設定 ExpressRoute 的連線監視器。
本文可協助您設定連線監視器延伸模組來監視 ExpressRoute。 「連線監視器」是一個雲端式網路監視解決方案,可監視 Azure 雲端部署與內部部署位置 (分公司等) 之間的連線。 連線監視器是 Azure 監視器記錄的一部分。 延伸模組也可讓您監視私人和 Microsoft 對等互連連線的網路連線。 設定 ExpressRoute 的連線監視器時,您可以偵測網路問題來予以識別並排除。
注意
本文最近有所更新,改為使用「Azure 監視器記錄」一詞,而非 Log Analytics。 記錄資料仍儲存在 Log Analytics 工作區中,並仍由相同的 Log Analytics 服務收集和分析。 我們會持續更新術語,以更精確地反映 Azure 監視器記錄的角色。 如需詳細資料,請參閱 Azure 監視器遙測變更。
有了用於 ExpressRoute 的連線監視器,您可以:
監視各種 VNet 的遺失和延遲並設定警示。
監視網路上的所有路徑 (包括備援路徑)。
針對難以複寫的暫時性和時間點網路問題進行疑難排解。
協助判斷導致效能衰退的特定網路區段。
工作流程
監視代理程式安裝在內部部署和 Azure 中的多部伺服器上。 代理程式會藉由傳送 TCP 交握封包互相通訊。 代理程式之間的通訊可讓 Azure 對應流量可採用的網路拓撲和路徑。
建立 Log Analytics 工作區。
安裝並設定軟體代理程式。 (如果您只想透過 Microsoft 對等互連監視,則不需要安裝及設定軟體代理程式。):
- 在內部部署伺服器和 Azure VM 上安裝監視代理程式 (適用於私人對等互連)。
- 設定監視代理程式伺服器上的設定,以允許監視代理程式進行通訊。 (開啟防火牆連接埠等)。
設定網路安全性群組 (NSG) 規則,以允許安裝在 Azure VM 上的監視代理程式與內部部署監視代理程式進行通訊。
在您的訂用帳戶上啟用網路監看員。
設定監視:使用測試群組來建立連線監視器,以監視網路上的來源和目的地端點。
如果您已經使用網路效能監控 (已淘汰) 或連線監視器來監視其他物件或服務,而且您已在其中一個支援的區域中擁有 Log Analytics 工作區。 您可以略過步驟 1 和步驟 2,然後從步驟 3 開始進行設定。
建立工作區
在有 VNet 連結至 ExpressRoute 線路的訂用帳戶中建立工作區。
登入 Azure 入口網站。 從已將虛擬網路連線到 ExpressRoute 線路的訂用帳戶,選取 [+ 建立資源]。 搜尋 Log Analytics 工作區,然後選取 [建立]。
注意
您可以建立新的工作區,或使用現有的工作區。 如果您想要使用現有的工作區,必須確定工作區已移轉至新的查詢語言。 詳細資訊...
輸入或選取下列資訊,以建立工作區。
設定 值 訂用帳戶 選取具有 ExpressRoute 線路的訂用帳戶。 資源群組 建立新的資源群組,或選取現有的資源群組。 名稱 輸入名稱以識別此工作區。 區域 選取在其中建立此工作區的區域。 
注意
ExpressRoute 線路可以位於世界上任何位置。 不一定要與工作區位於相同區域。
選取 [檢閱 + 建立],以驗證然後選取 [建立] 以部署工作區。 部署工作區之後,請繼續下一節,以設定監視解決方案。
設定監視解決方案
藉由取代 $SubscriptionId、$location、$resourceGroup 和 $workspaceName 的值,來完成 Azure PowerShell 指令碼。 然後執行指令碼來設定監視解決方案。
$subscriptionId = "Subscription ID should come here"
Select-AzSubscription -SubscriptionId $subscriptionId
$location = "Workspace location should come here"
$resourceGroup = "Resource group name should come here"
$workspaceName = "Workspace name should come here"
$solution = @{
Location = $location
Properties = @{
