Definování nastavení sítě agenta služby Azure Monitor
Agent Azure Monitor podporuje připojení pomocí přímých proxy serverů, brány Log Analytics a privátních propojení. Tento článek vysvětluje, jak definovat nastavení sítě a povolit izolaci sítě pro agenta služby Azure Monitor.
Značky služeb virtuální sítě
Agent Azure Monitor podporuje značky služeb virtuální sítě Azure. Vyžadují se značky AzureMonitor i AzureResourceManager.
Značky služeb virtuální sítě Azure je možné použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. V situacích, kdy se značky služeb virtuální sítě Azure nedají použít, jsou požadavky brány firewall uvedeny níže.
Požadavky brány firewall
Cloud | Koncový bod | Účel | Port | Směr | Obejití kontroly protokolu HTTPS | Příklad |
---|---|---|---|---|---|---|
Azure Commercial | global.handler.control.monitor.azure.com | Služba řízení přístupu | Port 443 | Odchozí | Ano | - |
Azure Commercial | <virtual-machine-region-name> .handler.control.monitor.azure.com |
Načtení pravidel shromažďování dat pro konkrétní počítač | Port 443 | Odchozí | Ano | westus2.handler.control.monitor.azure.com |
Azure Commercial | <log-analytics-workspace-id> .ods.opinsights.azure.com |
Příjem dat protokolů | Port 443 | Odchozí | Ano | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
Azure Commercial | management.azure.com | Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor. | Port 443 | Odchozí | Ano | - |
Azure Commercial | <virtual-machine-region-name> .monitoring.azure.com |
Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor. | Port 443 | Odchozí | Ano | westus2.monitoring.azure.com |
Azure Commercial | <data-collection-endpoint> .<virtual-machine-region-name> . ingest.monitor.azure.com |
Potřeba pouze v případě, že se data odesílají do tabulky vlastních protokolů Log Analytics. | Port 443 | Odchozí | Ano | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Azure Government | Nahraďte ".com" výše za ".us" | Stejný jako výše uvedený | Stejný jako výše uvedený | Stejný jako výše uvedený | Stejný jako výše uvedený | |
Platforma Microsoft Azure provozovaná společností 21Vianet | Nahraďte ".com" výše slovem .cn. | Stejný jako výše uvedený | Stejný jako výše uvedený | Stejný jako výše uvedený | Stejný jako výše uvedený |
Poznámka:
Pokud v agentu používáte privátní propojení, musíte přidat pouze koncové body privátního shromažďování dat (DCE). Agent nepoužívá privátní koncové body uvedené výše při použití koncových bodů privátních propojení nebo shromažďování dat. Metriky služby Azure Monitor (vlastní metriky) ve verzi Preview nejsou dostupné v Azure Government a Azure provozované cloudy 21Vianet.
Konfigurace proxy serveru
Pokud se počítač připojuje přes proxy server ke komunikaci přes internet, projděte si následující požadavky a seznamte se s požadovanou konfigurací sítě.
Rozšíření agenta Služby Azure Monitor pro Windows a Linux můžou komunikovat prostřednictvím proxy serveru nebo brány Log Analytics do služby Azure Monitor pomocí protokolu HTTPS. Použijte ho pro virtuální počítače Azure, škálovací sady virtuálních počítačů Azure a Azure Arc pro servery. Použijte nastavení rozšíření pro konfiguraci, jak je popsáno v následujících krocích. Podporují se anonymní i základní ověřování pomocí uživatelského jména a hesla.
Důležité
Konfigurace proxy serveru není podporovaná pro metriky služby Azure Monitor (Public Preview) jako cíl. Pokud do tohoto cíle odesíláte metriky, použije se veřejný internet bez proxy serveru.
Pomocí tohoto vývojového
Settings
diagramu nejprve určete hodnoty parametrů aProtectedSettings
parametrů.Poznámka:
Nastavení proxy systému Linux prostřednictvím proměnných prostředí, jako
http_proxy
je ahttps_proxy
je podporováno pouze pomocí agenta služby Azure Monitor pro Linux verze 1.24.2 a vyšší. Pokud pro šablonu ARM máte konfiguraci proxy serveru, postupujte podle příkladu šablony ARM níže a deklarujte nastavení proxy serveru uvnitř šablony ARM. Kromě toho může uživatel nastavit "globální" proměnné prostředí, které se vyberou všemi systémovými službami prostřednictvím proměnné DefaultEnvironment v /etc/systemd/systemd/system.conf.Po určení
Settings
hodnot parametrůProtectedSettings
zadejte tyto další parametry při nasazení agenta služby Azure Monitor. Použijte příkazy PowerShellu, jak je znázorněno v následujících příkladech:
- Virtuální počítač s Windows
- Virtuální počítač s Linuxem
- Server s podporou služby Windows Arc
- Server s podporou arc pro Linux
- Příklad šablony zásad ARM
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Konfigurace brány Log Analytics
- Podle předchozích pokynů nakonfigurujte nastavení proxy serveru v agentu a zadejte IP adresu a číslo portu, které odpovídají serveru brány. Pokud jste nasadili několik serverů brány za nástrojem pro vyrovnávání zatížení, je konfigurace proxy agenta virtuální IP adresou nástroje pro vyrovnávání zatížení.
- Přidejte adresu URL koncového bodu konfigurace pro načtení pravidel shromažďování dat do seznamu povolených pro bránu
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Pokud v agentovi používáte privátní propojení, musíte také přidat koncové body shromažďování dat.) - Přidejte adresu URL koncového bodu příjmu dat do seznamu povolených pro bránu
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Restartujte službu OMS Gateway, aby se změny
Stop-Service -Name <gateway-name>
projevily aStart-Service -Name <gateway-name>
.