Konfigurace sítě agenta služby Azure Monitor

Agent Azure Monitor podporuje připojení pomocí přímých proxy serverů, brány Log Analytics a privátních propojení. Tento článek popisuje, jak definovat nastavení sítě a povolit izolaci sítě pro agenta služby Azure Monitor.

Značky služeb virtuální sítě

Značky služeb Azure Virtual Network musí být ve virtuální síti pro virtuální počítač povolené. Vyžadují se značky AzureMonitor i AzureResourceManager.

Značky služeb Azure Virtual Network můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. Pro scénáře, kdy se značky služeb Azure Virtual Network nedají použít, jsou požadavky na firewall popsány dále v tomto článku.

Poznámka:

Veřejné IP adresy koncového bodu shromažďování dat (DCE) nejsou zahrnuty do značek síťových služeb, které můžete použít k definování řízení přístupu k síti pro Azure Monitor. Pokud máte vlastní protokoly nebo pravidla shromažďování dat protokolu internetové informační služby (IIS), zvažte povolení, aby veřejné IP adresy DCE pro tyto scénáře fungovaly, dokud tyto scénáře nebudou podporovány prostřednictvím značek síťových služeb.

Koncové body brány firewall

Následující tabulka obsahuje koncové body, ke kterým musí brány firewall poskytovat přístup pro různé cloudy. Každý koncový bod je odchozí připojení na port 443.

Důležité

Pro všechny koncové body musí být kontrola HTTPS zakázaná.

Koncový bod	Účel	Příklad
global.handler.control.monitor.azure.com	Přístup ke službě řízení	Není relevantní
<virtual-machine-region-name>.handler.control.monitor.azure.com	Načtení DCR pro konkrétní stroj	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingestování dat protokolu	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Potřeba pouze v případě, že odesíláte data časových řad ( metriky ) do vlastní databáze metrik služby Azure Monitor.	Není relevantní
<virtual-machine-region-name>.monitoring.azure.com	Potřeba pouze v případě, že odesíláte data časových řad ( metriky ) do vlastní databáze metrik služby Azure Monitor.	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Ingestování dat protokolu	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Příponu v koncových bodech nahraďte příponou v následující tabulce pro příslušné cloudy:

Cloudové služby	Přípona
Azure pro komerční využití	.com
Azure Government (vládní řešení Azure)	.us
Platforma Microsoft Azure provozovaná společností 21Vianet	.cn

Poznámka:

• Pokud v agentu používáte privátní propojení, musíte přidat pouzeprivátní distribuované výpočetní prostředí. Pokud používáte privátní propojení nebo privátní DCE, agent nepoužívá koncové body uvedené v předchozí tabulce.

• Metriky Služby Azure Monitor (vlastní metriky) ve verzi Preview nejsou dostupné v Azure Government a Azure provozované cloudy 21Vianet.

• Pokud používáte agenta Azure Monitoru s oborem služby Azure Monitor Private Link, musí všechny vaše DCR používat DCE. DCE musí být přidány do konfigurace oboru služby Azure Monitor Private Link prostřednictvím soukromého propojení.

Konfigurace proxy serveru

Rozšíření agenta služby Azure Monitor pro Windows a Linux můžou komunikovat prostřednictvím proxy serveru nebo prostřednictvím brány Log Analytics do služby Azure Monitor pomocí protokolu HTTPS. Použijte ho pro virtuální počítače Azure, škálovací sady a Azure Arc pro servery. Použijte nastavení rozšíření pro konfiguraci, jak je popsáno v následujících krocích. Podporuje se anonymní ověřování i základní ověřování pomocí uživatelského jména a hesla.

Důležité

Brána OMS není podporována u serverů s povolenou službou Azure Arc pro možnosti připojení proxy serveru, připojení privátního propojení a možnosti připojení veřejného koncového bodu.

Důležité

Konfigurace proxy serveru není podporovaná pro metriky služby Azure Monitor (ve verzi Preview) jako cíl. Pokud odesíláte metriky do tohoto cíle, používá veřejný internet bez proxy serveru.

Poznámka:

Nastavení proxy systému Linux prostřednictvím proměnných prostředí jako http_proxy a https_proxy je podporováno pouze v případě, že používáte agenta služby Azure Monitor pro Linux verze 1.24.2 nebo novější. Pokud pro šablonu Azure Resource Manageru (šablonu ARM) nakonfigurujete proxy server, použijte šablonu ARM uvedenou tady jako příklad deklarování nastavení proxy serveru uvnitř šablony ARM. Uživatel může také nastavit globální proměnné prostředí, které jsou vyzvednuty všemi systémovými službami prostřednictvím proměnné DefaultEnvironment v /etc/systemd/systemd/system.conf.

Příkazy Azure PowerShellu použijte v následujících příkladech na základě vašeho prostředí a konfigurace.

virtuální počítač s Windows

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Návrat konfigurace proxy serveru k výchozím nastavením

Pokud chcete obnovit konfiguraci proxy serveru na výchozí hodnoty, můžete definovat $settingsString = '{}' jako v následujícím příkladu:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Linux virtuálního počítače

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server s podporou služby Windows Arc

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Návrat konfigurace proxy serveru k výchozím nastavením

Pokud chcete obnovit konfiguraci proxy serveru na výchozí hodnoty, můžete definovat $settingsString = '{}' jako v následujícím příkladu:

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Server s podporou arc pro Linux

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Příklad šablony zásad ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurace brány Log Analytics

1. Podle předchozích pokynů nakonfigurujte nastavení proxy serveru v agentu a zadejte IP adresu a číslo portu, které odpovídají serveru brány. Pokud jste nasadili několik serverů brány za vyrovnávačem zatížení, použijte pro konfiguraci proxy agenta virtuální IP adresu vyrovnávače zatížení.

2. Přidejte adresu URL koncového bodu konfigurace pro načtení DCRs do seznamu povolených pro bránu.

   1. Spusťte Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Spusťte Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Pokud v agentu používáte privátní propojení, musíte také přidat DCEs.)

3. Přidejte adresu URL koncového bodu příjmu dat do seznamu povolených pro bránu:

   • Spusťte Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Pokud chcete změny použít, restartujte službu brány Log Analytics (brána OMS):

   1. Spusťte Stop-Service -Name <gateway-name>.
   2. Spusťte Start-Service -Name <gateway-name>.

Související obsah

• Zjistěte, jak přidat koncový bod do prostředku oboru Azure Monitor Private Link.