外部位址] 索引標籤。選取您要監視的 Microsoft 服務端點。 選取 [新增端點]

    螢幕擷取畫面:新增外部目的地端點。

  6. 選取 [新增測試組態]。 針對通訊協定選擇 [TCP],然後輸入您在您的伺服器上開放的目的地連接埠。 設定您的 [測試頻率]用於進行失敗檢查和來回行程時間的閾值。 選取 [新增測試設定]

    螢幕擷取畫面:新增測試設定頁面。

  7. 新增來源、目的地和測試設定之後,選取 [新增測試群組]

  8. 如果您想要建立警示,請選取 [下一步: 建立警示 >>]。 完成之後,選取 [檢閱 + 建立],然後選取 [建立]

檢視結果

  1. 移至您的網路監看員資源,然後選取 [監視] 下的 [連線監視器]。 您應該會在 5 分鐘後看到新的連線監視器。 若要檢視連線監視器的網路拓撲和效能圖表,請從 [測試群組] 下拉式清單中選取測試。

    螢幕擷取畫面:連線監視器概觀頁面。

  2. 在 [效能分析] 面板中,檢視檢查失敗的百分比,以及每個測試的來回行程時間結果。 使用面板頂端的下拉式清單來調整所顯示資料的時間範圍。

    螢幕擷取畫面:效能分析窗格。

  3. 關閉 [效能分析] 面板會顯示來源與目的地端點之間的連線監視器所偵測到的網路拓撲。 此檢視會顯示到達 Microsoft 邊緣網路之前,雙向流量路徑和逐躍點延遲。

    螢幕擷取畫面:連線監視器中的網路拓撲。

    選取拓撲檢視中的任何躍點會顯示關於躍點的其他資訊。 連線監視器所偵測到的任何問題都會顯示在這裡。

    網路躍點詳細資訊的螢幕擷取畫面。

後續步驟

深入了解監視 Azure ExpressRoute

  • Last updated on