workspaceResourceId = "/subscriptions/$($subscriptionId)/resourcegroups/$($resourceGroup)/providers/Microsoft.OperationalInsights/workspaces/$($workspaceName)"
}
Plan = @{
Name = "NetworkMonitoring($($workspaceName))"
Publisher = "Microsoft"
Product = "OMSGallery/NetworkMonitoring"
PromotionCode = ""
}
ResourceName = "NetworkMonitoring($($workspaceName))"
ResourceType = "Microsoft.OperationsManagement/solutions"
ResourceGroupName = $resourceGroup
}
New-AzResource @solution -Force
設定監視解決方案之後。 繼續進行安裝的下一個步驟,在您的伺服器上安裝和設定監視代理程式。
在內部部署環境中安裝和設定代理程式
下載代理程式安裝檔案
瀏覽至 Log Analytics 工作區,然後選取 [設定] 下的 [代理程式管理]。 下載與您電腦的作業系統對應的代理程式。
接著,將 [工作區識別碼] 和 [主要金鑰] 複製到 [記事本]。
針對 Windows 機器,請在具有系統管理員權限的 PowerShell 視窗中下載並執行此 PowerShell 指令碼 EnableRules.ps1。 該 PowerShell 指令碼會開啟 TCP 交易的相關防火牆連接埠。
針對 Linux 機器,您必須使用下列步驟,手動變更連接埠號碼:
- 瀏覽至路徑:/var/opt/microsoft/omsagent/npm_state。
- 開啟檔案:npmdregistry
- 變更連接埠號碼
PortNumber:<port of your choice>的值
在每部監視伺服器上安裝 Log Analytics 代理程式
建議您在 ExpressRoute 連線兩端的至少兩部伺服器上安裝 Log Analytics 代理程式,以達到備援。 例如,您的內部部署和 Azure 虛擬網路。 使用下列步驟來安裝代理程式:
選取適當的作業系統,以取得在您的伺服器上安裝 Log Analytics 代理程式的步驟。
完成時,[Microsoft Monitoring Agent] 會出現在 [控制台] 中。 您可以檢查您的設定,並驗證代理程式對 Azure 監視器記錄的連線能力。
針對您想要用於監視的其他內部部署機器,重複步驟 1 和 2。
在每個監視伺服器上安裝網路監看員代理程式
新的 Azure 虛擬機器
如果您要建立新的 Azure VM 來監視 VNet 的連線能力,您可以在建立 VM 時安裝網路監看員代理程式。
現有的 Azure 虛擬機器
如果您要使用現有的 VM 來監視連線能力,您可以分別為 Linux 和 Windows 安裝網路代理程式。
開啟監視代理程式伺服器上的防火牆連接埠
防火牆的規則可以封鎖來源與目的地伺服器之間的通訊。 連線監視器會偵測到此問題,並將其顯示為拓撲中的診斷訊息。 若要啟用連線監視,請確定防火牆規則會允許來源和目的地之間的封包透過 TCP 或 ICMP。
Windows
若為 Windows 電腦,您可以執行 PowerShell 指令碼來建立連線監視器所需的登錄機碼。 此指令碼也會建立 Windows 防火牆規則,以允許監視代理程式建立彼此的 TCP 連線。 此指令碼所建立的登錄機碼會指定是否要記錄偵錯記錄,以及記錄的路徑。 它也會定義用於通訊的代理程式 TCP 連接埠。 此指令碼會自動設定這些機碼的值。 您不應手動變更這些機碼。
連接埠 8084 是預設開啟的連接埠。 您可以為指令碼提供 'portNumber' 參數來使用自訂連接埠。 不過,如果您這麼做,就必須為執行指令碼的所有伺服器指定相同的連接埠。
注意
'EnableRules' PowerShell 指令碼只能在指令碼執行所在的伺服器上設定 Windows 防火牆規則。 如果您有網路防火牆,您應該確定其允許指向連線監視器所用 TCP 連接埠的流量。
