Konfigurace Monitorování připojení pro ExpressRoute

Tento článek vám pomůže nakonfigurovat rozšíření Monitorování připojení pro monitorování ExpressRoute. Monitorování připojení je cloudové řešení pro monitorování sítě, které monitoruje připojení mezi cloudovými nasazeními Azure a místními umístěními (pobočky atd.). Monitorování připojení je součástí protokolů služby Azure Monitor. Rozšíření také umožňuje monitorovat síťové připojení pro soukromá připojení a peeringová připojení Microsoftu. Když konfigurujete nástroj Monitorování připojení pro ExpressRoute, můžete rozpoznat problémy v síti, které je třeba identifikovat a odstranit.

Poznámka:

Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly služby Azure Monitor. Data protokolů jsou stále uložená v pracovním prostoru služby Log Analytics a stále se shromažďují a analyzují stejnou službou Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor.

S Monitorování připojení pro ExpressRoute můžete:

  • Monitorování ztrát a latence napříč různými virtuálními sítěmi a nastavení upozornění.

  • Monitorování všech cest (včetně redundantních cest) v síti.

  • Řešení přechodných a časově závislých potíží se sítěmi, které se těžko replikují

  • Pomoc s určením konkrétního segmentu sítě, který je důvodem sníženého výkonu.

Workflow

Agenti monitorování se instalují na několik serverů, a to jak místně, tak v Azure. Agenti vzájemně komunikují odesláním paketů handshake protokolu TCP. Komunikace mezi agenty umožňuje Azure mapovat topologii sítě a směrovat provoz.

  1. Vytvoříte pracovní prostor služby Log Analytics

  2. Instalace a konfigurace softwarových agentů (Pokud chcete monitorovat jenom partnerský vztah Microsoftu, nemusíte instalovat a konfigurovat softwarové agenty.):

    • Nainstalujte agenty monitorování na místní servery a virtuální počítače Azure (pro privátní partnerský vztah).
    • Nakonfigurujte nastavení na serverech agenta monitorování, aby agenti monitorování mohli komunikovat. (Otevření portů brány firewall atd.)
  3. Nakonfigurujte pravidla skupiny zabezpečení sítě (NSG), která umožňují agentu monitorování nainstalovanému na virtuálních počítačích Azure komunikovat s místními agenty monitorování.

  4. Povolte službu Network Watcher ve vašem předplatném.

  5. Nastavení monitorování: Vytvořte monitorování připojení s testovacími skupinami pro monitorování zdrojových a cílových koncových bodů v síti.

Pokud už používáte network Sledování výkonu (zastaralé) nebo Monitorování připojení k monitorování jiných objektů nebo služeb a už máte pracovní prostor služby Log Analytics v jedné z podporovaných oblastí. Můžete přeskočit krok 1 a krok 2 a zahájit konfiguraci v kroku 3.

Vytvoření pracovního prostoru

Vytvořte pracovní prostor v předplatném, které obsahuje propojení virtuálních sítí s okruhy ExpressRoute.

  1. Přihlaste se k portálu Azure. V předplatném, které má virtuální sítě připojené k okruhu ExpressRoute, vyberte + Vytvořit prostředek. Vyhledejte pracovní prostor služby Log Analytics a pak vyberte Vytvořit.

    Poznámka:

    Můžete vytvořit nový pracovní prostor nebo použít existující pracovní prostor. Pokud chcete použít existující pracovní prostor, musíte se ujistit, že byl pracovní prostor migrován do nového dotazovacího jazyka. Další informace...

    Snímek obrazovky s hledáním Log Analytics při vytváření prostředku

  2. Vytvořte pracovní prostor zadáním nebo výběrem následujících informací.

    Nastavení Hodnota
    Předplatné Vyberte předplatné s okruhem ExpressRoute.
    Skupina prostředků Vytvořte novou nebo vyberte existující skupinu prostředků.
    Název Zadejte název pro identifikaci tohoto pracovního prostoru.
    Oblast Vyberte oblast, ve které se tento pracovní prostor vytvoří.

    Snímek obrazovky se základní kartou pro vytvoření pracovního prostoru služby Log Analytics

    Poznámka:

    Okruh ExpressRoute může být kdekoli na světě. Nemusí být ve stejné oblasti jako pracovní prostor.

  3. Vyberte Zkontrolovat a vytvořit , abyste ověřili a pak vytvořili nasazení pracovního prostoru. Jakmile se pracovní prostor nasadí, pokračujte k další části a nakonfigurujte řešení monitorování.

Konfigurace řešení monitorování

Dokončete skript Azure PowerShellu nahrazením hodnot pro $SubscriptionId, $location, $resourceGroup a $workspaceName. Pak spuštěním skriptu nakonfigurujte řešení monitorování.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Jakmile nakonfigurujete řešení monitorování. Pokračujte dalším krokem instalace a konfigurace agentů monitorování na vašich serverech.

Instalace a konfigurace agentů v místním prostředí

Stažení instalačního souboru agenta

  1. Přejděte do pracovního prostoru služby Log Analytics a v části Nastavení vyberte Správa agentů. Stáhněte agenta, který odpovídá operačnímu systému vašeho počítače.

