ExpressRoute に使用する Network Performance Monitor の構成 (非推奨)
この記事は、ExpressRoute を監視するよう Network Performance Monitor の拡張機能を構成するのに役立ちます。 Network Performance Monitor (NPM) は、Azure クラウド デプロイとオンプレミス拠点 (支社など) との間の接続性を監視するクラウドベースのネットワーク監視ソリューションです。 NPM は、Azure Monitor ログの一部です。 NPM は、ExpressRoute 用の拡張機能を提供して、プライベート ピアリングまたは Microsoft ピアリングを使用するように構成された ExpressRoute 回線上のネットワーク パフォーマンスを監視できるようにします。 ExpressRoute に対して NPM を構成することにより、特定して排除すべきネットワークの問題を検出することができます。 このサービスは、Azure Government Cloud でも使用可能です。
重要
2021 年 7 月 1 日以降、既存のワークスペースに新しいテストを追加したり、Network Performance Monitor で新しいワークスペースを有効にしたりできなくなります。 接続モニター (クラシック) に新しい接続モニターを追加することもできなくなります。 2021 年 7 月 1 日より前に作成されたテストおよび接続モニターは引き続き使用することができます。 現在のワークロードに対するサービスの中断を最小限に抑えるには、2024 年 2 月 29 日より前に、Network Performance Monitor からテストを移行するか、接続モニター (クラシック) から Azure Network Watcher の新しい接続モニターに移行します。
注意
この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。
次のようにすることができます。
各種 VNet 間の損失と待ち時間を監視し、アラートを設定する
ネットワーク上のすべてのパス (冗長パスを含む) を監視する
再現が難しい、ネットワークに関する一過性の問題と特定時点の問題をトラブルシューティングする
パフォーマンス低下の原因となっている特定のセグメントをネットワーク上で見つけ出す
仮想ネットワークごとのスループットを把握する (各 VNet にエージェントがインストールされている場合)
過去の時点の ExpressRoute システム状態を確認する
ワークフロー
監視エージェントは、複数のサーバー (オンプレミスと Azure の両方) にインストールされます。 これらのエージェントは互いに通信を行いますが、データは送信せず、TCP ハンドシェイク パケットを送信します。 エージェント間の通信によって、Azure は、トラフィックが通過する可能性のある経路とネットワーク トポロジとをマッピングすることができます。
- NPM ワークスペースを作成します。 このワークスペースは Log Analytics ワークスペースと同じです。
- ソフトウェア エージェントをインストールして構成します (監視を Microsoft ピアリング経由でのみ実行する場合は、ソフトウェア エージェントのインストールと構成は必要ありません)。
- オンプレミス サーバーと Azure VM に監視エージェントをインストールします (プライベート ピアリングの場合)。
- 監視エージェントが通信を行うことができるように、監視エージェント サーバー上の設定を構成します (ファイアウォール ポートを開放するなど)。
- Azure VM にインストールされている監視エージェントがオンプレミスの監視エージェントと通信を行うことができるようにネットワーク セキュリティ グループ (NSG) 規則を構成します。
- 監視を設定します。NPM で表示可能なネットワークを自動検出して管理します。
既に Network Performance Monitor を使用して他のオブジェクトやサービスを監視していて、既にワークスペースがサポートされているいずれかのリージョンに存在する場合は、手順 1 と手順 2 を省略し、手順 3 で構成を始めてください。
手順 1:ワークスペースを作成する
ExpressRoute 回線への VNet リンクを含んだサブスクリプションにワークスペースを作成します。
ExpressRoute 回線に VNET がピアリングされているサブスクリプションを Azure Portal で選択します。 [Marketplace] のサービス一覧で "Network Performance Monitor" を検索します。 検索結果で [Network Performance Monitor] ページを選んで開きます。
Note
新しいワークスペースを作成するか、既存のワークスペースを使用することができます。 既存のワークスペースを使用する場合は、ワークスペースが新しいクエリ言語に移行されていることを確認する必要があります。 詳細情報...
