Partage via

Configurer le Moniteur de connexion pour Azure ExpressRoute

  • Article

Cet article vous guide dans la configuration d’une extension Moniteur de connexion pour monitorer ExpressRoute. Le Moniteur de connexion est une solution de monitoring réseau basée sur le cloud qui supervise la connectivité entre les déploiements cloud Azure et les emplacements locaux (comme les succursales). Il fait partie des journaux Azure Monitor et vous permet de monitorer la connectivité réseau pour les connexions de peering privé et Microsoft. En configurant le Moniteur de connexion pour ExpressRoute, vous pouvez identifier les problèmes de réseau et les résoudre.

Remarque

Cet article a récemment été mis à jour pour utiliser le terme journaux d’activité Azure Monitor au lieu de Log Analytics. Les données de journal sont toujours stockées dans un espace de travail Log Analytics, et elles sont toujours collectées et analysées par le même service Log Analytics. Nous mettons la terminologie à jour pour mieux refléter le rôle des journaux d’activité dans Azure Monitor. Pour plus d'informations, consultez Modifications de la terminologie d'Azure Monitor.

Avec le Moniteur de connexion pour ExpressRoute, vous pouvez :

  • Superviser les pertes et la latence entre différents réseaux virtuels et définir des alertes.
  • Monitorer tous les chemins réseau, même les chemins redondants.
  • Résoudre les problèmes réseau temporaires et ponctuels qui sont difficiles à répliquer.
  • Identifier les segments réseau spécifiques responsables de la dégradation des performances.

Workflow

Des agents de surveillance sont installés sur plusieurs serveurs, en local et sur Azure. Ces agents communiquent en envoyant des paquets de négociation TCP, ce qui permet à Azure de mapper la topologie réseau et les chemins de trafic.

  1. Créez un espace de travail Log Analytics.
  2. Installer et configurer des agents logiciels (inutile pour le peering Microsoft uniquement) :
    • Installer des agents de monitoring sur des serveurs locaux et des machines virtuelles Azure (pour le peering privé).
    • Configurer les paramètres sur les serveurs d’agent de monitoring pour autoriser la communication (par exemple, ouvrir des ports de pare-feu).
  3. Configurer des règles de groupe de sécurité réseau (NSG) pour autoriser la communication entre les agents de monitoring sur les machines virtuelles Azure et les agents locaux.
  4. Activez Network Watcher sur votre abonnement.
  5. Configurer le monitoring en créant des moniteurs de connexion avec des groupes de test pour monitorer les points de terminaison source et de destination sur votre réseau.

Si vous utilisez déjà Network Performance Monitor (déprécié) ou le Moniteur de connexion et que vous avez un espace de travail Log Analytics dans une région prise en charge, vous pouvez ignorer les étapes 1 et 2, et commencer à l’étape 3.

Créer un espace de travail

Créez un espace de travail dans l’abonnement où les réseaux virtuels sont liés au circuit ExpressRoute.

  1. Connectez-vous au portail Azure. Dans l’abonnement où les réseaux virtuels sont connectés à votre circuit ExpressRoute, sélectionnez + Créer une ressource. Recherchez Espace de travail Log Analytics, puis sélectionnez Créer.

    Remarque

    Vous pouvez créer un espace de travail ou utiliser un espace de travail existant. Si vous utilisez un espace de travail existant, vérifiez qu’il a été migré vers le nouveau langage de requête. Plus d’informations...

    Capture d’écran de la recherche de Log Analytics dans Créer une ressource.

  2. Créez un espace de travail en entrant ou en sélectionnant les informations suivantes :

    Paramètres Valeur
    Abonnement Sélectionnez l’abonnement avec le circuit ExpressRoute.
    Groupe de ressources Créez un groupe de ressources ou sélectionnez-en un existant.
    Name Entrez un nom pour identifier cet espace de travail.
    Région Sélectionnez une région où créer l’espace de travail.

    Capture d’écran de l’onglet Informations de base de la page Créer un espace de travail Log Analytics.

    Notes

    Le circuit ExpressRoute peut être n’importe où dans le monde. Il ne doit pas nécessairement se trouver dans la même région que l’espace de travail.

  3. Sélectionnez Vérifier + créer pour valider, puis Créer pour déployer l’espace de travail. Après le déploiement, passez à la section suivante pour configurer la solution de monitoring.