    Snímek obrazovky se stránkou správy agenta v pracovním prostoru

  2. Potom zkopírujte ID pracovního prostoru a primární klíč do Poznámkového bloku.

    Snímek obrazovky s ID pracovního prostoru a primárním klíčem

  3. Pro počítače s Windows stáhněte a spusťte tento skript PowerShellu EnableRules.ps1 v okně PowerShellu s oprávněními správce. Skript PowerShellu otevře příslušný port brány firewall pro transakce TCP.

    V případě počítačů s Linuxem je potřeba číslo portu změnit ručně pomocí následujícího postupu:

    • Přejděte na cestu: /var/opt/microsoft/omsagent/npm_state.
    • Otevřít soubor: npmdregistry
    • Změna hodnoty čísla portu PortNumber:<port of your choice>

Instalace agenta Log Analytics na každý server monitorování

Kvůli redundanci doporučujeme nainstalovat agenta Log Analytics na alespoň dva servery na obě strany připojení ExpressRoute. Například vaše místní a virtuální síť Azure. K instalaci agentů použijte následující postup:

  1. Vyberte příslušný operační systém pro postup instalace agenta Log Analytics na vaše servery.

  2. Po dokončení se agent Microsoft Monitoring Agent zobrazí v Ovládací panely. Můžete zkontrolovat konfiguraci a ověřit připojení agenta k protokolům služby Azure Monitor.

  3. Opakujte kroky 1 a 2 pro ostatní místní počítače, které chcete použít k monitorování.

Instalace agenta Network Watcher na každý server monitorování

Nový virtuální počítač Azure

Pokud vytváříte nový virtuální počítač Azure pro monitorování připojení vaší virtuální sítě, můžete při vytváření virtuálního počítače nainstalovat agenta Network Watcher.

Existující virtuální počítač Azure

Pokud k monitorování připojení používáte existující virtuální počítač, můžete síťového agenta nainstalovat samostatně pro Linux a Windows.

Otevření portů brány firewall na serverech agenta monitorování

Pravidla brány firewall můžou blokovat komunikaci mezi zdrojovými a cílovými servery. Monitorování připojení zjistí tento problém a zobrazí ho jako diagnostickou zprávu v topologii. Pokud chcete povolit monitorování připojení, ujistěte se, že pravidla brány firewall povolují pakety přes protokol TCP nebo ICMP mezi zdrojem a cílem.

Windows

Pro počítače s Windows můžete spustit skript PowerShellu pro vytvoření klíčů registru vyžadovaných Monitorování připojení. Tento skript také vytvoří pravidla brány Windows Firewall, která umožňují agentům monitorování vytvářet připojení TCP mezi sebou. Klíče registru vytvořené skriptem určují, jestli se mají protokoly ladění protokolovat, a cestu k souboru protokolů. Definuje také port TCP agenta používaný ke komunikaci. Hodnoty těchto klíčů se automaticky nastaví skriptem. Tyto klíče byste neměli měnit ručně.

Ve výchozím nastavení se otevře port 8084. Vlastní port můžete použít zadáním parametru portNumber do skriptu. Pokud to ale uděláte, musíte zadat stejný port pro všechny servery, na kterých skript spouštíte.

Poznámka:

Skript PowerShellu EnableRules konfiguruje pravidla brány Windows Firewall pouze na serveru, na kterém je skript spuštěný. Pokud máte síťovou bránu firewall, měli byste se ujistit, že umožňuje provoz určený pro port TCP používaný Monitorování připojení.

Na serverech agenta otevřete okno PowerShellu s oprávněními správce. Spusťte skript EnableRules PowerShellu (který jste si stáhli dříve). Nepoužívejte žádné parametry.

Snímek obrazovky se spuštěním skriptu povolit pravidla v okně PowerShellu

Linux

V případě počítačů s Linuxem je potřeba čísla portů použitá ručně změnit:

  1. Přejděte na cestu: /var/opt/microsoft/omsagent/npm_state.
  2. Otevřít soubor: npmdregistry
  3. Změňte hodnotu čísla PortNumber:\<port of your choice\>portu . Použitá čísla portů by měla být stejná pro všechny agenty používané v pracovním prostoru.

Konfigurace pravidel skupin zabezpečení sítě

Pokud chcete monitorovat servery, které jsou v Azure, musíte nakonfigurovat pravidla skupiny zabezpečení sítě (NSG) tak, aby umožňovala provoz PROTOKOLU TCP nebo ICMP z Monitorování připojení. Výchozí port je **8084, který umožňuje agentu monitorování nainstalovanému na virtuálním počítači Azure komunikovat s místním agentem monitorování.

Další informace o skupině zabezpečení sítě najdete v kurzu filtrování síťového provozu.

Poznámka:

Než budete pokračovat v tomto kroku, ujistěte se, že jste nainstalovali agenty (místního agenta serveru i agenta serveru Azure) a před pokračováním v tomto kroku spusťte skript PowerShellu.

Povolení Network Watcheru

Všechna předplatná, která mají virtuální síť, jsou povolená pomocí služby Network Watcher. Ujistěte se, že služba Network Watcher není pro vaše předplatné explicitně zakázaná. Další informace najdete v tématu Povolení služby Network Watcher.

