連線監視

  • 8 分鐘

「連線監視器」可在 Azure 網路監看員中提供統一的端對端連線監視。 連線監視功能支援混合式和 Azure 雲端部署。 網路監看員提供工具來監視、診斷和檢視 Azure 部署的連線相關計量。

您可以在下列案例中使用連線監視:

  • 您可以檢查兩層式應用程式中兩部 VM 之間的網路連線能力,以確保前端網頁伺服器虛擬機器 (VM) 能夠與裝載資料庫伺服器 VM 的 VM 通訊。
  • 您想要計算部署在不同區域中的 VM 之間的跨區域延遲,例如,澳大利亞東南部區域中的 VM 的延遲,以及部署在美國中部區域的 VM 的延遲。
  • 您想要比較 Microsoft 365 URL 分公司網站的延遲。
  • 您想要比較內部部署網站的延遲與 Azure 應用程式在連線至 Azure 儲存體帳戶端點方面的延遲。
  • 您想要檢查內部部署環境與裝載雲端應用程式的 Azure VM 之間的連線能力。
  • 您想要檢查從 Azure 虛擬機器擴展集的多個執行個體到非 Azure 多層式應用程式的連線。

診斷網路問題

連線監視可協助您診斷連線監視器和網路的問題。 您稍早安裝的 Log Analytics 代理程式會偵測混合式網路的問題。 網路監看員延伸模組會偵測 Azure 的問題。

對於來源為內部部署 VM 的網路,可以偵測到下列問題:

  • 要求已逾時。
  • DNS 未解析的端點 – 暫時性或持續性。 URL 無效。
  • 找不到主機。
  • 來源無法連線到目的地。 無法透過 ICMP 觸達目標。
  • 憑證相關問題,包括:
    • 驗證代理程式所需的用戶端憑證。
    • 無法存取憑證撤銷清單。
    • 端點的主機名稱不符合憑證的主體或主體替代名稱。
    • 來源的本機電腦受信任憑證授權單位存放區中遺漏根憑證。
    • SSL 憑證已過期、無效、撤銷或不相容。

對於來源為 Azure VM 的網路,可以偵測到下列問題:

  • 代理程式問題,包括:
    • 代理程式已停止
    • 失敗的 DNS 解析
    • 沒有應用程式,或無法開啟在目的地連接埠和通訊端上接聽的接聽程式。
  • VM 狀態問題,包括:
    • 啟動中
    • 正在停止
    • 已停止
    • 正在解除配置
    • 已解除配置
    • 正在重新啟動
    • 未配置
  • 遺漏 ARP 資料表項目。
  • 流量因為本機防火牆問題或 NSG 規則而遭到封鎖。
  • 虛擬網路閘道問題,包括:
    • 遺漏路由
    • 兩個網路閘道之間的通道已中斷連線或遺失。
    • 通道找不到第二個閘道。
    • 找不到同儕節點資訊。
    • Microsoft Edge 中遺漏路由。
    • 流量因為系統路由或使用者定義的路由而停止 (UDR)。
    • 閘道連線上未啟用邊界閘道協定 (BGP)。
    • 動態 IP 位址 (DIP) 探查在負載平衡器關閉。

設定連線監視器

若要使用連線監視來測量特定案例,您需要執行下列一般步驟:

  1. 安裝監視代理程式。
  2. 建立連線監視器。
  3. 分析監視資料並設定警示。
  4. 診斷網路中的問題。

安裝監視代理程式

連線監視器依賴輕量型可執行檔來執行連線能力檢查。 支援從 Azure 環境與內部部署環境執行連線能力檢查。 您使用的可執行檔取決於 VM 是裝載於 Azure 或內部部署。

如果已安裝網路監看員代理程式虛擬機器延伸模組,連線監視可以使用您的 Azure VM 或虛擬機器擴展集作為監視來源。 此延伸模組也稱為網路監看員延伸模組。 此延伸模組允許端對端監視和其他進階功能。

網路安全性群組 (NSG) 或防火牆的規則可以封鎖來源與目的地之間的通訊。 連線監視器偵測到此問題,並將其顯示為拓撲中的診斷訊息。 若要啟用連線監視器,請確定 NSG 和防火牆規則允許來源和目的地之間的 TCP 或 ICMP 封包。

若要讓連線監視將內部部署機器辨識為監視的來源,請在機器上安裝 Log Analytics 代理程式。 然後,啟用網路效能監視器解決方案。 這些代理程式會連結至 Log Analytics 工作區,因此您必須在代理程式開始監視之前設定工作區識別碼和主索引鍵。

建立連線監視器

在您使用連線監視建立的連線監視器中,您可以將內部部署機器和 Azure VM 擴展集新增為來源。 這些連線監視器也可以監視端點的連線能力。 端點可以位於 Azure 或任何其他 URL 或 IP 位址上。

連接監視包含下列實體:

