Definieren der Netzwerkeinstellungen des Azure Monitor-Agents

Der Azure Monitor-Agent unterstützt die Verbindung mithilfe von direkten Proxys, Log Analytics-Gateways und privaten Verbindungen. In diesem Artikel wird erläutert, wie Sie Netzwerkeinstellungen definieren und die Netzwerkisolation für den Azure Monitor-Agent aktivieren.

Diensttags in virtuellen Netzwerken

Der Azure Monitor-Agent unterstützt Diensttags in virtuellen Azure-Netzwerken. Die beiden Tags AzureMonitor und AzureResourceManager sind erforderlich.

Mit Azure Virtual Network-Diensttags können Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen, Azure Firewall und benutzerdefinierten Routen definiert werden. Verwenden Sie Diensttags anstelle von bestimmten IP-Adressen, wenn Sie Sicherheitsregeln und Routen erstellen. Für Szenarien, in denen Azure Virtual Network-Diensttags nicht verwendet werden können, sind nachfolgend die Firewallanforderungen aufgeführt.

Firewallanforderungen

Cloud	Endpunkt	Zweck	Port	Direction	Umgehung der HTTPS-Überprüfung	Beispiel
Azure Commercial	global.handler.control.monitor.azure.com	Zugriffssteuerungsdienst	Port 443	Ausgehend	Ja	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Abrufen von Datensammlungsregeln für einen bestimmten Computer	Port 443	Ausgehend	Ja	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Erfassen von Protokolldaten	Port 443	Ausgehend	Ja	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden	Port 443	Ausgehend	Ja	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden	Port 443	Ausgehend	Ja	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Nur erforderlich, wenn Sie Daten an die Log Analytics-Tabelle Custom Logs senden	Port 443	Ausgehend	Ja	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Ersetzen Sie „.com“ oben durch „.us“	Wie oben	Wie oben	Wie oben	Wie oben
Microsoft Azure von 21Vianet	Ersetzen Sie „.com“ oben durch „.cn“	Wie oben	Wie oben	Wie oben	Wie oben

Hinweis

Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie nur die privaten Datensammlungsendpunkte (Data Collection Endpoints, DCEs) hinzufügen. Der Agent verwendet die oben aufgeführten nicht privaten Endpunkte nicht, wenn private Links/Datensammlungsendpunkte verwendet werden. Die Vorschau von Azure Monitor Metrics (benutzerdefinierte Metriken) ist in Azure Government und Azure operated by 21Vianet-Clouds nicht verfügbar.

Proxykonfiguration

Wenn der Computer für die Kommunikation über das Internet einen Proxyserver verwendet, sehen Sie sich die folgenden Anforderungen an, um sich mit der erforderlichen Netzwerkkonfiguration vertraut zu machen.

Die Windows- und Linux-Erweiterungen für den Azure Monitor-Agent können mithilfe des HTTPS-Protokolls entweder über einen Proxyserver oder ein Log Analytics-Gateway mit Azure Monitor kommunizieren. Sie können dieses für virtuelle Azure-Computer, Azure-VM-Skalierungsgruppen und Azure Arc für Server verwenden. Nutzen Sie die Erweiterungseinstellungen wie in den folgenden Schritten beschrieben für die Konfiguration. Sowohl die anonyme Authentifizierung als auch die Standardauthentifizierung mithilfe eines Benutzernamens und eines Kennworts wird unterstützt.

Wichtig

Die Proxykonfiguration wird für Azure Monitor-Metriken (öffentliche Vorschau) als Ziel nicht unterstützt. Wenn Sie also Metriken an dieses Ziel senden, wird das öffentliche Internet ohne Proxy verwendet.

1. Verwenden Sie dieses Flussdiagramm, um zunächst die Werte der Parameter Settings und ProtectedSettings zu bestimmen.

   

   Hinweis

   Das Festlegen des Linux-Systemproxys über Umgebungsvariablen wie http_proxy und https_proxy wird nur mit Azure Monitor Agent für Linux, Version 1.24.2 und höher, unterstützt. Wenn Sie über eine Proxykonfiguration verfügen, orientieren Sie sich bei der ARM-Vorlage an dem unten angegebenen ARM-Vorlagenbeispiel, um die Proxyeinstellung in der ARM-Vorlage zu deklarieren. Darüber hinaus kann ein Benutzer „globale“ Umgebungsvariablen festlegen, die von allen systemd-Diensten über die Variable DefaultEnvironment in /etc/systemd/system.conf erfasst werden.

2. Nachdem Sie die Werte für die Parameter Settings und ProtectedSettings festgelegt haben, geben Sie diese anderen Parameter an, wenn Sie den Azure Monitor-Agent bereitstellen. Verwenden Sie PowerShell-Befehle, wie in den folgenden Beispielen gezeigt:

Windows-VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux-VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-fähiger Server

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server mit Linux Arc-Unterstützung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Beispiel für eine ARM-Richtlinienvorlage

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration des Log Analytics-Gateways

1. Befolgen Sie die Anweisungen zum Konfigurieren von Proxyeinstellungen für den Agent, und geben Sie die IP-Adresse und Portnummer des Gatewayservers an. Wenn Sie mehrere Gatewayserver hinter einem Lastenausgleichsmodul bereitgestellt haben, handelt es sich bei der Agent-Proxykonfiguration stattdessen um die virtuelle IP-Adresse des Lastenausgleichs.
2. Fügen Sie die URL des Konfigurationsendpunkts zur Positivliste des GatewaysAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com hinzu, um Datensammlungsregeln abzurufen. (Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die Datensammlungsendpunkte hinzufügen.)
3. Fügen Sie die URL des Datenerfassungsendpunkts der Positivliste für das GatewayAdd-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com hinzu.
4. Starten Sie den Dienst OMS-Gateway neu, um die Änderungen an Stop-Service -Name <gateway-name> und Start-Service -Name <gateway-name> zu übernehmen.

Nächste Schritte

• Zuordnen eines Endpunkts zu Computern
• Aktivieren der Netzwerkisolation für den Azure Monitor-Agent unter Verwendung von Private Link.