Freigeben über

Konfigurieren des Verbindungsmonitors für Azure ExpressRoute

  • Artikel

Dieser Artikel führt Sie durch die Konfiguration einer Verbindungsmonitorerweiterung zur Überwachung von ExpressRoute. Der Verbindungsmonitor ist eine cloudbasierte Lösung für die Netzwerküberwachung, die die Konnektivität zwischen Azure-Cloudbereitstellungen und lokalen Standorten (Zweigstellen usw.) verfolgt. Es ist Teil von Azure Monitor-Protokollen und ermöglicht es Ihnen, die Netzwerkkonnektivität sowohl für private als auch für Microsoft-Peeringverbindungen zu überwachen. Durch Konfigurieren des Verbindungsmonitors für ExpressRoute können Sie Netzwerkprobleme identifizieren und beheben.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.

Mit dem Verbindungsmonitor für ExpressRoute haben Sie folgende Möglichkeiten:

  • Überwachen der Verluste und der Wartezeit über verschiedene VNets sowie das Einrichten von Warnungen
  • Überwachen Sie alle Netzwerkpfade, einschließlich redundanter Pfade.
  • Behandeln von vorübergehenden Netzwerkproblemen und Point-in-Time-Netzwerkproblemen, die schwer reproduzierbar sind
  • Identifizieren Sie bestimmte Netzwerksegmente, die für beeinträchtigte Leistung verantwortlich sind.

Workflow

Überwachungs-Agents werden auf mehreren Servern (lokal und in Azure) installiert. Diese Agents kommunizieren durch Senden von TCP-Handshake-Paketen, sodass Azure die Netzwerktopologie und Datenverkehrspfade zuordnen kann.

  1. Erstellen eines Log Analytics-Arbeitsbereichs
  2. Installieren und Konfigurieren von Software-Agents (nur für Microsoft-Peering erforderlich):
    • Installieren Sie Überwachungs-Agents auf lokalen Servern und Azure VMs (für das private Peering).
    • Konfigurieren Sie Einstellungen auf Überwachungs-Agent-Servern, um die Kommunikation zuzulassen (zum Beispiel offene Firewallports).
  3. Konfigurieren Sie Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSG), um die Kommunikation zwischen Überwachungs-Agents auf Azure-VMs und lokalen Agents zu ermöglichen.
  4. Aktivieren Sie Network Watcher für Ihr Abonnement.
  5. Einrichten der Überwachung durch Erstellen von Verbindungsmonitoren mit Testgruppen, um Quell- und Zielendpunkte in Ihrem Netzwerk zu überwachen.

Wenn Sie bereits Netzwerkleistungsmonitor (veraltet) oder Verbindungsmonitor verwenden und über einen Log Analytics-Arbeitsbereich in einer unterstützten Region verfügen, können Sie die Schritte 1 und 2 überspringen und mit Schritt 3 beginnen.

Erstellen eines Arbeitsbereichs

Erstellen Sie einen Arbeitsbereich im Abonnement mit den VNets, die mit der ExpressRoute-Leitung verknüpft sind.

  1. Melden Sie sich beim Azure-Portal an. Wählen Sie in dem Abonnement mit den virtuellen Netzwerken, die mit Ihrer ExpressRoute-Leitung verbunden sind, die Option + Ressource erstellen aus. Suchen Sie nach Log Analytics-Arbeitsbereich, und wählen Sie dann Erstellen aus.

    Hinweis

    Sie können einen neuen Arbeitsbereich erstellen oder einen vorhandenen Arbeitsbereich verwenden. Wenn Sie einen vorhandenen Arbeitsbereich verwenden, stellen Sie sicher, dass sie in die neue Abfragesprache migriert wurde. Weitere Informationen

    Screenshot: Suche nach Log Analytics beim Erstellen einer Ressource

  2. Erstellen Sie einen Arbeitsbereich, indem Sie die folgenden Informationen eingeben oder auswählen:

    Einstellungen Wert
    Subscription Wählen Sie das Abonnement mit der ExpressRoute-Leitung aus.
    Ressourcengruppe Erstellen Sie eine neue Ressourcengruppe, oder wählen Sie eine bestehende Ressourcengruppe aus.
    Name Geben Sie einen Namen ein, um diesen Arbeitsbereich zu identifizieren.
    Region Wählen Sie eine Region aus, in der dieser Arbeitsbereich erstellt wird.

    Screenshot: Registerkarte zum Erstellen eines Log Analytics-Arbeitsbereichs

    Hinweis

    Die ExpressRoute-Verbindung kann sich in einer beliebigen Region in der Welt befinden. Sie muss sich nicht in der gleichen Region befinden wie der Arbeitsbereich.

  3. Wählen Sie zum Überprüfen entsprechend die Option Überprüfen + erstellen und anschließend Erstellen aus, um den Arbeitsbereich bereitzustellen. Fahren Sie nach der Bereitstellung mit dem nächsten Abschnitt fort, um die Überwachungslösung zu konfigurieren.