在代理程式伺服器上,以系統管理權限開啟 PowerShell 視窗。 執行 EnableRules PowerShell 指令碼 (您先前所下載)。 請勿使用任何參數。
Linux
若為 Linux 機器,必須手動方變更所使用的連接埠號碼:
- 瀏覽至路徑:/var/opt/microsoft/omsagent/npm_state。
- 開啟檔案:npmdregistry
- 變更連接埠號碼
PortNumber:\<port of your choice\>的值。 使用的連接埠號碼在工作區中使用的所有代理程式上應該是相同的
設定網路安全性群組規則
若要監視 Azure 中的伺服器,您必須設定網路安全性群組 (NSG) 規則,以允許來自連線監視器的 TCP 或 ICMP 流量。 預設通訊連接埠為 **8084,這可讓安裝在 Azure VM 上的監視代理程式與內部部署監視代理程式進行通訊。
如需 NSG 的詳細資訊,請參閱關於篩選網路流量的教學課程。
注意
繼續進行此步驟之前,請先確定您已安裝代理程式 (包括內部部署伺服器代理程式和 Azure 伺服器代理程式兩者),並且已執行 PowerShell 指令碼。
啟用網路監看員
具有虛擬網路的所有訂用帳戶都會啟用網路監看員。 確保未針對您的訂用帳戶明確停用網路監看員。 如需詳細資訊,請參閱啟用網路監看員。
建立連線監視器
如需有關如何在網路中的來源和目的地端點之間建立連線監視器、測試和測試群組的高階概觀,請參閱建立連線監視器。 使用下列步驟來設定私人對等互連和 Microsoft 對等互連的連線監視。
在 Azure 入口網站中,瀏覽至您的網路監看員資源,然後選取 [監視] 下的 [連線監視器]。 然後選取 [建立] 以建立新的連線監視器。
在建立工作流程的 [基本] 索引標籤上,針對 [區域] 欄位選取您在其中部署 Log Analytics 工作區的相同區域。 針對 [工作區設定],選取您稍早建立的現有 Log Analytics 工作區。 然後選取 [下一步: 測試群組>>]。
在 [新增測試群組詳細資料] 頁面上,您會新增測試群組的來源和目的地端點。 您也會設定兩者之間的測試設定。 輸入此測試群組的名稱。
選取 [新增來源],然後瀏覽至 [非 Azure 端點] 索引標籤。選擇已安裝 Log Analytics 代理程式且您想要監視連線能力的內部部署資源,然後選取 [新增端點]。
下一步,選取 [新增目的地]。
若要監視透過 ExpressRoute 私人對等互連的連線,請瀏覽至 [Azure 端點] 索引標籤。選擇已安裝網路監看員代理程式的 Azure 資源,您想要監視這些資源與 Azure 中虛擬網路的連線。 請務必在 IP 資料行中選取這些資源的私人 IP 位址。 選取 [新增端點],將這些端點新增至測試群組的目的地清單。
若要監視透過 ExpressRoute Microsoft 對等互連的連線,請瀏覽至 [外部位址] 索引標籤。選取 Microsoft 服務端點,您想要監視其透過 Microsoft 對等互連的連線。 選取 [新增端點],將這些端點新增至測試群組的目的地清單。
現在選取 [新增測試設定]。 針對通訊協定選取 [TCP],然後輸入您在伺服器上開放的 [目的地連接埠]。 然後設定您的 [測試頻率] 和用於進行失敗檢查和來回行程時間的閾值。 然後選取 [新增測試設定]。
新增來源、目的地和測試設定之後,選取 [新增測試群組]。
如果您想要建立警示,請選取 [下一步:建立警示 >>]。 完成之後,選取 [檢閱 + 建立],然後選取 [建立]。
檢視結果
移至您的網路監看員資源,然後選取 [監視] 下的 [連線監視器]。 您應該會在 5 分鐘後看到新的連線監視器。 若要檢視連線監視器的網路拓撲和效能圖表,請從 [測試群組] 下拉式清單中選取測試。
在 [效能分析] 面板中,您可以檢視檢查失敗的百分比,以及每個測試針對來回行程時間的結果。 您可以選取面板頂端的下拉式清單,以調整所顯示資料的時間範圍。
關閉 [效能分析] 面板會顯示您選取的來源與目的地端點之間的連線監視器所偵測到的網路拓撲。 此檢視會顯示來源與目的地端點之間流量的雙向路徑。 您也可以逐一躍點查看封包到達 Microsoft 邊緣網路之前的延遲。
選取拓撲檢視中的任何躍點會顯示關於躍點的其他資訊。 連線監視器偵測到關於躍點的任何問題會顯示在這裡。