Vytvoření monitorování připojení

Základní přehled o tom, jak vytvořit monitorování připojení, testy a testovací skupiny napříč zdrojovými a cílovými koncovými body ve vaší síti, najdete v tématu Vytvoření monitorování připojení. Pomocí následujících kroků nakonfigurujte monitorování připojení pro privátní partnerský vztah a partnerský vztah Microsoftu.

  1. Na webu Azure Portal přejděte k prostředku služby Network Watcher a v části Monitorování vyberte Monitorování připojení. Pak vyberte Vytvořit a vytvořte nový monitor připojení.

    Snímek obrazovky s monitorováním připojení ve službě Network Watcher

  2. Na kartě Základy pracovního postupu vytváření vyberte stejnou oblast, ve které jste pro pole Oblast nasadili pracovní prostor služby Log Analytics. V případě konfigurace pracovního prostoru vyberte existující pracovní prostor služby Log Analytics, který jste vytvořili dříve. Pak vyberte Další: Testovací skupiny >>.

    Snímek obrazovky se základní kartou pro vytvoření Monitorování připojení

  3. Na stránce Přidat podrobnosti o testovací skupině přidáte zdrojové a cílové koncové body pro testovací skupinu. Také nastavíte konfigurace testů mezi nimi. Zadejte název pro tuto testovací skupinu.

    Snímek obrazovky se stránkou s podrobnostmi o přidání testovací skupiny

  4. Vyberte Přidat zdroj a přejděte na kartu Koncové body mimo Azure. Zvolte místní prostředky s nainstalovaným agentem Log Analytics, který chcete monitorovat připojení, a pak vyberte Přidat koncové body.

    Snímek obrazovky s přidáním zdrojových koncových bodů

  5. Pak vyberte Přidat cíle.

    Pokud chcete monitorovat připojení přes privátní partnerský vztah ExpressRoute, přejděte na kartu Koncové body Azure. Zvolte prostředky Azure s nainstalovaným agentem Network Watcher, který chcete monitorovat připojení k vašim virtuálním sítím v Azure. Nezapomeňte vybrat privátní IP adresu každého z těchto prostředků ve sloupci IP . Výběrem možnosti Přidat koncové body přidejte tyto koncové body do seznamu cílů testovací skupiny.

    Snímek obrazovky s přidáním cílových koncových bodů Azure

    Pokud chcete monitorovat připojení přes partnerský vztah Microsoftu ExpressRoute, přejděte na kartu Externí adresy. Vyberte služby Microsoft koncových bodů, ke kterým chcete monitorovat připojení přes partnerský vztah Microsoftu. Výběrem možnosti Přidat koncové body přidejte tyto koncové body do seznamu cílů testovací skupiny.

    Snímek obrazovky s přidáním externích cílových koncových bodů

  6. Teď vyberte Přidat konfiguraci testu. Vyberte protokol TCP a zadejte cílový port , který jste otevřeli na serverech. Pak nakonfigurujte frekvenci testu a prahové hodnoty pro neúspěšné kontroly a dobu odezvy. Pak vyberte Přidat konfiguraci testu.

    Snímek obrazovky se stránkou přidání testovací konfigurace

  7. Po přidání zdrojů, cílů a testovací konfigurace vyberte Přidat testovací skupinu .

    Snímek obrazovky s nakonfigurovaným přidáním podrobností testovací skupiny

  8. Pokud chcete vytvořit výstrahy, vyberte možnost Další: Vytvořit výstrahu >> . Po dokončení vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Zobrazení výsledků

  1. Přejděte k prostředku služby Network Watcher a v části Monitorování vyberte Monitorování připojení. Po 5 minutách by se měl nový monitor připojení zobrazit. Pokud chcete zobrazit síťové topologie a výkonnostní grafy monitorování připojení, vyberte test z rozevíracího seznamu testovací skupiny.

    Snímek obrazovky se stránkou přehledu monitorování připojení

  2. Na panelu Analýza výkonu můžete zobrazit procento neúspěšných kontrol a výsledky jednotlivých testů pro dobu odezvy. Časový rámec zobrazených dat můžete upravit výběrem rozevíracího seznamu v horní části panelu.

    Snímek obrazovky s panelem analýzy výkonu

  3. Zavření panelu Analýza výkonu odhalí topologii sítě zjištěnou monitorováním připojení mezi vybranými zdrojovými a cílovými koncovými body. Toto zobrazení ukazuje obousměrné cesty provozu mezi zdrojovými a cílovými koncovými body. Můžete také zobrazit latenci směrování po směrování paketů předtím, než se dostanou do hraniční sítě Microsoftu.

    Snímek obrazovky síťové topologie v monitorování připojení

    Výběrem libovolného segmentu směrování v zobrazení topologie se zobrazí další informace o segmentu směrování. Všechny problémy zjištěné monitorováním připojení o směrování se zobrazí tady.

    Snímek obrazovky s dalšími informacemi pro segment směrování sítě

Další kroky

Další informace o monitorování Azure ExpressRoute