[Network Performance Monitor] メイン ページの一番下にある [作成] を選んで [Network Performance Monitor - 新しいソリューションの作成] ページを開きます。 [Log Analytics ワークスペース - ワークスペースを選択する] を選んで、ワークスペース ページを開きます。 [+ 新しいワークスペースの作成] を選んで、ワークスペース ページを開きます。
[Log Analytics ワークスペース] ページの [新規作成] を選択し、次の設定を構成します。
[Log Analytics ワークスペース] - ワークスペースの名前を入力します。
[サブスクリプション] - 複数のサブスクリプションがある場合は、新しいワークスペースに関連付けるサブスクリプションを 1 つ選択します。
[リソース グループ] - リソース グループを作成するか、既存のリソース グループを使用します。
[場所] - この場所は、エージェント接続ログに使用されるストレージ アカウントの場所を指定するために使用します。
[価格レベル] - 価格レベルを選択します。
Note
ExpressRoute 回線は、世界のどこに配置されていてもかまいません。 ワークスペースと同じリージョンに存在する必要はありません。
[OK] を選んで、設定テンプレートを保存してデプロイします。 テンプレートの検証後、[作成] を選んでワークスペースをデプロイします。
ワークスペースがデプロイされたら、作成した [NetworkMonitoring(<名前>)] リソースに移動します。 設定を確認して、[このソリューションにはさらに構成が必要です] を選びます。
手順 2:エージェントのインストールと構成
2.1: エージェントのセットアップ ファイルをダウンロードする
リソースの [ネットワーク パフォーマンス モニターの構成] ページの [共通設定] タブに移動します。 [Log Analytics エージェントをインストールする] セクションでサーバーのプロセッサに対応するエージェントを選び、セットアップ ファイルをダウンロードします。
次に、 [ワークスペース ID] と [主キー] をメモ帳にコピーします。
[Configure Log Analytics Agents for monitoring using TCP protocol](TCP プロトコルを使用して Log Analytics エージェントを監視用に構成します) セクションで、PowerShell スクリプトをダウンロードします。 この PowerShell スクリプトは、TCP トランザクションに必要なファイアウォール ポートを開くのに役立ちます。
2.2: (監視対象となるすべての VNET の) 各監視サーバーに監視エージェントをインストールする
冗長性のため、ExpressRoute 接続の両側に、少なくとも 2 つのエージェントをインストールすることをお勧めします (たとえば、オンプレミス、Azure VNET)。 エージェントは Windows Server (2008 SP1 以降) にインストールする必要があります。 Windows デスクトップ OS や Linux OS を使用した ExpressRoute 回線の監視はサポートされません。 次の手順を使用してエージェントをインストールします。
Note
SCOM でプッシュされるエージェント (MMA を含む) は、Azure でホストされている場合に場所を一貫して検出できないことがあります。 ExpressRoute を監視するために Azure VNET でこれらのエージェントを使用しないことをお勧めします。
ExpressRoute の監視に使用する各サーバーに対し、セットアップを実行してエージェントをインストールします。 監視に使用するサーバーとしては、VM とオンプレミスとがあり、どちらもインターネット アクセスが必須です。 エージェントは、オンプレミスに少なくとも 1 つインストールすると共に、Azure で監視する各ネットワーク セグメントにつき 1 つインストールする必要があります。
[ようこそ] ページで [次へ] をクリックします。
[ライセンス条項] ページの記述内容を確認し、 [同意する] を選択します。
[インストール先フォルダー] ページで、既定のインストール フォルダーを変更するか、そのまま使用して、 [次へ] を選択します。
[エージェントのセットアップ オプション] ページで、Azure Monitor ログまたは Operations Manager にエージェントを接続することを選択できます。 また、エージェントを後から構成する場合は、この選択肢を空欄にしておいてもかまいません。 必要な選択を行ったら、[次へ] を選びます。
