Az Azure Monitor Agent hálózati konfigurációja

Az Azure Monitor-ügynök közvetlen proxykkal, Log Analytics-átjáróval és privát hivatkozásokkal támogatja a kapcsolatokat. Ez a cikk bemutatja, hogyan definiálhatja a hálózati beállításokat, és hogyan engedélyezheti a hálózatelkülönítést az Azure Monitor-ügynök számára.

Virtuális hálózati szolgáltatáscímkék

Az Azure Virtual Network szolgáltatáscímkéket engedélyezni kell a virtuális gép (VM) virtuális hálózatán. Mindkettőre AzureMonitor és AzureResourceManager címkékre is szükség van. További követelményekért tekintse meg az AzureMonitorElérhető szolgáltatáscímkék bejegyzést.

Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon, az Azure Firewallon és a felhasználó által megadott útvonalakon. Biztonsági szabályok és útvonalak létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. Azokban a forgatókönyvekben, amelyekben az Azure Virtual Network szolgáltatáscímkék nem használhatók, a tűzfalkövetelményekről a cikk későbbi részében olvashat.

Feljegyzés

Az adatgyűjtési végpont (DCE) nyilvános IP-címei nem szerepelnek az Azure Monitor hálózati hozzáférés-vezérlőinek meghatározásához használható hálózati szolgáltatáscímkékben. Ha egyéni naplókkal vagy IIS-napló adatgyűjtési szabályokkal (DCR-ekkel) rendelkezik, fontolja meg a DCE nyilvános IP-címeinek engedélyezését. Ez biztosítja, hogy a forgatókönyvek működjenek, amíg ezeket a forgatókönyveket nem támogatják a hálózati szolgáltatáscímkék.

Tűzfalvégpontok

Az alábbi táblázat azokat a végpontokat tartalmazza, amelyekhez a tűzfalaknak hozzáférést kell biztosítaniuk a különböző felhőkhöz. Minden végpont egy kimenő kapcsolat a 443-as porthoz.

Fontos

Minden végpont esetében le kell tiltani a HTTPS-ellenőrzést.

Végpont	Cél	Példa
global.handler.control.monitor.azure.com	Hozzáférés a vezérlőszolgáltatáshoz	Nem alkalmazható
global.prod.microsoftmetrics.com	Hozzáférés a metrikák szolgáltatáshoz	Nem alkalmazható
<virtual-machine-region-name>.handler.control.monitor.azure.com	DCR-ek lekérése egy adott géphez	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Naplóadatok betöltése	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Csak akkor szükséges, ha idősoradatokat (metrikákat) küld egy Azure Monitor egyéni metrikák adatbázisába	Nem alkalmazható
<virtual-machine-region-name>.monitoring.azure.com	Csak akkor szükséges, ha idősoradatokat (metrikákat) küld egy Azure Monitor egyéni metrikák adatbázisába	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Naplóadatok betöltése	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Cserélje le a végpontok utótagját arra az utótagra, amely az alábbi táblázatban szerepel az egyes felhők esetében:

Felhő	Toldalék
Azure kereskedelmi szolgáltatás	.com
Azure Government	.us
A 21Vianet által üzemeltetett Microsoft Azure	.cn

Feljegyzés

• Ha privát hivatkozásokat használ az ügynökön, csakprivát DCE-ket kell hozzáadnia. Az ügynök nem használja az előző táblázatban felsorolt nemprivate végpontokat magánhivatkozások vagy magánhálózati tartományvezérlők használatakor.

• Az Azure Monitor-metrikák (egyéni metrikák) előzetes verziója nem érhető el az Azure Governmentben és a 21Vianet-felhők által üzemeltetett Azure-ban.

• Ha az Azure Monitor-ügynököt az Azure Monitor Private Link-hatókörrel használja, az összes tartományvezérlőnek DCE-ket kell használnia. A DCE-eket egy privát kapcsolaton keresztül hozzá kell adni az Azure Monitor privát kapcsolat hatókörének konfigurációhoz.