Configurer des solutions de supervision

Terminez le script Azure PowerShell en remplaçant les valeurs $SubscriptionId, $location, $resourceGroup et $workspaceName. Exécutez ensuite le script pour configurer la solution de supervision.

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

Une fois que vous avez configuré la solution de monitoring, installez et configurez les agents de monitoring sur vos serveurs.

Installer et configurer des agents localement

Télécharger le fichier de configuration de l’agent

  1. Accédez à l’espace de travail Log Analytics, puis sélectionnez Gestion des agents sous Paramètres. Téléchargez l’agent qui correspond au système d’exploitation de votre machine.

    Capture d’écran de la page Gestion des agents dans l’espace de travail.

  2. Copiez l’ID d’espace de travail et la clé primaire et collez-les dans le bloc-notes.

    Capture d’écran de l’ID et de la clé primaire de l’espace de travail.

  3. Pour les machines Windows, téléchargez et exécutez ce script PowerShell EnableRules.ps1 dans une fenêtre PowerShell avec des privilèges d’administrateur. Le script ouvre le port de pare-feu approprié pour les transactions TCP.

    Pour les machines Linux, changez le numéro de port manuellement :

    • Accédez à /var/opt/microsoft/omsagent/npm_state.
    • Ouvrez le fichier npmdregistry.
    • Changez la valeur du numéro de port PortNumber:<port of your choice>.

Installer l’agent Log Analytics sur chaque serveur de supervision

Installez l’agent Log Analytics sur au moins deux serveurs des deux côtés de la connexion ExpressRoute, pour la redondance. Effectuez les étapes suivantes :

  1. Sélectionnez le système d’exploitation approprié pour effectuer les étapes d’installation de l’agent Log Analytics sur vos serveurs :

  2. Après l’installation, Microsoft Monitoring Agent s’affiche dans le Panneau de configuration. Passez en revue votre configuration, puis vérifier la connectivité de l’agent aux journaux Azure Monitor.

  3. Répétez les étapes 1 et 2 pour les autres machines locales que vous voulez monitorer.

Installer l’Agent Network Watcher sur chaque serveur de supervision

Nouvelle machine virtuelle Azure

Si vous créez une machine virtuelle Azure pour le monitoring de la connectivité, vous pouvez installer l’Agent Network Watcher pendant la création de la machine virtuelle.

Machine virtuelle Azure existante

Si vous utilisez une machine virtuelle existante, installez l’Agent Network séparément pour Linux et pour Windows.

Ouvrir les ports de pare-feu sur les serveurs de l’agent de monitoring

Vérifiez que les règles de pare-feu autorisent les paquets sur TCP ou ICMP entre les serveurs source et de destination pour le monitoring de la connexion.

Windows

Exécutez le script PowerShell EnableRules (téléchargé précédemment) dans une fenêtre PowerShell avec des privilèges d’administrateur. Ce script crée les clés de Registre et les règles de pare-feu Windows nécessaires.

Remarque

Le script configure les règles de pare-feu Windows uniquement sur le serveur sur lequel il s’exécute. Vérifiez que les pare-feu réseau autorisent le trafic pour le port TCP utilisé par le Moniteur de connexion.

Linux

Changez manuellement les numéros de port :

  1. Accédez à /var/opt/microsoft/omsagent/npm_state.
  2. Ouvrez le fichier npmdregistry.
  3. Changez la valeur du numéro de port PortNumber:<port of your choice>. Vérifiez que le même numéro de port est utilisé pour tous les agents d’un espace de travail.

Configurer des règles de groupe de sécurité réseau

Pour monitorer des serveurs dans Azure, configurez des règles NSG pour autoriser le trafic TCP ou ICMP en provenance du Moniteur de connexion. Le port par défaut est 8084.

Pour plus d’informations sur NSG, consultez le tutoriel sur le filtrage du trafic réseau.

Remarque

Vérifiez que les agents sont installés (localement et sur Azure), et exécutez le script PowerShell avant de continuer.

Activer Network Watcher

Vérifiez que Network Watcher est activé pour votre abonnement. Pour plus d’informations, consultez Activer Network Watcher.

