Configuration réseau de l’agent Azure Monitor
L’agent Azure Monitor prend en charge la connexion avec des proxys directs, la passerelle Log Analytics et des liaisons privées. Cet article explique comment définir les paramètres réseau et activer l’isolation réseau pour l’agent Azure Monitor.
Balises de service du réseau virtuel
Les étiquettes du service de réseau virtuel Azure doivent être activées sur le réseau virtuel pour la machine virtuelle. Les étiquettes AzureMonitor et AzureResourceManager sont toutes les deux requises.
Vous pouvez utiliser des étiquettes de service du réseau virtuel Azure pour définir des contrôles d’accès au réseau sur des groupes de sécurité du réseau, Pare-feu Azure et des routes définies par l’utilisateur. Utilisez des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de sécurité et des routes. Pour découvrir des scénarios où les étiquettes de service du réseau virtuel Azure ne peuvent pas être utilisées, les exigences du pare-feu sont indiquées ci-dessous.
Remarque
Les adresses IP publiques du point de terminaison de collecte de données ne font pas partie des étiquettes de service réseau susmentionnées. Si vous avez des journaux personnalisés ou des règles de collecte de données de journal IIS, envisagez d’autoriser les adresses IP publiques du point de terminaison de collecte de données pour que ces scénarios fonctionnent jusqu’à leur prise en charge par les balises de service réseau.
Points de terminaison de pare-feu
Le tableau suivant fournit les points de terminaison auxquels les pare-feu doivent fournir l’accès pour les différents clouds. Chacun est une connexion sortante au port 443.
Important
Pour tous les points de terminaison, l’inspection HTTPS doit être désactivée.
Point de terminaison | Objectif | Exemple |
---|---|---|
global.handler.control.monitor.azure.com |
Access control service - | |
<virtual-machine-region-name> .handler.control.monitor.azure.com |
Récupérer les règles de collecte de données pour un ordinateur spécifique | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id> .ods.opinsights.azure.com |
Ingérer des données de journal | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com | Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor | - |
<virtual-machine-region-name> .monitoring.azure.com |
Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name> .ingest.monitor.azure.com |
Nécessaire uniquement si les données sont envoyées dans la table journaux personnalisés de Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Remplacez le suffixe dans les points de terminaison par le suffixe dans le tableau suivant pour les différents clouds.
Cloud | Suffixe |
---|---|
Azure Commercial | .com |
Azure Government | .us |
Microsoft Azure géré par 21Vianet | .cn |
Remarque
Si vous utilisez des liaisons privées sur l’agent, vous devez uniquement ajouter les points de terminaison de collecte de données privées. L’agent n’utilise pas les points de terminaison non privés répertoriés ci-dessus lors de l’utilisation de liens privés/points de terminaison de collecte de données. La version préliminaire des métriques Azure Monitor (métriques personnalisées) n’est pas disponible dans les clouds Azure Government et Azure géré par 21Vianet.
Remarque
Lorsque vous utilisez AMA avec AMPLS, toutes vos règles de collecte de données doivent utiliser des points de terminaison de collecte de données. Ces DCE doivent être ajoutés à la configuration AMPLS à l’aide d’une liaison privée
Configuration du proxy
Les extensions de l’agent Azure Monitor pour Windows et Linux peuvent communiquer via un serveur proxy ou une passerelle Log Analytics avec Azure Monitor en utilisant le protocole HTTPS. Utilisez-le pour les machines virtuelles Azure, les groupes de machines virtuelles identiques Azure et Azure Arc pour serveurs. Utilisez les paramètres d’extension pour la configuration, comme décrit dans les étapes suivantes. L’authentification anonyme et l’authentification de base à l’aide d’un nom d’utilisateur et d’un mot de passe sont toutes les deux prises en charge.
Important
La configuration du proxy n’est pas prise en charge pour les métriques Azure Monitor (préversion publique) comme destination. Si vous envoyez des métriques à cette destination, elle utilisera l’Internet public sans proxy.
Remarque
La définition du proxy système Linux via des variables d’environnement telles que http_proxy
et https_proxy
est uniquement prise en charge avec l’agent Azure Monitor pour Linux version 1.24.2 et ultérieures. Pour le modèle ARM, si vous avez une configuration de proxy, veuillez suivre l’exemple de modèle ARM ci-dessous déclarant le paramètre de proxy à l’intérieur du modèle ARM. En outre, un utilisateur peut définir des variables d’environnement « globales » qui sont récupérées par tous les services système via la variable DefaultEnvironment dans /etc/systemd/systemd/system.conf.
Utilisez des commandes PowerShell dans les exemples suivants en fonction de votre environnement et de votre configuration :
- Machine virtuelle Windows
- Machine virtuelle Linux
- Serveur avec Windows Arc
- Serveur avec Linux Arc
- Exemple de modèle de stratégie ARM
Aucun proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy sans authentification
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy avec authentification
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuration de la passerelle Log Analytics
- Suivez les conseils ci-dessus pour configurer les paramètres de proxy sur l’agent, et spécifiez l’adresse IP et le numéro de port correspondant au serveur de passerelle. Si vous avez déployé plusieurs serveurs de passerelle derrière un équilibreur de charge, la configuration du proxy sur l’agent doit indiquer l’adresse IP virtuelle de l’équilibreur de charge à la place.
- Ajoutez l’URL du point de terminaison de configuration pour récupérer les règles de collecte de données dans la liste d’autorisation de la passerelle
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Si vous utilisez des liaisons privées sur l’agent, vous devez également ajouter les points de terminaison de collecte de données.) - Ajoutez l’URL du point de terminaison d’ingestion de données à la liste d’autorisation de la passerelle
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Redémarrez le service de passerelle OMS pour appliquer les modifications
Stop-Service -Name <gateway-name>
etStart-Service -Name <gateway-name>
.