连接监视器

  • 8 分钟

连接监视器在 Azure 网络观察程序中提供统一的端到端连接监视。 连接监视器功能支持混合部署和 Azure 云部署。 网络观察程序提供的工具可用于监视、诊断和查看针对 Azure 部署的与连接相关的指标。

可以在以下方案中使用连接监视器:

  • 可以检查双层应用程序中两个 VM 之间的网络连接,以确保前端 Web 服务器虚拟机 (VM) 能够与托管数据库服务器 VM 的 VM 通信。
  • 需要计算部署在不同区域的 VM 之间的跨区域延迟,例如,澳大利亚东南部区域中的 VM 和美国中部区域中的 VM 之间。
  • 需要比较用于 Microsoft 365 URL 的分支机构站点的延迟。
  • 需要就与某个 Azure 存储帐户终结点的连接而言将本地站点的延迟与 Azure 应用程序的延迟进行比较。
  • 希望检查本地设置与托管云应用程序的 Azure VM 之间的连接。
  • 需要检查从 Azure 虚拟机规模集的多个实例到非 Azure 多层应用程序的连接。

诊断网络问题

连接监视器可以帮助你诊断连接监视器中的问题和网络中的问题。 混合网络中的问题通过你之前安装的 Log Analytics 代理进行检测。 Azure 中的问题由网络观察程序扩展进行检测。

对于源为本地 VM 的网络,可以检测到以下问题:

  • 请求已超时。
  • DNS 未解析终结点 - 暂时或永久。 URL 无效。
  • 无法找到主机。
  • 源无法连接到目标。 无法通过 ICMP 访问目标。
  • 证书相关问题,包括:
    • 验证代理所需的客户端证书。
    • 无法访问证书吊销列表。
    • 终结点的主机名与证书的使用者或使用者备用名称不匹配。
    • 源的本地计算机受信任的证书颁发机构存储中缺少根证书。
    • SSL 证书已过期、无效、吊销或不兼容。

针对其源为Azure VM 的网络,可以检测到以下问题:

  • 代理问题,包括:
    • 代理停止
    • DNS 解析故障
    • 无法打开在目标端口和套接字上侦听的应用程序或侦听器。
  • VM 状态问题,包括:
    • 正在启动
    • 正在停止
    • 已停止
    • 正在解除分配
    • 已解除分配
    • 正在重新启动
    • 未分配
  • 缺少 ARP 表条目。
  • 由于本地防火墙问题或 NSG 规则,流量遭到阻止。
  • 虚拟网络网关问题,包括:
    • 缺少路由
    • 两个网关之间的隧道已断开连接或处于缺失状态。
    • 第二个网关没有让隧道发现。
    • 无法找到对等信息。
    • Microsoft Edge 中缺少路由。
    • 由于系统路由或用户定义的路由 (UDR) 的原因,流量已停止。
    • 未在网关连接上启用边界网关协议 (BGP)。
    • 已关闭负载均衡器上的动态 IP 地址 (DIP) 探测。

配置连接监视器

若要使用连接监视器来度量特定方案,需要执行以下常规步骤:

  1. 安装监视代理。
  2. 创建连接监视器。
  3. 分析监视数据并设置警报。
  4. 诊断网络中的问题。

安装监视代理

连接监视器依赖轻型的可执行文件来运行连接性检查。 它同时支持来自 Azure 环境和本地环境的连接性检查。 使用的可执行文件取决于 VM 是托管在 Azure 上还是托管在本地。

如果 Azure VM 或虚拟机规模集中安装了网络观察程序代理虚拟机扩展,连接监视器可以将这些虚拟机用作监视源。 此扩展也称为网络观察程序扩展。 此扩展可实现端到端监视和其他高级功能。

用于网络安全组 (NSG) 或防火墙的规则可以阻止源和目标之间的通信。 连接监视器检测到此问题并将其显示为拓扑中的诊断消息。 若要启用连接监视,请确保 NSG 和防火墙规则允许在源和目标之间使用 TCP 或 ICMP 上的数据包。

若要使连接监视器将本地计算机识别为要监视的源,请在计算机上安装 Log Analytics 代理。 然后启用网络性能监视器解决方案。 这些代理是链接到 Log Analytics 工作区的,因此,需要先设置工作区 ID 和主密钥,然后代理才能开始进行监视。

创建连接监视器

在通过连接监视器创建的连接监视器中,可以将本地计算机和 Azure VM/规模集添加为源。 这些连接监视器还可以监视与终结点的连接。 终结点可以位于 Azure 上,也可以位于任何其他 URL 或 IP 地址上。

连接监视器包含以下实体:

  • 连接监视器资源:区域特定的 Azure 资源。 以下所有实体都是连接监视器资源的属性。
  • 终结点:参与连接性检查的源或目标。 终结点的示例包括 Azure VM/规模集、本地代理、URL 和 IP 地址。
  • 测试配置:针对测试的特定于协议的配置。 可以根据你选择的协议来定义端口、阈值、测试频率和其他属性。
  • 测试组:包含源终结点、目标终结点和测试配置的组。 连接监视器可包含多个测试组。
  • 测试:将源终结点、目标终结点和测试配置组合在一起。 测试是可用于监视数据的最精细级别。 监视数据包括检查失败的百分比和往返时间 (RTT)。

若要创建连接监视器,请执行以下步骤:

  1. 在 Azure 门户中,转到“网络观察程序”。
  2. 在左侧窗格的“监视”部分,选择“连接监视器”。
  3. 在“连接监视器”仪表板上选择“创建”。
  4. 在“基本信息”窗格上,输入以下详细信息:
    • 连接监视器名称:输入你的连接监视器的名称。 使用针对 Azure 资源的标准命名规则。
    • 订阅:为连接监视器选择一个订阅。
    • 区域:为连接监视器选择一个区域。 只能选择在此区域创建的源 VM。
    • 工作区配置:选择一个自定义工作区或默认工作区。 你的工作区包含监视数据。 若要选择自定义工作区,请清除默认工作区复选框,然后选择自定义工作区对应的订阅和区域。
  5. 选择“下一步”
  6. 在“测试组”页上,选择现有测试组或创建新的测试组。 若要创建测试组,请提供以下信息:
    • 测试组名称:输入测试组的名称。
    • 源:选择“添加源”,将 Azure VM 和本地计算机指定为源(如果其上安装了代理)。
      • 选择虚拟网络、子网、单个 VM 或虚拟机规模集时,会将相应的资源 ID 设置为终结点。 默认情况下,选定虚拟网络或子网中的所有 VM 都会参与监视。 若要减小范围,请选择特定子网或代理或更改范围属性的值。
      • 若要选择本地代理,请选择“非 Azure 终结点”选项卡。从安装了 Log Analytics 代理的本地主机列表中进行选择。 “类型”选择“Arc 终结点”,然后从“订阅”下拉列表中选择订阅。 将显示已启用 Azure Arc 终结点扩展和 Azure Monitor 代理扩展的主机列表。
      • 若要选择公共终结点作为目标,请选择“外部地址”选项卡。终结点列表包含 Office 365 测试 URL 和 Dynamics 365 测试 URL(按名称分组)。 你还可以选择在同一连接监视器的其他测试组中创建的终结点。
      • 若要添加终结点,请在右上角选择“添加终结点”,然后提供终结点名称和 URL、IP 或 FQDN。
  7. 下一步是配置警报。 警报可用于在测试失败时收到通知。 创建警报时,需要指定哪种连接监视器测试失败会触发警报。 指定操作组以确定触发警报时会发生什么。
  8. 在窗格底部,选择“下一步: 查看 + 创建”。

分析监视数据

监视终结点时,连接监视器每 24 小时重新评估一次终结点的状态。 因此,如果 VM 在 24 小时周期内被解除分配或被关闭,连接监视器会因网络路径中缺少数据而报告不确定状态,直到 24 小时周期结束,然后才会重新评估 VM 的状态并将 VM 状态报告为已解除分配。

根据检查返回的数据,测试状态可能为:

  • 通过:失败检查百分比和往返时间 (RTT) 的实际值不在指定的阈值内。
  • 失败:检查失败或 RTT 的百分比的实际值超出指定的阈值。 如果未指定阈值,则当检查失败的百分比为 100 时,测试将进入“失败”状态。
  • 警告:
    • 如果指定了阈值,并且连接监视器观测到超过80% 的阈值的检查失败百分比,则测试将被标记为“警告”。
    • 如果没有指定的阈值,连接监视器会自动分配一个阈值。 超过此阈值时,测试状态将更改为“警告”。 对于 TCP 或 ICMP 测试中的 RTT,阈值为 750 毫秒 (ms)。 对于检查失败百分比,阈值为 10%。
  • 不确定:Log Analytics 工作区中没有数据。 检查指标。
  • 未运行:已禁用(通过禁用测试组)。

连接监视器收集的数据存储在 Log Analytics 工作区中。 创建连接监视器时设置此工作区。

监视数据也可用于 Azure Monitor 指标中。 可以根据需要使用 Log Analytics 保留监视数据。 默认情况下,Azure Monitor 仅存储 30 天的指标。