Créer un moniteur de connexion

Pour obtenir une vue d’ensemble de la création d’un moniteur de connexion, de tests et de groupes de tests, consultez Créer un moniteur de connexion. Suivez ces étapes pour configurer le monitoring de la connexion pour le peering privé et le peering Microsoft :

  1. Dans le portail Azure, accédez à votre ressource Network Watcher, puis sélectionnez Moniteur de connexion sous Supervision. Sélectionnez Créer pour créer un moniteur de connexion.

    Capture d’écran du moniteur de connexion dans Network Watcher.

  2. Sous l’onglet Informations de base, sélectionnez la région où vous avez déployé votre espace de travail Log Analytics dans le champ Région. Pour Configuration de l’espace de travail, sélectionnez l’espace de travail Log Analytics que vous avez créé précédemment. Sélectionnez ensuite Suivant : Groupes de tests >>.

    Capture d’écran de l’onglet Informations de base pour la création du Moniteur de connexion.

  3. Dans la page Ajouter les détails du groupe de tests, ajoutez les points de terminaison source et de destination de votre groupe de tests. Entrez un Nom pour ce groupe de tests.

    Capture d’écran de la page Ajouter les détails du groupe de tests.

  4. Sélectionnez Ajouter la source et accédez à l’onglet Points de terminaison non-Azure. Choisissez les ressources locales à monitorer qui ont l’agent Log Analytics installé, puis sélectionnez Ajouter des points de terminaison.

    Capture d’écran de l’ajout de points de terminaison sources.

  5. Sélectionnez Ajouter des destinations.

    Pour monitorer la connectivité sur un peering privé ExpressRoute, accédez à l’onglet Points de terminaison Azure. Choisissez les ressources Azure à monitorer qui ont l’agent Network Watcher installé. Sélectionnez l’adresse IP privée de chaque ressource dans la colonne IP. Sélectionnez Ajouter des points de terminaison.

    Capture d’écran de l’ajout de points de terminaison de destination Azure.

    Pour monitorer la connectivité sur un peering Microsoft ExpressRoute, accédez à l’onglet Adresses externes. Sélectionnez les points de terminaison des services Microsoft que vous voulez monitorer. Sélectionnez Ajouter des points de terminaison.

    Capture d’écran de l’ajout de points de terminaison de destination externes.

  6. Sélectionnez Ajouter une configuration de test. Choisissez TCP comme protocole, puis entrez le port de destination que vous avez ouvert sur vos serveurs. Configurez la fréquence de test et les seuils pour les échecs de vérification et la durée d’aller-retour. Sélectionnez Ajouter une configuration de test.

    Capture d’écran de la page Ajouter une configuration de test.

  7. Sélectionnez Ajouter un groupe de tests une fois que vous avez ajouté vos sources, vos destinations et votre configuration de test.

    Capture d’écran de la page Ajouter les détails du groupe de tests configurée.

  8. Sélectionnez Suivant : Créer une alerte >> si vous voulez créer des alertes. Une fois l’opération terminée, sélectionnez Vérifier + créer, puis Créer.

Afficher les résultats

  1. Accédez à votre ressource Network Watcher, puis sélectionnez Moniteur de connexion sous Supervision. Vous devriez voir votre nouveau moniteur de connexion au bout de 5 minutes. Pour afficher la topologie du réseau et les graphiques de performances du moniteur de connexion, sélectionnez le test dans la liste déroulante des groupes de tests.

    Capture d’écran de la page de vue d’ensemble du moniteur de connexion.

  2. Dans le panneau Analyse des performances, consultez le pourcentage d’échec de vérification et les résultats de durée d’aller-retour de chaque test. Ajustez le délai d’exécution des données affichées en utilisant la liste déroulante en haut du panneau.

    Capture d’écran du panneau Analyse des performances.

  3. La fermeture du panneau Analyse des performances révèle la topologie du réseau détectée par le moniteur de connexion entre les points de terminaison source et de destination. Cette vue montre les chemins de trafic bidirectionnels et la latence tronçon par tronçon avant d’atteindre le réseau de périmètre de Microsoft.

    Capture d’écran de la topologie du réseau dans le Moniteur de connexion.

    Si vous sélectionnez un tronçon dans la vue de la topologie, des informations supplémentaires sur le tronçon s’affichent. Tous les problèmes détectés par le moniteur de connexion s’affichent ici.

    Capture d’écran d’informations supplémentaires concernant un tronçon réseau.

Étapes suivantes

En savoir plus sur la supervision d’Azure ExpressRoute