Adresses IP utilisées par Azure Monitor
Azure Monitor utilise plusieurs adresses IP. Azure Monitor est constitué de métriques de plateforme de base et de journaux, en plus de Log Analytics et d’Application Insights. Vous devrez peut-être connaître ces adresses IP si l’application ou l’infrastructure que vous supervisez est hébergée derrière un pare-feu.
Notes
Bien que ces adresses soient statiques, il est possible que nous devions les modifier de temps à autre. Tout le trafic d’Application Insights représente le trafic sortant, à l’exception de la surveillance de la disponibilité et des groupes d’action webhook qui nécessitent des règles de pare-feu entrantes.
Vous pouvez utiliser les balises de service réseau Azure pour gérer l’accès si vous utilisez des groupes de sécurité réseau Azure. Si vous gérez l’accès pour les ressources hybrides/locales, vous pouvez télécharger les listes d’adresses IP équivalentes en tant que fichiers JSON qui sont mis à jour chaque semaine. Pour couvrir toutes les exceptions de cet article, utilisez les étiquettes de service ActionGroup, ApplicationInsightsAvailability et AzureMonitor.
Remarque
Les étiquettes de service ne remplacent pas les vérifications de validation/authentification requises pour les communications entre locataires entre la ressource Azure d’un client et d’autres ressources d’étiquette de service.
Ports sortants
Vous devez ouvrir des ports sortants dans le pare-feu de votre serveur pour autoriser le SDK ou l’agent Application Insights à envoyer des données sur le portail.
Notes
Ces adresses sont listées selon la notation CIDR (Classless InterDomain Routing). Par exemple, l’entrée 51.144.56.112/28 équivaut à 16 adresses IP qui commencent à 51.144.56.112 et se terminent à 51.144.56.127.
| Objectif | URL | Type | IP | Ports |
|---|---|---|---|---|
| Télémétrie | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com*.in.applicationinsights.azure.com |
Global Global Global Zones géographiques |
443 | |
| Métriques temps réel | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com*Exemple pour {region}: westus2 |
Global Global Global Zones géographiques |
20.49.111.32/29 13.73.253.112/29 |
443 |
Notes
Les points de terminaison d'ingestion Application Insights sont IPv4 uniquement.
Agent Application Insights
La configuration de l’agent Application Insights est nécessaire uniquement pour apporter des modifications.
| Objectif | URL | Ports |
|---|---|---|
| Configuration | management.core.windows.net |
443 |
| Configuration | management.azure.com |
443 |
| Configuration | login.windows.net |
443 |
| Configuration | login.microsoftonline.com |
443 |
| Configuration | secure.aadcdn.microsoftonline-p.com |
443 |
| Configuration | auth.gfx.ms |
443 |
| Configuration | login.live.com |
443 |
| Installation | globalcdn.nuget.org, , packages.nuget.orgapi.nuget.org/v3/index.json nuget.org, , api.nuget.orgdc.services.vsallin.net |
443 |
Tests de disponibilité
Pour plus d’informations sur les tests de disponibilité, consultez Tests de disponibilité privés.
API Log Analytics et Application Insights
| Objectif | URI | IP | Ports |
|---|---|---|---|
| API | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.iodev.applicationinsights.iodev.applicationinsights.microsoft.comdev.aisvc.visualstudio.comwww.applicationinsights.iowww.applicationinsights.microsoft.comwww.aisvc.visualstudio.comapi.loganalytics.io*.api.loganalytics.iodev.loganalytics.iodocs.loganalytics.iowww.loganalytics.ioapi.loganalytics.azure.com |
20.37.52.188 20.37.53.231 20.36.47.130 20.40.124.0 20.43.99.158 20.43.98.234 13.70.127.61 40.81.58.225 20.40.160.120 23.101.225.155 52.139.8.32 13.88.230.43 52.230.224.237 52.242.230.209 52.173.249.138 52.229.218.221 52.229.225.6 23.100.94.221 52.188.179.229 52.226.151.250 52.150.36.187 40.121.135.131 20.44.73.196 20.41.49.208 40.70.23.205 20.40.137.91 20.40.140.212 40.89.189.61 52.155.118.97 52.156.40.142 23.102.66.132 52.231.111.52 52.231.108.46 52.231.64.72 52.162.87.50 23.100.228.32 40.127.144.141 52.155.162.238 137.116.226.81 52.185.215.171 40.119.4.128 52.171.56.178 20.43.152.45 20.44.192.217 13.67.77.233 51.104.255.249 51.104.252.13 51.143.165.22 13.78.151.158 51.105.248.23 40.74.36.208 40.74.59.40 13.93.233.49 52.247.202.90 |
80,443 |
| Extension Annotations de pipeline Azure | aigs1.aisvc.visualstudio.com |
dynamic | 443 |
Analytique Application Insights
| Objectif | URI | IP | Ports |
|---|---|---|---|
| Portail Analytics | analytics.applicationinsights.io |
dynamic | 80,443 |
| CDN | applicationanalytics.azureedge.net |
dynamic | 80,443 |
| CDN multimédia | applicationanalyticsmedia.azureedge.net |
dynamic | 80,443 |
Le domaine *.applicationinsights.io appartient à l’équipe Application Insights.