Azure Log Analytics に接続することを選んだ場合は、前のセクションでメモ帳にコピーしておいたワークスペース ID とワークスペース キー (主キー) を貼り付けます。 次に、 [次へ] を選択します。
Operations Manager に接続することを選んだ場合は、 [管理グループの構成] ページで [管理グループ名] 、 [管理サーバー] 、 [管理サーバー ポート] に入力します。 次に、 [次へ] を選択します。
[エージェント アクション アカウント] ページで、[ローカル システム] アカウントまたは [ドメインまたはローカル コンピューターのアカウント] を選択します。 次に、 [次へ] を選択します。
[インストールの準備完了] ページで、選択内容を確認し、[インストール] を選択します。
[構成は正常に終了しました] ページで [完了] を選択します。
完了すると、コントロール パネルに Microsoft Monitoring Agent が表示されます。 そこでは構成を検証して、エージェントが Azure Monitor ログに接続されていることを確認できます。 接続されると、エージェントにより "Microsoft Monitoring Agent は Microsoft Operations Management Suite サービスに正常に接続しました" というメッセージが表示されます。
監視対象となるすべての VNET に対してこの手順を繰り返します。
2.3: プロキシ設定の構成 (省略可能)
Web プロキシを使用してインターネットにアクセスしている場合、以下の手順を使用して、Microsoft Monitoring Agent のプロキシ設定を行います。 これらの手順は、各サーバーに対して実行してください。 構成が必要なサーバーの数が多い場合には、このプロセスを自動化するスクリプトを使った方が作業が簡単に済むことも考えられます。 その場合は、「スクリプトを使って Microsoft Monitoring Agent のプロキシ設定を構成するには」を参照してください。
コントロール パネルを使って Microsoft Monitoring Agent のプロキシ設定を構成するには:
コントロール パネルを開きます。
[Microsoft Monitoring Agent] を開きます。
[プロキシ設定] タブを選びます。
[プロキシ サーバーを使用する] をオンにして、URL と (必要に応じて) ポート番号を入力します。 プロキシ サーバーで認証が必要な場合には、プロキシ サーバーにアクセスするためのユーザー名とパスワードを入力します。
2.4: エージェントの接続を確認する
エージェントが通信できているかどうかは簡単に確認できます。
監視エージェントがインストールされているサーバーのコントロール パネルを開きます。
[Microsoft Monitoring Agent] を開きます。
[Azure Log Analytics] タブを選びます。
[状態] 列に、エージェントが Azure Monitor ログに正常に接続されていることが表示されます。
2.5: 監視エージェント サーバーのファイアウォール ポートを開放する
TCP プロトコルを使用するには、ファイアウォール ポートを開放して、監視エージェントを確実に通信可能な状態にする必要があります。
PowerShell スクリプトを実行して、Network Performance Monitor に必要なレジストリ キーを作成できます。 また、このスクリプトにより、監視エージェントが互いに TCP 接続を作成することを許可する Windows ファイアウォール規則も作成されます。 スクリプトによって作成されたレジストリ キーは、デバッグ ログを記録するかどうかと、ログ ファイルのパスを指定します。 また、通信で使用されるエージェント TCP ポートを定義します。 これらのキーの値はスクリプトによって自動的に設定されます。 これらのキーを手動で変更しないでください。
ポート 8084 は既定で開放されます。 パラメーター "portNumber" をスクリプトに指定することでカスタム ポートを使用できます。 ただし、その場合は、スクリプトの実行対象となるすべてのサーバーで同じポートを指定する必要があります。
Note
PowerShell スクリプト "EnableRules" によって Windows ファイアウォール規則を構成できるのは、スクリプトを実行したコンピューターだけです。 ネットワーク ファイアウォールがある場合、ネットワーク パフォーマンス モニターによって使用されている TCP ポート宛てのトラフィックを必ず許可する必要があります。
