次の方法で共有

Azure ExpressRoute の接続モニターの構成

  • [アーティクル]

この記事では、ExpressRoute を監視するための接続モニター拡張機能の構成について説明します。 接続モニターは、Azure クラウド デプロイとオンプレミス拠点 (例: 支社) との間の接続性を追跡管理する、クラウドベースのネットワーク監視ソリューションです。 これは Azure Monitor ログの一部であり、プライベート接続と Microsoft ピアリング接続の両方についてネットワーク接続性を監視できます。 ExpressRoute の接続モニターを構成すると、ネットワークの問題を特定して解決できます。

Note

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。

ExpressRoute 用の接続モニターでは以下のことが可能です。

  • 各種 VNet 間の損失と待ち時間を監視し、アラートを設定する。
  • すべてのネットワーク パスを監視する (冗長なパスを含め)。
  • 再現が難しい、ネットワークに関する一過性の問題と特定時点の問題をトラブルシューティングする。
  • パフォーマンス低下の原因となっているネットワーク セグメントを具体的に特定する。

ワークフロー

監視エージェントは、複数のサーバー (オンプレミスと Azure の両方) にインストールされます。 これらのエージェントは TCP ハンドシェイク パケットを送信して通信するため、Azure でネットワーク トポロジとトラフィック パスをマップできます。

  1. Log Analytics ワークスペースを作成します。
  2. ソフトウェア エージェントのインストールと構成 (Microsoft ピアリングのみで使用する場合は不要):
    • オンプレミスのサーバーと Azure VM に監視エージェントをインストールします (プライベート ピアリング用)。
    • 通信が許可されるように監視エージェント サーバーの設定を構成します (例: ファイアウォール ポートを開くなど)。
  3. Azure VM 上の監視エージェントとオンプレミス エージェントとの間の通信が許可されるように、ネットワーク セキュリティ グループ (NSG) ルールを構成します。
  4. サブスクリプションで Network Watcher を有効する。
  5. テスト グループを使用して接続モニターを作成し、お使いのネットワーク全体のソース エンドポイントと宛先エンドポイントを監視できるように監視をセットアップします。

既に Network Performance Monitor (非推奨) または接続モニターをお使いのお客様が、サポートされているリージョン内に Log Analytics ワークスペースをお持ちの場合は、手順 1 と 2 をスキップして手順 3 から開始できます。

ワークスペースの作成

ExpressRoute 回線にリンクされた VNet リンクがあるサブスクリプションで、ワークスペースを作成します。

  1. Azure portal にサインインします。 ExpressRoute 回線に接続されている仮想ネットワークがあるサブスクリプションで、[+ リソースの作成] を選択します。 [Log Analytics ワークスペース] を検索してから、 [作成] を選択します。

    Note

    新しいワークスペースを作成するか、既存のワークスペースを使用することができます。 既存のワークスペースをお使いの場合は、ワークスペースが新しいクエリ言語に移行済みであることを確認します。 詳細情報...

  2. 以下の情報を入力または選択し、ワークスペースを作成します。

    設定
    サブスクリプション ExpressRoute 回線があるサブスクリプションを選択します。
    リソース グループ リソース グループを新規で作成するか、既存のものを選択します。
    名前 このワークスペースを識別する名前を入力します。
    リージョン このワークスペースを作成するリージョンを選択します。

    Note

    ExpressRoute 回線は、世界のどこに配置されていてもかまいません。 ワークスペースと同じリージョンに存在する必要はありません。

  3. [確認と作成] を選択し検証し、 [作成] を選択してワークスペースをデプロイします。 デプロイを完了させてから、この次のセクションに進み、監視ソリューションを構成します。

監視ソリューションの構成

$SubscriptionId$location$resourceGroup$workspaceName の値を置き換えて、Azure PowerShell スクリプトを完成させます。 その後、スクリプトを実行して監視ソリューションを構成します。

$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId

$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"