Portail Log Analytics
| Objectif | URI | IP | Ports |
|---|---|---|---|
| Portail | portal.loganalytics.io |
dynamic | 80,443 |
| CDN | applicationanalytics.azureedge.net |
dynamic | 80,443 |
Le domaine *.loganalytics.io appartient à l’équipe Log Analytics.
Extension du portail Azure Application Insights
| Objectif | URI | IP | Ports |
|---|---|---|---|
| Extension Application Insights | stamp2.app.insightsportal.visualstudio.com |
dynamic | 80,443 |
| CDN de l’extension Application Insights | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
dynamic | 80,443 |
SDK Application Insights
| Objectif | URI | IP | Ports |
|---|---|---|---|
| CDN du SDK JS Application Insights | az416426.vo.msecnd.netjs.monitor.azure.com |
dynamic | 80,443 |
Webhooks de groupe d’actions
Vous pouvez interroger la liste des adresses IP utilisées par les groupes d’actions en utilisant la commande PowerShell Get-AzNetworkServiceTag.
Étiquette de service de groupe d’actions
La gestion des modifications apportées aux adresses IP sources peut prendre du temps. L’utilisation d’étiquettes de service élimine la nécessité de mettre à jour votre configuration. Une étiquette de service représente un groupe de préfixes d’adresses IP d’un service Azure spécifique. Microsoft gère les adresses IP et met à jour automatiquement l’étiquette de service au fur et à mesure que les adresses changent, ce qui évite d’avoir à mettre à jour les règles de sécurité réseau pour un groupe d’actions.
Dans le portail Azure, sous Services Azure, recherchez Groupe de sécurité réseau.
Sélectionnez Ajouter, puis créez un groupe de sécurité réseau :
- Ajoutez le nom du groupe de ressources, puis entrez des informations dans Détails de l’instance.
- Sélectionnez Vérifier + créer, puis Créer.
Accédez à Groupe de ressources, puis sélectionnez le groupe de sécurité réseau que vous avez créé :
- Sélectionnez Règles de sécurité de trafic entrant.
- Sélectionnez Ajouter.
Une nouvelle fenêtre s’ouvre dans le volet de droite :
- Sous Source, entrez Étiquette de service.
- Sous Étiquette de service source, entrez ActionGroup.
- Sélectionnez Ajouter.
Profileur
| Objectif | URI | IP | Ports |
|---|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| Portail | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
dynamic | 443 |
| Stockage | *.core.windows.net |
dynamic | 443 |
Débogueur de capture instantanée
Notes
Le profileur et le débogueur de capture instantanée partagent le même jeu d’adresses IP.
| Objectif | URI | IP | Ports |
|---|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| Portail | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
dynamic | 443 |
| Stockage | *.core.windows.net |
dynamic | 443 |
Forum aux questions
Cette section fournit des réponses aux questions fréquentes.
Puis-je surveiller un serveur web intranet ?
Oui, mais vous devez autoriser le trafic vers nos services par des exceptions de pare-feu ou des redirections de proxy :
- QuickPulse
https://rt.services.visualstudio.com:443 - ApplicationIdProvider
https://dc.services.visualstudio.com:443 - TelemetryChannel
https://dc.services.visualstudio.com:443
Consultez Adresses IP utilisées par Azure Monitor pour passer en revue notre liste complète des services et des adresses IP.
Comment rediriger le trafic de mon serveur vers une passerelle de mon intranet ?
Acheminez le trafic entre votre serveur et une passerelle sur votre intranet en remplaçant les points de terminaison dans votre configuration. Si ces propriétés Endpoint ne sont pas présentes dans votre configuration, ces classes utilisent les valeurs par défaut indiquées dans l’exemple ApplicationInsights.config suivant.
Votre passerelle doit acheminer le trafic vers l’adresse de base de notre point de terminaison. Dans votre configuration, remplacez les valeurs par défaut par http://<your.gateway.address>/<relative path>.
Exemple ApplicationInsights.config avec les points de terminaison par défaut :
<ApplicationInsights>
...
<TelemetryModules>
<Add Type="Microsoft.ApplicationInsights.Extensibility.PerfCounterCollector.QuickPulse.QuickPulseTelemetryModule, Microsoft.AI.PerfCounterCollector">
<QuickPulseServiceEndpoint>https://rt.services.visualstudio.com/QuickPulseService.svc</QuickPulseServiceEndpoint>
</Add>
</TelemetryModules>
...
<TelemetryChannel>
<EndpointAddress>https://dc.services.visualstudio.com/v2/track</EndpointAddress>
</TelemetryChannel>
...
<ApplicationIdProvider Type="Microsoft.ApplicationInsights.Extensibility.Implementation.ApplicationId.ApplicationInsightsApplicationIdProvider, Microsoft.ApplicationInsights">
<ProfileQueryEndpoint>https://dc.services.visualstudio.com/api/profiles/{0}/appId</ProfileQueryEndpoint>
</ApplicationIdProvider>
...
</ApplicationInsights>
Notes
ApplicationIdProvider est disponible à partir de la version 2.6.0.