  • 連線監視資源:地區特定 Azure 資源。 下列所有實體都是連線監視器資源的屬性。
  • 端點:參與連線能力檢查的來源或目的地。 端點的例子包括 Azure VM/擴展集、內部部署代理程式、URL 和 IP 位址。
  • 測試設定:適用於測試的通訊協定特定設定。 根據您選取的通訊協定,您可以定義連接埠、閾值、測試頻率及其他屬性。
  • 測試群組:包含來源端點、目的地端點和測試設定的群組。 一個連接監視器可以包含一個以上的測試群組。
  • 測試:來源端點、目的地端點和測試設定的組合。 測試是監視資料可達到的最細微層級。 監視資料包括失敗檢查的百分比和往返時間 (RTT)。

若要建立連線監視器,請執行下列步驟:

  1. 在 Azure 入口網站中,移至 [網路監看員]。
  2. 在左窗格的 [監視] 區段中,選取 [連線監視器]
  3. [連線監視器] 儀表板上,選取 [建立]
  4. 在 [基本資料] 窗格上,輸入下列詳細資料:
    • 連線監視名稱:輸入連線監視器的名稱。 使用 Azure 資源的標準命名規則。
    • 訂用帳戶:選取連線監視器的訂用帳戶。
    • 地區:選取連線監視器的區域。 您只能選取在此區域中建立的來源 VM。
    • 工作區設定:選擇自訂工作區或預設工作區。 工作區會保存監視資料。 若要選擇自訂工作區,請清除預設工作區核取方塊,然後選取自訂工作區的訂用帳戶和區域。
  5. 選取 [下一步]
  6. [測試群組] 頁面上,選取現有的測試群組或建立新的測試群組。 若要建立測試群組,請提供下列資訊:
    • 測試群組名稱:輸入測試群組的名稱。
    • 來源:如果已在其安裝代理程式,選取 [新增來源] 以將 Azure VM 和內部部署機器都指定為來源。
      • 當您選取虛擬網路、子網路、單一 VM 或虛擬機器擴展集時,對應的資源識別碼會設定為端點。 根據預設,所選虛擬網路或子網路中的所有 VM 都會參與監視。 若要減少範圍,請選取特定的子網路或代理程式,或變更範圍屬性的值。
      • 若要選擇內部部署代理程式,請選取 [非 Azure 端點] 索引標籤。從已安裝 Log Analytics 代理程式的內部部署主機清單中選取。 選取 [Arc 端點] 作為 [類型],然後從 [訂用帳戶] 下拉式清單中選取訂用帳戶。 顯示已啟用 Azure Arc 端點延伸模組和已啟用 Azure 監視器代理程式延伸模組的主機清單。
      • 若要選擇公用端點作為目的地,請選取 [外部地址] 索引標籤。端點清單包含 Office 365 測試 URL 和 Dynamics 365 測試 URL,依名稱分組。 您也可以選擇在相同連線監視器内其他測試群組中建立的端點。
      • 若要新增端點,請選取右上角的 [新增端點],然後提供端點名稱和 URL、IP 或 FQDN。
  7. 下一步是設定警示。 警示可讓您在測試失敗時收到通知。 當您建立警示時,您必須指定哪個連線監視器測試失敗會觸發警示。 指定動作群組,以判斷警示觸發時會發生什麼事。
  8. 在窗格底部,選取 下一頁:檢閱 + 建立]。

分析監視資料

監視端點時,連線監視每隔 24 小時會重新評估一次端點的狀態。 因此,如果 VM 在 24 小時週期期間解除配置或關閉,連線監視會報告不確定的狀態,因為網路路徑中沒有資料,直到 24 小時週期結束,然後再重新評估 VM 的狀態,並將 VM 狀態回報為已解除配置。

根據檢查傳回的資料,測試可以有下列狀態:

  • 通過:失敗檢查百分比及來回時間 (RTT) 的實際值在指定的閾值內。
  • 失敗:失敗檢查百分比或 RTT 的實際值已超過指定的閾值。 如果未指定閾值,當失敗檢查的百分比為 100 時,測試就會達到 [失敗] 狀態。
  • 警告:
    • 如果已指定閾值,且連線監視觀察到超過閾值 80% 的檢查失敗百分比,則測試會被標示為警告。
    • 如果沒有指定的閾值,連線監視會自動指派閾值。 超過該閾值時,測試狀態會變更為警告。 針對 TCP 或 ICMP 測試中的 RTT,閾值為 750 毫秒(毫秒)。 針對檢查失敗的百分比,閾值為 10%。
  • 不確定:Log Analytics 工作區中沒有資料。 檢查計量 \(部分機器翻譯\)。
  • 未執行:停用測試群組以停用。

連線監視收集的資料儲存在 Log Analytics 工作區。 您在建立連線監視器時會設定此工作區。

Azure 監視器計量也提供監視資料。 您可以使用 Log Analytics 來無限期保留監視資料。 Azure 監視器預設只保存計量 30 天。