エージェント サーバー上で、管理特権で PowerShell ウィンドウを開きます。 あらかじめダウンロードしておいた PowerShell スクリプト EnableRules を実行します。 パラメーターは一切使用しません。
手順 3:ネットワーク セキュリティ グループ規則を構成する
Azure 内のエージェント サーバーを監視するには、NPM の代理トランザクションに使用されるポートの TCP トラフィックを許可するようにネットワーク セキュリティ グループ (NSG) 規則を構成する必要があります。 既定のポートは 8084 で、Azure VM にインストールされた監視エージェントがオンプレミスの監視エージェントと通信できるようになっています。
NSG の詳細については、ネットワーク セキュリティ グループに関するページを参照してください。
Note
この手順に進む前に、エージェント (オンプレミス サーバー エージェントと Azure サーバー エージェントの両方) がインストール済みであること、また PowerShell スクリプトを実行済みであることを確認してください。
手順 4:ピアリング接続を検出する
[すべてのリソース] ページにアクセスし、Network Performance Monitor の概要タイルに移動後、許可リストに登録された NPM ワークスペースを選択します。
[Network Performance Monitor] の概要タイルを選択して、ダッシュボードを表示します。 ダッシュボード内の ExpressRoute ページに、ExpressRoute が "未構成状態" であることが示されます。 [機能のセットアップ] を選んで、Network Performance Monitor の構成ページを開いてください。
構成ページの左側のパネルにある [ExpressRoute ピアリング] タブに移動します。 [今すぐ検出する] を選択します。
検出が完了すると、次の項目を含む一覧が表示されます。
- このサブスクリプションに関連付けられている ExpressRoute 回線のすべての Microsoft ピアリング接続。
- このサブスクリプションに関連付けられている VNet に接続するすべてのプライベート ピアリング接続。
手順 5: モニターを構成する
このセクションでは、モニターを構成します。 監視するピアリングの種類 (プライベート ピアリング または Microsoft ピアリング) に対応する手順に従ってください。
プライベート ピアリング
プライベート ピアリングの場合、検出が完了すると、一意の回線名と VNet 名の規則が表示されます。 初期状態では、これらの規則は無効になっています。
- [このピアリングを監視する] チェック ボックスをオンにします。
- [このピアリングの正常性監視を有効にする] チェック ボックスをオンにします。
- 監視条件を選択します。 しきい値を入力して、正常性イベントを生成するカスタムしきい値を設定できます。 選択したネットワーク ペア/サブネットワーク ペアに対して選択したしきい値を条件の値が上回ると、正常性イベントが生成されます。
- [オンプレミス エージェント] の [エージェントの追加] ボタンを選択して、プライベート ピアリング接続を監視するために使用するオンプレミス サーバーを追加します。 手順 2 のセクションで指定した Microsoft サービス エンドポイントに接続できるエージェントのみを選択してください。 オンプレミスのエージェントは、ExpressRoute 接続を使用してエンドポイントに到達できる必要があります。
- 設定を保存します。
- 規則を有効にして監視対象の値とエージェントを選択した後、30 ~ 60 分ほど待つと、値が反映され始め、[ExpressRoute の監視] タイルが利用できる状態になります。
Microsoft ピアリング
Microsoft ピアリングの場合は、監視する Microsoft ピアリング接続を選んで、設定を行います。
- [このピアリングを監視する] チェック ボックスをオンにします。
- (省略可能) ターゲットの Microsoft サービス エンドポイントを変更できます。 NPM の既定では、Microsoft サービス エンドポイントがターゲットとして選択されます。 NPM では、ExpressRoute を介してオンプレミス サーバーからこのターゲット エンドポイントへの接続が監視されます。
このターゲット エンドポイントを変更するには、[ターゲット:] の [(編集)] リンクを選択して、URL の一覧から別の Microsoft サービス ターゲット エンドポイントを選択します。
