Definování nastavení sítě agenta služby Azure Monitor

Agent Azure Monitor podporuje připojení pomocí přímých proxy serverů, brány Log Analytics a privátních propojení. Tento článek vysvětluje, jak definovat nastavení sítě a povolit izolaci sítě pro agenta služby Azure Monitor.

Značky služeb virtuální sítě

Agent Azure Monitor podporuje značky služeb virtuální sítě Azure. Vyžadují se značky AzureMonitor i AzureResourceManager.

Značky služeb virtuální sítě Azure je možné použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. V situacích, kdy se značky služeb virtuální sítě Azure nedají použít, jsou požadavky brány firewall uvedeny níže.

Požadavky brány firewall

Cloud	Koncový bod	Účel	Port	Směr	Obejití kontroly protokolu HTTPS	Příklad
Azure Commercial	global.handler.control.monitor.azure.com	Služba řízení přístupu	Port 443	Odchozí	Ano	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Načtení pravidel shromažďování dat pro konkrétní počítač	Port 443	Odchozí	Ano	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Příjem dat protokolů	Port 443	Odchozí	Ano	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor.	Port 443	Odchozí	Ano	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor.	Port 443	Odchozí	Ano	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Potřeba pouze v případě, že se data odesílají do tabulky vlastních protokolů Log Analytics.	Port 443	Odchozí	Ano	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Nahraďte ".com" výše za ".us"	Stejný jako výše uvedený	Stejný jako výše uvedený	Stejný jako výše uvedený	Stejný jako výše uvedený
Platforma Microsoft Azure provozovaná společností 21Vianet	Nahraďte ".com" výše slovem .cn.	Stejný jako výše uvedený	Stejný jako výše uvedený	Stejný jako výše uvedený	Stejný jako výše uvedený

Poznámka:

Pokud v agentu používáte privátní propojení, musíte přidat pouze koncové body privátního shromažďování dat (DCE). Agent nepoužívá privátní koncové body uvedené výše při použití koncových bodů privátních propojení nebo shromažďování dat. Metriky služby Azure Monitor (vlastní metriky) ve verzi Preview nejsou dostupné v Azure Government a Azure provozované cloudy 21Vianet.

Konfigurace proxy serveru

Pokud se počítač připojuje přes proxy server ke komunikaci přes internet, projděte si následující požadavky a seznamte se s požadovanou konfigurací sítě.

Rozšíření agenta Služby Azure Monitor pro Windows a Linux můžou komunikovat prostřednictvím proxy serveru nebo brány Log Analytics do služby Azure Monitor pomocí protokolu HTTPS. Použijte ho pro virtuální počítače Azure, škálovací sady virtuálních počítačů Azure a Azure Arc pro servery. Použijte nastavení rozšíření pro konfiguraci, jak je popsáno v následujících krocích. Podporují se anonymní i základní ověřování pomocí uživatelského jména a hesla.

Důležité

Konfigurace proxy serveru není podporovaná pro metriky služby Azure Monitor (Public Preview) jako cíl. Pokud do tohoto cíle odesíláte metriky, použije se veřejný internet bez proxy serveru.

1. Pomocí tohoto vývojového Settings diagramu nejprve určete hodnoty parametrů a ProtectedSettings parametrů.

   

   Poznámka:

   Nastavení proxy systému Linux prostřednictvím proměnných prostředí, jako http_proxy je a https_proxy je podporováno pouze pomocí agenta služby Azure Monitor pro Linux verze 1.24.2 a vyšší. Pokud pro šablonu ARM máte konfiguraci proxy serveru, postupujte podle příkladu šablony ARM níže a deklarujte nastavení proxy serveru uvnitř šablony ARM. Kromě toho může uživatel nastavit "globální" proměnné prostředí, které se vyberou všemi systémovými službami prostřednictvím proměnné DefaultEnvironment v /etc/systemd/systemd/system.conf.

2. Po určení Settings hodnot parametrů ProtectedSettings zadejte tyto další parametry při nasazení agenta služby Azure Monitor. Použijte příkazy PowerShellu, jak je znázorněno v následujících příkladech:

Virtuální počítač s Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuální počítač s Linuxem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server s podporou služby Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server s podporou arc pro Linux

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Příklad šablony zásad ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurace brány Log Analytics

1. Podle předchozích pokynů nakonfigurujte nastavení proxy serveru v agentu a zadejte IP adresu a číslo portu, které odpovídají serveru brány. Pokud jste nasadili několik serverů brány za nástrojem pro vyrovnávání zatížení, je konfigurace proxy agenta virtuální IP adresou nástroje pro vyrovnávání zatížení.
2. Přidejte adresu URL koncového bodu konfigurace pro načtení pravidel shromažďování dat do seznamu povolených pro bránu Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Pokud v agentovi používáte privátní propojení, musíte také přidat koncové body shromažďování dat.)
3. Přidejte adresu URL koncového bodu příjmu dat do seznamu povolených pro bránu Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Restartujte službu OMS Gateway, aby se změny Stop-Service -Name <gateway-name> projevily a Start-Service -Name <gateway-name>.

Další kroky

• Přidružení koncového bodu k počítačům
• Povolte izolaci sítě pro agenta Azure Monitoru pomocí služby Private Link.