Konfigurieren der Überwachungslösung

Vervollständigen Sie das Azure PowerShell-Skript, indem Sie die Werte für $SubscriptionId, $location, $resourceGroup und $workspaceName ersetzen. Führen Sie dann das Skript aus, um die Überwachungslösung zu konfigurieren.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Nachdem Sie die Überwachungslösung konfiguriert haben, fahren Sie mit der Installation und Konfiguration der Überwachungs-Agents auf Ihren Servern fort.

Lokales Installieren und Konfigurieren von Agents

Laden Sie die Setup-Datei für den Agent herunter.

  1. Navigieren Sie zum Log Analytics-Arbeitsbereich, und wählen Sie unter Einstellungen die Option Agent-Verwaltung aus. Laden Sie den Agent herunter, der dem Betriebssystem Ihres Computers entspricht.

    Screenshot: Seite „Agent-Verwaltung“ im Arbeitsbereich

  2. Kopieren Sie die Arbeitsbereich-ID und den Primärschlüssel, und fügen Sie diese in Editor ein.

    Screenshot: ID und Primärschlüssel des Arbeitsbereichs

  3. Für Windows-Computer laden Sie das PowerShell-Skript EnableRules.ps1 herunter und führen es in einem PowerShell-Fenster mit Administratorrechten aus. Das Skript öffnet den relevanten Firewallport für TCP-Transaktionen.

    Ändern Sie für Linux-Computer die Portnummer manuell:

    • Navigieren Sie zu /var/opt/microsoft/omsagent/npm_state.
    • Öffnen Sie die Datei npmdregistry.
    • Ändern Sie den Wert für die Portnummer PortNumber:<port of your choice>.

Installieren des Log Analytics-Agents auf jedem Überwachungsserver

Installieren Sie den Log Analytics-Agent auf mindestens zwei Servern auf beiden Seiten der ExpressRoute-Verbindung zur Redundanz. Führen Sie folgende Schritte aus:

  1. Wählen Sie das entsprechende Betriebssystem aus, um die Schritte zum Installieren des Log Analytics-Agents auf Ihren Servern durchzuführen:

  2. Nach der Installation wird der Microsoft Monitoring Agent in der Systemsteuerung angezeigt. Überprüfen Sie Ihre Konfiguration und Verifizieren Sie die Konnektivität des Agents mit den Azure Monitor-Protokollen.

  3. Wiederholen Sie die Schritte 1 und 2 für andere lokale Computer, die Sie überwachen möchten.

Installieren des Network Watcher-Agents auf jedem Überwachungsserver

Neuer virtueller Azure-Computer

Wenn Sie eine neue Azure-VM für die Überwachung der Konnektivität erstellen, können Sie den Netzwerküberwachungs-Agent während der VM-Erstellung installieren.

Vorhandener virtueller Azure-Computer

Wenn Sie eine vorhandene VM verwenden, installieren Sie den Netzwerk-Agent separat für Linux und Windows.

Öffnen von Firewallports auf Überwachungs-Agent-Servern

Stellen Sie sicher, dass Firewallregeln TCP- oder ICMP-Pakete zwischen Quell- und Zielservern für die Verbindungsüberwachung zulassen.

Windows

Führen Sie das PowerShell-Skript "EnableRules " (zuvor heruntergeladen) in einem PowerShell-Fenster mit Administratorrechten aus. Dieses Skript erstellt die erforderlichen Registrierungsschlüssel und Windows-Firewallregeln.

Hinweis

Das Skript konfiguriert Windows-Firewallregeln nur auf dem Server, auf dem es ausgeführt wird. Stellen Sie sicher, dass Netzwerkfirewalls Datenverkehr für den TCP-Port zulassen, der von Verbindungsmonitor verwendet wird.

Linux

Portnummern manuell ändern:

  1. Navigieren Sie zu /var/opt/microsoft/omsagent/npm_state.
  2. Öffnen Sie die Datei npmdregistry.
  3. Ändern Sie den Wert für die Portnummer PortNumber:<port of your choice>. Stellen Sie sicher, dass die gleiche Portnummer für alle Agents in einem Arbeitsbereich verwendet wird.

Konfigurieren von Regeln für Netzwerksicherheitsgruppen

Um Server in Azure zu überwachen, konfigurieren Sie NSG-Regeln, um TCP- oder ICMP-Datenverkehr vom Verbindungsmonitor zuzulassen. Der Standardport lautet 8084.

Weitere Informationen über NSG finden Sie im Tutorial zum Filtern des Netzwerkdatenverkehrs.

Hinweis

Stellen Sie sicher, dass Agents (sowohl lokal als auch Azure) installiert sind, und führen Sie das PowerShell-Skript aus, bevor Sie fortfahren.

Aktivieren von Network Watcher

Stellen Sie sicher, dass Network Watcher für Ihr Abonnement aktiviert ist. Weitere Informationen finden Sie unter Aktivieren von Network Watcher.

Erstellen eines Verbindungsmonitors

Eine allgemeine Übersicht über das Erstellen eines Verbindungsmonitors, Tests und Testgruppen finden Sie unter Erstellen eines Verbindungsmonitors. Folgen Sie diesen Schritten, um die Verbindungsüberwachung für privates Peering und Microsoft-Peering zu konfigurieren:

  1. Navigieren Sie im Azure-Portal zu Ihrer Network Watcher-Ressource, und wählen Sie Verbindungsmonitor unter Überwachung aus. Wählen Sie " Erstellen" aus, um einen neuen Verbindungsmonitor zu erstellen.