$solution = @{
    Location          = $location
    Properties        = @{
        workspaceResourceId
        workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
    }
    Plan              = @{
        Name          = "NetworkMonitoring($($workspaceName))" 
        Publisher     = "Microsoft"
        Product       = "OMSGallery/NetworkMonitoring"
        PromotionCode = ""
    }
    ResourceName      = "NetworkMonitoring($($workspaceName))" 
    ResourceType      = "Microsoft.OperationsManagement/solutions" 
    ResourceGroupName = $resourceGroup
}

New-AzResource @solution -Force

監視ソリューションを構成してから、お使いのサーバー上に監視エージェントをインストールして構成する作業に進みます。

オンプレミスでのエージェントのインストールと構成

エージェントのセットアップ ファイルをダウンロードする

  1. Log Analytics ワークスペースに移動して、 [設定] から [エージェント管理] を選択します。 マシンのオペレーティング システムに対応するエージェントをダウンロードします。

    ワークスペースのエージェント管理ページのスクリーンショット。

  2. [ワークスペース ID][主キー] をメモ帳にコピーします。

  3. Windows マシンの場合は、この powershell スクリプト EnableRules.ps1 をダウンロードして、管理者特権を使用して PowerShell ウィンドウで実行します。 このスクリプトは、TCP トランザクションに関連するファイアウォール ポートを開放します。

    Linux マシンの場合は、ポート番号を手動で変更してください。

    • /var/opt/microsoft/omsagent/npm_state に移動します。
    • npmdregistry ファイルを開きます。
    • ポート番号 PortNumber:<port of your choice> の値を変更します。

各監視サーバーに Log Analytics エージェントをインストールする

冗長性を確保するために、ExpressRoute 接続の両側にある少なくとも 2 つのサーバーに Log Analytics エージェントをインストールします。 次のステップを実行します。

  1. Log Analytics エージェントをサーバーにインストールする手順のために、適切なオペレーティング システムを選択します。

  2. インストール後、Microsoft Monitoring Agent がコントロール パネルに表示されます。 構成を確認し、エージェントが Azure Monitor ログに接続されていることを検証します

  3. 監視の対象となる他のオンプレミス マシンについて、手順 1 と 2 を繰り返します。

各監視サーバーに Network Watcher エージェントをインストールする

新しい Azure 仮想マシン

接続監視用の Azure VM を新規作成する場合は、VM の作成時に Network Watcher エージェントをインストールできます。

既存の Azure 仮想マシン

既存の仮想マシンを使用する場合は、Linux 用と Windows 用のネットワーク エージェントを別々にインストールします。

監視エージェント サーバー上のファイアウォール ポートを開放する

ファイアウォール規則を確認し、接続監視の対象となる送信元と宛先サーバーの間で TCP または ICMP パケットの通信を許可します。

Windows

EnableRules PowerShell スクリプト (先ほどダウンロードしたもの) を、管理者特権の PowerShell ウィンドウで実行します。 このスクリプトは、必要なレジストリ キーと Windows ファイアウォール規則を作成します。

Note

このスクリプトは、実行予定のサーバーのみに対して Windows ファイアウォール規則を構成します。 接続モニターで使用する TCP ポートについて、ネットワーク ファイアウォールでトラフィックが許可されていることを確認します。

Linux

ポート番号は手動で変更してください。

  1. /var/opt/microsoft/omsagent/npm_state に移動します。
  2. npmdregistry ファイルを開きます。
  3. ポート番号 PortNumber:<port of your choice> の値を変更します。 ワークスペース内のすべてのエージェントで同じポート番号を使用していることを確認します。

ネットワーク セキュリティ グループ規則を構成する

Azure でサーバーを監視するには、NSG ルールを構成して接続モニターからの TCP または ICMP トラフィックを許可します。 既定のポートは 8084 です。

NSG の詳細については、ネットワーク トラフィックのフィルタリングに関するチュートリアルを参照してください。

Note

エージェントがインストールされていることを (オンプレミスと Azure の両方について) 確認し、続行する前に PowerShell スクリプトを実行します。

Network Watcher を有効にする

お使いのサブスクリプションで Network Watcher が有効になっていることを確認します。 詳細については、Network Watcher の有効化に関する記事をご覧ください。

