Von Azure Monitor verwendete IP-Adressen

Von Azure Monitor werden mehrere IP-Adressen verwendet. Azure Monitor umfasst neben Log Analytics und Application Insights auch Metriken und Protokolle der Kernplattform. Wenn die zu überwachende App oder Infrastruktur hinter einer Firewall gehostet wird, müssen Ihnen ggf. IP-Adressen bekannt sein.

Hinweis

Diese Adressen sind zwar statisch, müssen aber unter Umständen gelegentlich geändert werden. Sämtlicher Datenverkehr für Application Insights stellt ausgehenden Datenverkehr dar, mit Ausnahme der Überwachung der Verfügbarkeit und Webhook Aktionsgruppe, für die ebenfalls eingehende Firewallregeln erforderlich sind.

Sie können Netzwerkdiensttags von Azure verwenden, um bei Verwendung von Azure-Netzwerksicherheitsgruppen den Zugriff zu verwalten. Wenn Sie Zugriff für hybride oder lokale Ressourcen verwalten, können Sie die entsprechenden IP-Adresslisten als JSON-Dateien herunterladen, die jede Woche aktualisiert werden. Verwenden Sie die Diensttags ActionGroup, ApplicationInsightsAvailability und AzureMonitor, um alle Ausnahmen in diesem Artikel abzudecken.

Ausgehende Ports

Sie müssen in der Firewall Ihres Servers ein paar ausgehende Ports öffnen, damit das Application Insights SDK oder Application Insights Agent Daten an das Portal senden kann.

Hinweis

Diese Adressen werden unter Verwendung der Notation für klassenloses domänenübergreifendes Routing (Classless Inter-Domain Routing, CIDR) aufgeführt. Ein Eintrag wie 51.144.56.112/28 entspricht also beispielsweise 16 IP-Adressen, die bei 51.144.56.112 beginnen und bei 51.144.56.127 enden.

Zweck	URL	type	IP	Ports
Telemetrie	dc.applicationinsights.azure.com dc.applicationinsights.microsoft.com dc.services.visualstudio.com *.in.applicationinsights.azure.com	Global Global Global Länderspezifisch		443
Livemetriken	live.applicationinsights.azure.com rt.applicationinsights.microsoft.com rt.services.visualstudio.com {region}.livediagnostics.monitor.azure.com *Beispiel für {region}: westus2	Global Global Global Länderspezifisch	20.49.111.32/29 13.73.253.112/29	443

Hinweis

Application Insights-Erfassungsendpunkte sind nur IPv4.

Application Insights-Agent

Die Application Insights Agent-Konfiguration ist nur erforderlich, wenn Änderungen vorgenommen werden.

Zweck	URL	Ports
Konfiguration	management.core.windows.net	443
Konfiguration	management.azure.com	443
Konfiguration	login.windows.net	443
Konfiguration	login.microsoftonline.com	443
Konfiguration	secure.aadcdn.microsoftonline-p.com	443
Konfiguration	auth.gfx.ms	443
Konfiguration	login.live.com	443
Installation	globalcdn.nuget.org, packages.nuget.org ,api.nuget.org/v3/index.jsonnuget.org, api.nuget.org, dc.services.vsallin.net	443

Verfügbarkeitstests

Weitere Informationen zu Verfügbarkeitstests finden Sie unter Private Verfügbarkeitstests.

Application Insights- und Log Analytics-APIs

Zweck	URI	IP	Ports
API	api.applicationinsights.io api1.applicationinsights.io api2.applicationinsights.io api3.applicationinsights.io api4.applicationinsights.io api5.applicationinsights.io dev.applicationinsights.io dev.applicationinsights.microsoft.com dev.aisvc.visualstudio.com www.applicationinsights.io www.applicationinsights.microsoft.com www.aisvc.visualstudio.com api.loganalytics.io *.api.loganalytics.io dev.loganalytics.io docs.loganalytics.io www.loganalytics.io	20.37.52.188 20.37.53.231 20.36.47.130 20.40.124.0 20.43.99.158 20.43.98.234 13.70.127.61 40.81.58.225 20.40.160.120 23.101.225.155 52.139.8.32 13.88.230.43 52.230.224.237 52.242.230.209 52.173.249.138 52.229.218.221 52.229.225.6 23.100.94.221 52.188.179.229 52.226.151.250 52.150.36.187 40.121.135.131 20.44.73.196 20.41.49.208 40.70.23.205 20.40.137.91 20.40.140.212 40.89.189.61 52.155.118.97 52.156.40.142 23.102.66.132 52.231.111.52 52.231.108.46 52.231.64.72 52.162.87.50 23.100.228.32 40.127.144.141 52.155.162.238 137.116.226.81 52.185.215.171 40.119.4.128 52.171.56.178 20.43.152.45 20.44.192.217 13.67.77.233 51.104.255.249 51.104.252.13 51.143.165.22 13.78.151.158 51.105.248.23 40.74.36.208 40.74.59.40 13.93.233.49 52.247.202.90	80, 443
Azure-Erweiterung für Pipelineanmerkungen	aigs1.aisvc.visualstudio.com	dynamisch	443

Application Insights-Analyse

Zweck	URI	IP	Ports
Analytics-Portal	analytics.applicationinsights.io	dynamisch	80, 443
CDN	applicationanalytics.azureedge.net	dynamisch	80, 443
Medien-CDN	applicationanalyticsmedia.azureedge.net	dynamisch	80, 443

Für die Domäne „*.applicationinsights.io“ ist das Application Insights-Team zuständig.