    Screenshot: Verbindungsmonitor in Network Watcher

  2. Wählen Sie auf der Registerkarte Grundlagen dieselbe Region aus, in der Sie Ihren Log Analytics-Arbeitsbereich für das Feld Region bereitgestellt haben. Wählen Sie für die Arbeitsbereichskonfiguration den vorhandenen Log Analytics-Arbeitsbereich aus, den Sie zuvor erstellt haben. Wählen Sie dann Weiter: Testgruppen >> aus.

    Screenshot: Registerkarte der „Grundeinstellungen“ zum Erstellen des Verbindungsmonitors

  3. Auf der Seite Testgruppendetails hinzufügen fügen Sie die Quell- und Zielendpunkte für Ihre Testgruppe hinzu. Geben Sie einen Namen für diese Testgruppe ein.

    Screenshot: Seite „Testgruppendetails hinzufügen“

  4. Wählen Sie Quelle hinzufügen aus, und navigieren Sie zur Registerkarte Nicht-Azure-Endpunkte . Wählen Sie die lokalen Ressourcen aus, auf denen der Log Analytics-Agent installiert ist, den Sie überwachen möchten, und wählen Sie dann "Endpunkte hinzufügen"aus.

    Screenshot: Hinzufügen von Quellendpunkten

  5. Klicken Sie auf Ziele hinzufügen.

    Um die Konnektivität über das private ExpressRoute-Peering zu überwachen, navigieren Sie zur Registerkarte "Azure-Endpunkte ". Wählen Sie die Azure-Ressourcen aus, auf denen der Network Watcher-Agent installiert ist, den Sie überwachen möchten. Wählen Sie die private IP-Adresse jeder Ressource in der IP-Spalte aus. Wählen Sie Endpunkte hinzufügen aus.

    Screenshot: Hinzufügen von Azure-Zielendpunkten

    Um die Konnektivität über ExpressRoute Microsoft-Peeringzu überwachen, navigieren Sie zur Registerkarte "Externe Adressen ". Wählen Sie die Microsoft Services-Endpunkte aus, die Sie überwachen möchten. Wählen Sie Endpunkte hinzufügen aus.

    Screenshot: Hinzufügen von externen Zielendpunkten

  6. Wählen Sie Test Konfiguration hinzufügen aus. Wählen Sie als Protokoll TCP aus, und geben Sie den Zielport ein, den Sie auf Ihren Servern geöffnet haben. Konfigurieren Sie Ihre Testhäufigkeit und die Schwellenwerte für fehlerhafte Prüfungen und die Roundtripzeit. Wählen Sie Test Konfiguration hinzufügen aus.

    Screenshot: Seite „Testkonfiguration hinzufügen“

  7. Wählen Sie Testgruppe hinzufügen aus, sobald Sie Ihre Quellen, Ziele und die Testkonfiguration hinzugefügt haben.

    Screenshot: Konfigurieren eines Details von „Testgruppendetails hinzufügen“

  8. Wählen Sie Weiter: Warnung erstellen >>aus, wenn Sie Warnungen erstellen möchten. Nachdem Sie fertig sind, wählen Sie Überprüfen + erstellen und danach Erstellen aus.

Anzeigen der Ergebnisse

  1. Navigieren Sie zu Ihrer Network Watcher-Ressource, und wählen Sie Verbindungsmonitor unter Überwachung aus. Der neue Verbindungsmonitor sollte nach fünf Minuten angezeigt werden. Um die Netzwerktopologie und die Leistungsdiagramme des Verbindungsmonitors anzuzeigen, wählen Sie den Test in der Dropdownliste der Testgruppen aus.

    Screenshot: Übersichtsseite des Verbindungsmonitors

  2. Zeigen Sie im PanelLeistungsanalyse den Prozentsatz der Überprüfungsfehler und die Ergebnisse der Roundtripzeit jedes Tests an. Passen Sie den Zeitrahmen für die angezeigten Daten mithilfe der Dropdownliste am oberen Rand des Panels an.

    Screenshot: Panel „Leistungsanalyse“

  3. Wenn Sie das Panel Leistungsanalyse schließen, wird die vom Verbindungsmonitor ermittelte Netzwerktopologie zwischen den Quell- und Zielendpunkten angezeigt. In dieser Ansicht werden die bidirektionalen Datenverkehrspfade und die Hop-by-Hop-Latenz angezeigt, bevor Sie das Microsoft-Edgenetzwerk erreichen.

    Screenshot: Netzwerktopologie im Verbindungsmonitor

    Wenn Sie einen Hop in der Topologieansicht auswählen, werden zusätzliche Informationen über den Hop angezeigt. Alle vom Verbindungsmonitor erkannten Probleme werden hier angezeigt.

    Screenshot: Weitere Informationen zu einem Netzwerkhop

Nächste Schritte

Weitere Informationen zum Überwachen von Azure ExpressRoute