تكوين شبكة عامل Azure Monitor

يدعم عامل Azure Monitor الاتصال باستخدام وكلاء مباشرين وبوابة Log Analytics وارتباطات خاصة. تشرح هذه المقالة كيفية تعريف إعدادات الشبكة وتمكين عزل الشبكة لعامل Azure Monitor.

علامات خدمة الشبكة الظاهرية

يجب تمكين علامات خدمة الشبكة الظاهرية Azure على الشبكة الظاهرية للجهاز الظاهري. كل من علامات AzureMonitor وAzureResourceManager مطلوبة.

يمكن استخدام علامات خدمة شبكة Azure الظاهرية لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة وجدار حماية Azure والمسارات المعرفة من قبل المستخدم. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد ومسارات الأمان. بالنسبة للسيناريوهات التي لا يمكن فيها استخدام علامات خدمة شبكة Azure الظاهرية، يتم إعطاء متطلبات جدار الحماية أدناه.

إشعار

عناوين IP العامة لنقطة نهاية جمع البيانات ليست جزءا من علامات خدمة الشبكة المذكورة أعلاه. إذا كانت لديك سجلات مخصصة أو قواعد تجميع بيانات سجل IIS، ففكر في السماح لعناوين IP العامة لنقطة نهاية تجميع البيانات لهذه السيناريوهات بالعمل حتى يتم دعم هذه السيناريوهات بواسطة علامات خدمة الشبكة.

نقاط نهاية جدار الحماية

يوفر الجدول التالي نقاط النهاية التي تحتاجها جدران الحماية لتوفير الوصول إليها للسحب المختلفة. كل منها عبارة عن اتصال صادر بالمنفذ 443.

نقطة النهاية	الغرض	مثال
global.handler.control.monitor.azure.com	خدمة التحكم في الوصول -
<virtual-machine-region-name>.handler.control.monitor.azure.com	إحضار قواعد جمع البيانات لجهاز معين	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	استيعاب بيانات السجلات	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	مطلوب فقط إذا كان إرسال بيانات المقاييس (المقاييس) إلى قاعدة بيانات مقاييس Azure Monitor المخصصة	-
<virtual-machine-region-name>.monitoring.azure.com	مطلوب فقط إذا كان إرسال بيانات المقاييس (المقاييس) إلى قاعدة بيانات مقاييس Azure Monitor المخصصة	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	مطلوب فقط إذا كان إرسال البيانات إلى جدول سجلات Log Analytics المخصص	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

استبدل اللاحقة في نقاط النهاية باللاحقة في الجدول التالي للسحب المختلفة.

السحابة	اللاحقة
Azure التجارية	com.
Azure Government	.لنا
Microsoft Azure مُشغل بواسطة 21Vianet	.cn

إشعار

إذا كنت تستخدم ارتباطات خاصة على العامل، يجب إضافة نقاط نهاية جمع البيانات الخاصة (DCEs) فقط. لا يستخدم العامل نقاط النهاية غير الخاصة المذكورة أعلاه عند استخدام الارتباطات الخاصة/نقاط نهاية جمع البيانات. لا تتوفر معاينة مقاييس Azure Monitor (المقاييس المخصصة) في Azure Government وAzure التي تديرها سحابات 21Vianet.

إشعار

عند استخدام AMA مع AMPLS، تستخدم جميع قواعد تجميع البيانات نقاط نهاية تجميع البيانات بشكل كبير. يجب إضافة DCE إلى تكوين AMPLS باستخدام ارتباط خاص

تكوين الوكيل

يمكن لملحقات عامل Azure Monitor لنظامي التشغيل Windows وLinux الاتصال إما من خلال خادم وكيل أو بوابة Log Analytics إلى Azure Monitor باستخدام بروتوكول HTTPS. استخدمه للآلات الظاهرية لـ Azure، مجموعات مقياس الجهاز الافتراضي لـ Azure، و Azure Arc للخوادم. استخدم إعدادات الملحقات للتكوين كما هو موضح في الخطوات التالية. يتم اعتماد كل من المصادقة المجهولة والأساسية باستخدام اسم مستخدم وكلمة مرور مدعومين.

هام

تكوين الوكيل غير مدعوم لمقاييس Azure Monitor (معاينة عامة) كوجهة. إذا كنت ترسل مقاييس إلى هذه الوجهة، فإنه سيتم استخدام الإنترنت العام بدون أي وكيل.

إشعار

يتم دعم تعيين وكيل نظام Linux عبر متغيرات البيئة مثل http_proxy و https_proxy فقط باستخدام Azure Monitor Agent ل Linux الإصدار 1.24.2 وما فوق. بالنسبة إلى قالب ARM، إذا كان لديك تكوين وكيل، يرجى اتباع مثال قالب ARM أدناه للإعلان عن إعداد الوكيل داخل قالب ARM. بالإضافة إلى ذلك، يمكن للمستخدم تعيين متغيرات البيئة "العمومية" التي يتم التقاطها بواسطة جميع الخدمات النظامية عبر متغير DefaultEnvironment في /etc/systemd/system.conf.

استخدم أوامر PowerShell في الأمثلة التالية اعتمادا على البيئة والتكوين.:

Windows VM

لا يوجد وكيل

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

وكيل بدون مصادقة

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

وكيل مع مصادقة

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

لا يوجد وكيل

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

وكيل بدون مصادقة

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

وكيل مع مصادقة

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

خادم ممكن ل Windows Arc

لا يوجد وكيل

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

وكيل بدون مصادقة

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

وكيل مع مصادقة

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

خادم Linux Arc المُمكّن

لا يوجد وكيل

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

وكيل بدون مصادقة

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

وكيل مع مصادقة

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

مثال على قالب نهج ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

تكوين بوابة إحصاءات السجل

1. اتبع الإرشادات أعلاه لتكوين إعدادات الوكيل على العامل وتوفير عنوان IP ورقم المنفذ الذي يتوافق مع خادم البوابة. إذا قمت بتوزيع خوادم بوابات متعددة خلف موازن تحميل، فإن تكوين وكيل العامل هو عنوان IP الظاهري لموازن التحميل بدلاً من ذلك.
2. إضافة عنوان URL لنقطة نهاية التكوين لإحضار قواعد تجميع البيانات إلى قائمة السماح للبوابة Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (إذا كنت تستخدم ارتباطات خاصة على العامل، فيجب عليك أيضًا إضافة نقاط نهاية تجميع البيانات.)
3. أضف عنوان URL لنقطة نهاية استيعاب البيانات إلى قائمة السماح للبوابة Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. أعد تشغيل خدمة بوابة OMS لتطبيق التغييرات Stop-Service -Name <gateway-name> وStart-Service -Name <gateway-name>.

الخطوات التالية

• إضافة نقطة نهاية إلى مورد AMPLS.