カスタムの URL または IP アドレスを使用できます。 このオプションは、Microsoft ピアリングを使用してパブリック IP アドレスで提供される Azure PaaS サービス (Azure Storage、SQL データベース、Web サイトなど) への接続を確立する場合に適しています。 URL の一覧の下部にあるリンク [(カスタム URL または IP アドレスを代わりに使用する)] を選択し、ExpressRoute Microsoft ピアリングで接続される Azure PaaS サービスのパブリック エンドポイントを入力します。
このようなオプション設定を使用している場合は、ここで Microsoft サービス エンドポイントのみが選択されていることを確認してください。 エンドポイントは、ExpressRoute に接続されていて、オンプレミス エージェントから到達可能である必要があります。
- [このピアリングの正常性監視を有効にする] チェック ボックスをオンにします。
- 監視条件を選択します。 しきい値を入力して、正常性イベントを生成するカスタムしきい値を設定できます。 選択したネットワーク ペア/サブネットワーク ペアに対して選択したしきい値を条件の値が上回ると、正常性イベントが生成されます。
- [オンプレミス エージェント] の [エージェントの追加] ボタンを選択して、Microsoft ピアリング接続を監視するために使用するオンプレミス サーバーを追加します。 手順 2 のセクションで指定した Microsoft サービス エンドポイントに接続できるエージェントのみを選択してください。 オンプレミスのエージェントは、ExpressRoute 接続を使用してエンドポイントに到達できる必要があります。
- 設定を保存します。
- 規則を有効にして監視対象の値とエージェントを選択した後、30 ~ 60 分ほど待つと、値が反映され始め、[ExpressRoute の監視] タイルが利用できる状態になります。
手順 6: 監視タイルを表示する
監視タイルが表示されていれば、ExpressRoute 回線と接続リソースが NPM によって監視されます。 Microsoft ピアリングのタイルを選択すると、Microsoft ピアリング接続の正常性をドリルダウンできます。
[Network Performance Monitor] ページ
NPM ページには、ExpressRoute に関して、その回線とピアリングの正常性を大まかに示したページが表示されます。
回線の一覧
監視対象のすべての ExpressRoute 回線の一覧を表示するには、[ExpressRoute 回線] タイルを選びます。 いずれかの回線を選択すると、その正常性状態のほか、パケット損失、帯域幅使用率、待ち時間の各トレンド グラフを表示できます。 これらのグラフは対話操作が可能です。 グラフのプロット対象となる時間枠を自分で選んでカスタマイズすることができます。 グラフ上の領域でマウスをドラッグすることによってデータ ポイントを拡大し、細かく表示することができます。
パケット損失、待ち時間、スループットのトレンド
帯域幅、待ち時間、損失の各グラフは対話操作が可能です。 これらのグラフの任意のセクションをマウス操作で拡大することができます。 また、左上の [アクション] ボタンの下にある [日付/時刻] をクリックすることによって、帯域幅、待ち時間、損失データの表示対象間隔を変更することもできます。
ピアリング一覧
プライベート ピアリング上の仮想ネットワークに対するすべての接続の一覧を表示するには、ダッシュボードの [プライベート ピアリング] タイルを選択します。 ここでいずれかの仮想ネットワークの接続を選択すると、その正常性状態のほか、パケット損失、帯域幅使用率、待ち時間の各トレンド グラフを表示できます。
ノード ビュー
選択した ExpressRoute ピアリング接続のオンプレミス ノードと Azure VM/Microsoft サービス エンドポイントの間のすべてのリンクの一覧を表示するには、[ノード リンクの表示] を選択します。 各リンクの正常性状態に加え関連する損失と待ち時間の傾向を表示できます。
回線トポロジ
回線トポロジを表示するには、[トポロジ] タイルを選びます。 トポロジ ダイアグラムには、ネットワーク上の各セグメントの待ち時間が表示されます。 各レイヤー 3 ホップがダイアグラムのノードで表現されます。 いずれかのホップをクリックすると、そのホップについてのさらに詳しい情報が表示されます。
[フィルター] の下のスライダー バーを動かすことで、視認性を高めて表示範囲をオンプレミスのホップにまで広げることができます。 スライダー バーを左右に動かすと、トポロジ グラフに表示されるホップ数が増減します。 各セグメントの待ち時間が視覚的に確認できるので、ネットワーク上のセグメントの中で、待ち時間の長いセグメントを短時間で切り分けることができます。
回線の詳細なトポロジ ビュー
このビューは、VNet 接続を示しています。