Log Analytics-Portal

Zweck	URI	IP	Ports
Portal	portal.loganalytics.io	dynamisch	80, 443
CDN	applicationanalytics.azureedge.net	dynamisch	80, 443

Für die Domäne „*.loganalytics.io“ ist das Log Analytics-Team zuständig.

Azure-Portalerweiterung für Application Insights

Zweck	URI	IP	Ports
Application Insights-Erweiterung	stamp2.app.insightsportal.visualstudio.com	dynamisch	80, 443
Erweiterungs-CDN für Application Insights	insightsportal-prod2-cdn.aisvc.visualstudio.com insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com insightsportal-cdn-aimon.applicationinsights.io	dynamisch	80, 443

SDKs für Application Insights

Zweck	URI	IP	Ports
JS-SDK-CDN für Application Insights	az416426.vo.msecnd.net js.monitor.azure.com	dynamisch	80, 443

Webhooks für Aktionsgruppen

Sie können die Liste der IP-Adressen, die von Aktionsgruppen verwendet werden, mithilfe des PowerShell-Befehls „Get-AzNetworkServiceTag“ abfragen.

Diensttag für Aktionsgruppen

Die Verwaltung von Änderungen der Quell-IP-Adressen kann zeitaufwändig sein. Bei Verwendung von Diensttags müssen Sie die Konfiguration nicht aktualisieren. Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts dar. Microsoft verwaltet die IP-Adressen und aktualisiert automatisch das Diensttag, wenn sich Adressen ändern, sodass die Netzwerksicherheitsregeln für eine Aktionsgruppe nicht aktualisiert werden müssen.

1. Suchen Sie im Azure-Portal unter Azure-Dienste nach Netzwerksicherheitsgruppe.

2. Wählen Sie Hinzufügen aus, und erstellen Sie eine Netzwerksicherheitsgruppe:

   1. Fügen Sie den Ressourcengruppennamen hinzu, und geben Sie Instanzdetails ein.
   2. Klicken Sie auf Review + Create (Überprüfen und erstellen) und dann auf Create (Erstellen).

   

3. Navigieren Sie zu Ressourcengruppe, und wählen Sie anschließend die erstellte Netzwerksicherheitsgruppe aus:

   1. Klicken Sie auf Eingangssicherheitsregeln.
   2. Klicken Sie auf Hinzufügen.

   

4. Im rechten Bereich wird ein neues Fenster geöffnet:

   1. Geben Sie unter Quelle die Zeichenfolge Diensttag ein.
   2. Geben Sie unter Quelldiensttag die Zeichenfolge ActionGroup ein.
   3. Klicken Sie auf Hinzufügen.

   

Profiler

Zweck	URI	IP	Ports
Agent	agent.azureserviceprofiler.net *.agent.azureserviceprofiler.net	20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239	443
Portal	gateway.azureserviceprofiler.net	dynamisch	443
Storage	*.core.windows.net	dynamisch	443

Debuggen von Momentaufnahmen

Hinweis

Profiler und Momentaufnahmedebugger teilen sich den gleichen Satz von IP-Adressen.

Zweck	URI	IP	Ports
Agent	agent.azureserviceprofiler.net *.agent.azureserviceprofiler.net	20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239	443
Portal	gateway.azureserviceprofiler.net	dynamisch	443
Storage	*.core.windows.net	dynamisch	443

Häufig gestellte Fragen

Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.

Kann ich einen Intranetwebserver überwachen?

Ja, aber Sie müssen Datenverkehr zu unseren Diensten entweder über Firewallausnahmen oder durch Proxyweiterleitungen zulassen:

• QuickPulse https://rt.services.visualstudio.com:443
• ApplicationIdProvider https://dc.services.visualstudio.com:443
• TelemetryChannel https://dc.services.visualstudio.com:443

Unsere vollständige Liste der Dienste und IP-Adressen finden Sie unter Von Azure Monitor verwendete IP-Adressen.

Wie kann ich Datenverkehr von meinem Server an ein Gateway in meinem Intranet umleiten?

Leiten Sie Datenverkehr von Ihrem Server an ein Gateway im Intranet weiter, indem Sie Endpunkte in Ihrer Konfiguration überschreiben. Wenn die Endpoint-Eigenschaften in Ihrer Konfiguration nicht vorhanden sind, verwenden diese Klassen die in der folgenden Beispieldatei „ApplicationInsights.config“ gezeigten Standardwerte.

Ihr Gateway muss Datenverkehr an die Basisadresse unseres Endpunkts weiterleiten. Ersetzen Sie in Ihrer Konfiguration die Standardwerte durch http://<your.gateway.address>/<relative path>.

Beispieldatei „ApplicationInsights.config“ mit Standardendpunkten:

<ApplicationInsights>
...
<TelemetryModules>
    <Add Type="Microsoft.ApplicationInsights.Extensibility.PerfCounterCollector.QuickPulse.QuickPulseTelemetryModule, Microsoft.AI.PerfCounterCollector">
    <QuickPulseServiceEndpoint>https://rt.services.visualstudio.com/QuickPulseService.svc</QuickPulseServiceEndpoint>
    </Add>
</TelemetryModules>
    ...
<TelemetryChannel>
    <EndpointAddress>https://dc.services.visualstudio.com/v2/track</EndpointAddress>
</TelemetryChannel>
...
<ApplicationIdProvider Type="Microsoft.ApplicationInsights.Extensibility.Implementation.ApplicationId.ApplicationInsightsApplicationIdProvider, Microsoft.ApplicationInsights">
    <ProfileQueryEndpoint>https://dc.services.visualstudio.com/api/profiles/{0}/appId</ProfileQueryEndpoint>
</ApplicationIdProvider>
...
</ApplicationInsights>

Hinweis

ApplicationIdProvider ist ab v2.6.0 verfügbar.