Configuración de red del agente de Azure Monitor
El agente de Azure Monitor admite la conexión mediante proxy directos, una puerta de enlace de Log Analytics y vínculos privados. Este artículo explica cómo definir la configuración de la red y habilitar el aislamiento de la red para Azure Monitor Agent.
Etiquetas de servicio de red virtual
Las etiquetas de servicio de red virtual de Azure deben estar habilitadas en la red virtual de la máquina virtual. Se requieren las etiquetas AzureMonitor y AzureResourceManager.
Las etiqueta de servicio de red de Azure Virtual se pueden usar para definir controles de acceso a la red en grupos de seguridad de red, Azure Firewall y rutas definidas por el usuario. Use etiquetas de servicio en lugar de direcciones IP específicas cuando cree reglas de seguridad y rutas. Para los escenarios en los que no se pueden usar etiquetas de servicio de red virtual de Azure, se indican a continuación los requisitos de Firewall.
Nota:
Las direcciones IP públicas del punto de conexión de recopilación de datos no forman parte de las etiquetas de servicio de red mencionadas anteriormente. Si tiene registros personalizados o reglas de recopilación de datos de registro de IIS, considere la posibilidad de permitir que las direcciones IP públicas del punto de conexión de recopilación de datos para estos escenarios funcionen hasta que estos escenarios sean compatibles con las etiquetas de servicio de red.
Puntos de conexión de firewall
En la siguiente tabla se indican los puntos de conexión a los que los firewalls deben proporcionar acceso para las distintas nubes. Cada una es una conexión saliente al puerto 443.
Importante
Se debe deshabilitar la inspección HTTPS para todos los puntos de conexión.
| Punto de conexión | Fin | Ejemplo |
|---|---|---|
global.handler.control.monitor.azure.com |
Access Control Service: | |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
Captura de reglas de recopilación de datos para una máquina específica | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Ingesta de datos de registros | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| management.azure.com | Solo es necesario si se envían datos de serie temporal (métricas) a la base de datos de métricas personalizadas de Azure Monitor. | - |
<virtual-machine-region-name>.monitoring.azure.com |
Solo es necesario si se envían datos de serie temporal (métricas) a la base de datos de métricas personalizadas de Azure Monitor. | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Solo es necesario si se envían datos a la tabla registros personalizados de Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Reemplace el sufijo en los puntos de conexión por el sufijo de la siguiente tabla para nubes diferentes.
| Nube | Sufijo |
|---|---|
| Azure Commercial | .com |
| Azure Government | .us |
| Microsoft Azure operado por 21Vianet | .cn |
Nota:
Si usa enlaces privados en el agente, solo deberá agregar los puntos de conexión de recopilación de datos privados (DCE). El agente no usa los puntos de conexión no privados enumerados anteriormente cuando se usan puntos de conexión de recopilación de datos o vínculos privados. La versión preliminar de métricas de Azure Monitor (métricas personalizadas) no está disponible en las nubes Azure Government y Azure operado por 21Vianet.
Nota:
Al usar AMA con AMPLS, todas las reglas de recopilación de datos deben usar los puntos de conexión de recopilación de datos. Esas DCE deben agregarse a la configuración de AMPLS mediante vínculo privado
Configuración de proxy
Las extensiones del agente de Azure Monitor para Windows y Linux pueden comunicarse a través de un servidor proxy o una puerta de enlace de Log Analytics a Azure Monitor mediante el protocolo HTTPS. Úselo para máquinas virtuales de Azure, conjuntos de escalado de máquinas virtuales de Azure y Azure Arc para servidores. Use los ajustes de extensiones a efectos de configuración como se describe en los siguientes pasos. Se admite autenticación tanto anónima como básica usando un nombre de usuario y una contraseña.
Importante
La configuración del proxy no se admite con métricas de Azure Monitor (versión preliminar) como destino. Si va a enviar métricas a este destino, usará la red pública de Internet sin ningún proxy.
Nota:
La configuración del proxy del sistema Linux a través de variables de entorno como http_proxy y https_proxy solo se admite mediante el agente de Azure Monitor para la versión 1.24.2 de Linux y versiones posteriores. Para la plantilla de ARM, si tiene configuración de proxy, siga el ejemplo de plantilla de ARM que se muestra a continuación para declarar la configuración de proxy dentro de la plantilla de ARM. Además, un usuario puede establecer variables de entorno "globales" que se recojan por todos los servicios del sistema a través de la variable DefaultEnvironment en /etc/systemd/system.conf.
Use comandos de PowerShell en los siguientes ejemplos en función del entorno y la configuración:
- Máquina virtual Windows
- Máquina virtual Linux
- Servidor habilitado para Windows Arc
- Servidor habilitado para Linux Arc
- Ejemplo de plantilla de directiva de ARM
Sin proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy sin autenticación
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy con autenticación
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuración de la puerta de enlace de Log Analytics
- Siga las guía anteriores para configurar los valores de proxy en el agente y proporcione la dirección IP y el número de puerto que corresponden al servidor de puerta de enlace. Si ha implementado varios servidores de puerta de enlace detrás de un equilibrador de carga, la configuración de proxy del agente es la dirección IP virtual del equilibrador de carga.
- Agregue la dirección URL del punto de conexión de configuración para capturar las reglas de recopilación de datos en la lista de permitidos de la puerta de enlace
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com(Si usa vínculos privados en el agente, también debe agregar los puntos de conexión de recopilación de datos). - Agregue la dirección URL del punto de conexión de ingesta de datos a la lista de permitidos de la puerta de enlace
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com. - Reinicie el servicio OMS Gateway para aplicar los cambios
Stop-Service -Name <gateway-name>yStart-Service -Name <gateway-name>.