接続モニターを作成する

接続モニター、テスト、テスト グループの作成についての概要は、接続モニターの作成に関する記事を参照してください。 以下の手順に従って、プライベート ピアリングと Microsoft ピアリングの接続監視を構成します。

  1. Azure portal で、Network Watcher リソースに移動し、 [監視] の下の [接続モニター] を選択します。 [作成] を選択し、新しい接続モニターを作成します。

  2. [基本] タブの [リージョン] フィールドで、Log Analytics ワークスペースのデプロイ先と同じリージョンを選択します。 [ワークスペースの構成] で、先ほど作成した既存の Log Analytics ワークスペースを選択します。 次に、[次へ: テスト グループ >>] を選択します。

  3. [テスト グループの詳細の追加] ページで、テスト グループのソース エンドポイントとターゲット エンドポイントを追加します。 このテスト グループの名前を入力します。

  4. [ソースの追加] を選択し、[Azure 以外のエンドポイント] タブに移動します。監視する Log Analytics エージェントがインストールされているオンプレミス リソースを選択し、[エンドポイントの追加] を選択します。

    ソース エンドポイントを追加しているスクリーンショット。

  5. [宛先の追加] を選択します。

    ExpressRoute プライベート ピアリング経由の接続を監視するには、[Azure エンドポイント] タブに移動します。監視する Network Watcher エージェントがインストールされている Azure リソースを選択します。 [IP] 列で、各リソースのプライベート IP アドレスを選択します。 [エンドポイントの追加] を選択します。

    Azure のターゲット エンドポイントを追加しているスクリーンショット。

    ExpressRoute Microsoft ピアリング経由の接続を監視するには、[外部アドレス] タブに移動します。監視する Microsoft サービスのエンドポイントを選択します。 [エンドポイントの追加] を選択します。

    外部のターゲット エンドポイントを追加しているスクリーンショット。

  6. [テスト構成の追加] を選択します。 プロトコルとして [TCP] を選択し、サーバー上に開かれている宛先ポートを入力します。 [テストの頻度] と、チェック失敗およびラウンド トリップ時間のしきい値を構成します。 [テスト構成の追加] を選択します。

    [テスト構成の追加] ページのスクリーンショット。

  7. ソース、宛先、およびテスト構成を追加したら、 [テスト グループの追加] を選択します。

  8. アラートを作成する場合は、[次へ: アラートを作成する >>] を選択します。 完了したら、 [確認と作成][作成] の順に選択します。

結果の表示

  1. Network Watcher のリソースに移動し、 [監視] の下の [接続モニター] を選択します。 5 分後に新しい接続モニターが表示されます。 接続モニターのネットワーク トポロジとパフォーマンス グラフを表示するには、[テスト グループ] ドロップダウンからテストを選択します。

    接続モニターの [概要] ページのスクリーンショット。

  2. [パフォーマンス分析] パネルで、チェック失敗の割合と、各テストのラウンド トリップ時間の結果を確認します。 パネルの上部にあるドロップダウンを使用して、表示されるデータの時間枠を調整します。

    パフォーマンス分析パネルのスクリーンショット。

  3. [パフォーマンス分析] パネルを閉じると、ソースと宛先のエンドポイント間で接続モニターによって検出されたネットワーク トポロジが表示されます。 このビューは、Microsoft のエッジ ネットワークに到達する前の双方向のトラフィック パスとホップバイホップの待機時間を示しています。

    接続モニターのネットワーク トポロジのスクリーンショット。

    [トポロジ] ビューで任意のホップを選ぶと、そのホップに関する追加情報が表示されます。 接続モニターで検出された問題は、ここにすべて表示されます。

    ネットワーク ホップの詳細情報のスクリーンショット。

次のステップ

Azure ExpressRoute の監視の詳細を確認してください。