Proxy konfigurálása

A Windowshoz és Linuxhoz készült Azure Monitor Agent-bővítmények proxykiszolgálón vagy Log Analytics-átjárón keresztül kommunikálhatnak az Azure Monitorral a HTTPS protokoll használatával. Használja az Azure virtuális gépekhez, méretezési csoportokhoz és Azure Arc szerverekhez. A bővítménybeállításokat a következő lépésekben leírtak szerint konfigurálja. A névtelen hitelesítés és az alapszintű hitelesítés is támogatott felhasználónévvel és jelszóval.

Fontos

Az OMS Gateway nem támogatott az Azure Arc-kompatibilis kiszolgálók esetében a proxykapcsolat, a privát kapcsolódás és a nyilvános végpont kapcsolati beállításaihoz.

Fontos

Az Azure Monitor Metrics (előzetes verzió) nem használható célként proxykonfigurációval. Ha metrikákat küld erre a célhelyre, az proxy nélkül használja a nyilvános internetet.

Feljegyzés

A Linux rendszerproxy beállítása környezeti változókon keresztül, például http_proxy és https_proxy csak akkor támogatott, ha a Linux 1.24.2-es vagy újabb verziójához készült Azure Monitor Agentet használja. Az Azure Resource Manager-sablon (ARM-sablon) esetében, ha proxyt konfigurál, használja az itt látható ARM-sablont, amely az ARM-sablonon belüli proxybeállítások deklarálására szolgál. Emellett a felhasználó beállíthat olyan globális környezeti változókat is, amelyeket az összes rendszerezett szolgáltatás a DefaultEnvironment változón keresztül fog átvenni a /etc/systemd/system.conf fájlban.

Használja az Azure PowerShell-parancsokat az alábbi példákban a környezet és a konfiguráció alapján.

Windows rendszerű virtuális gép

Nincs proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy hitelesítés nélkül

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy hitelesítéssel

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Proxykonfiguráció visszaállítása alapértelmezett értékre

A proxykonfiguráció alapértelmezett értékre való visszaállításához definiálhatja a $settingsString = ""{}; értéket, ahogyan az alábbi példában is látható:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Linux rendszerű virtuális gép

Nincs proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy hitelesítés nélkül

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy hitelesítéssel

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-engedélyezett kiszolgáló

Nincs proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy hitelesítés nélkül

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy hitelesítéssel

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Proxykonfiguráció visszaállítása alapértelmezett értékre

A proxykonfiguráció alapértelmezett értékre való visszaállításához definiálhatja a $settingsString = ""{}; értéket, ahogyan az alábbi példában is látható:

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Linux Arc-kompatibilis kiszolgáló

Nincs proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy hitelesítés nélkül

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy hitelesítéssel

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Azure Resource Manager szabályzatsablon példa

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics-átjáró konfigurálása

1. Kövesse az előző útmutatást az ügynök proxybeállításainak konfigurálásához, és adja meg az átjárókiszolgálónak megfelelő IP-címet és portszámot. Ha több átjárókiszolgálót helyezett üzembe egy terheléselosztó mögött, az ügynökproxy-konfigurációhoz használja inkább a terheléselosztó virtuális IP-címét.

2. Adja hozzá a konfigurációs végpont URL-címét a DCR-ek lekéréséhez az átjáró engedélyezési listájához:

   1. Futtassa a Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Futtassa a Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Ha privát hivatkozásokat használ az ügynökön, akkor hozzá kell adnia a DCE-eket is.)

3. Adja hozzá az adatbetöltési végpont URL-címét az átjáró engedélyezési listájához:

   • Futtassa a Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. A módosítások alkalmazásához indítsa újra a Log Analytics-átjáró (OMS Gateway) szolgáltatást:

   1. Futtassa a Stop-Service -Name <gateway-name>.
   2. Futtassa a Start-Service -Name <gateway-name>.

Kapcsolódó tartalom

• Megtudhatja, hogyan adhat hozzá végpontot egy Azure Monitor privát kapcsolat hatókörű erőforráshoz.