Menentukan pengaturan jaringan Agen Azure Monitor
Agen Azure Monitor mendukung koneksi dengan menggunakan proksi langsung, gateway Analitik Log, dan tautan privat. Artikel ini menjelaskan cara menentukan pengaturan jaringan dan mengaktifkan isolasi jaringan untuk Agen Azure Monitor.
Tag layanan jaringan virtual
Agen Azure Monitor mendukung tag layanan jaringan virtual Azure. Kedua tag AzureMonitor dan AzureResourceManager diperlukan.
Tag layanan jaringan Azure Virtual dapat digunakan untuk menentukan kontrol akses jaringan pada grup keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat rute dan aturan keamanan. Untuk skenario di mana tag layanan jaringan virtual Azure tidak dapat digunakan, persyaratan Firewall diberikan di bawah ini.
Persyaratan firewall
Cloud | Titik akhir | Tujuan | Port | Arah | Melewati inspeksi HTTPS | Contoh |
---|---|---|---|---|---|---|
Iklan Azure | global.handler.control.monitor.azure.com | Layanan kontrol akses | Port 443 | Keluar | Ya | - |
Iklan Azure | <virtual-machine-region-name> .handler.control.monitor.azure.com |
Mengambil aturan pengumpulan data untuk komputer tertentu | Port 443 | Keluar | Ya | westus2.handler.control.monitor.azure.com |
Iklan Azure | <log-analytics-workspace-id> .ods.opinsights.azure.com |
Menyerap data log | Port 443 | Keluar | Ya | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
Iklan Azure | management.azure.com | Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus | Port 443 | Keluar | Ya | - |
Iklan Azure | <virtual-machine-region-name> .monitoring.azure.com |
Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus | Port 443 | Keluar | Ya | westus2.monitoring.azure.com |
Iklan Azure | <data-collection-endpoint> .<virtual-machine-region-name> . ingest.monitor.azure.com |
Hanya diperlukan jika mengirim data ke tabel Log Kustom Analitik Log | Port 443 | Keluar | Ya | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Azure Government | Ganti '.com' di atas dengan '.us' | Sama seperti di atas | Sama seperti di atas | Sama seperti di atas | Sama seperti di atas | |
Microsoft Azure dioperasikan oleh 21Vianet | Ganti '.com' di atas dengan '.cn' | Sama seperti di atas | Sama seperti di atas | Sama seperti di atas | Sama seperti di atas |
Catatan
Jika Anda menggunakan tautan privat pada agen, Anda hanya boleh menambahkan titik akhir pengumpulan data privat (DCEs). Agen tidak menggunakan titik akhir non-privat yang tercantum di atas saat menggunakan tautan privat/titik akhir pengumpulan data. Pratinjau Metrik Azure Monitor (metrik kustom) tidak tersedia di Azure Government dan Azure yang dioperasikan oleh 21 CloudVianet.
Konfigurasi proksi
Jika komputer tersambung melalui firewall atau server proksi untuk berkomunikasi melalui Internet, tinjau hal berikut untuk memahami persyaratan konfigurasi jaringan.
Ekstensi Agen Azure Monitor untuk Windows dan Linux dapat berkomunikasi baik melalui server proksi atau gateway Analytics Log ke Azure Monitor dengan menggunakan protokol HTTPS. Gunakan untuk komputer virtual Azure, set skala komputer virtual Azure, dan Azure Arc untuk server. Gunakan pengaturan ekstensi untuk konfigurasi seperti yang dijelaskan dalam langkah-langkah berikut. Autentikasi anonim dan dasar (nama pengguna/kata sandi) didukung.
Penting
Konfigurasi proksi tidak didukung untuk Metrik Azure Monitor (pratinjau publik) sebagai tujuan. Jika Anda mengirim metrik ke tujuan ini, tujuan tersebut akan menggunakan internet publik tanpa proksi apa pun.
Gunakan diagram alur ini untuk menentukan nilai
Settings
parameter danProtectedSettings
terlebih dahulu.Catatan
Mengatur proksi sistem Linux melalui variabel lingkungan seperti
http_proxy
danhttps_proxy
hanya didukung menggunakan Agen Azure Monitor untuk Linux versi 1.24.2 ke atas. Untuk templat ARM, jika Anda memiliki konfigurasi proksi, ikuti contoh templat ARM di bawah ini yang mendeklarasikan pengaturan proksi di dalam templat ARM. Selain itu, pengguna dapat mengatur variabel lingkungan "global" yang diambil oleh semua layanan systemd melalui variabel DefaultEnvironment di /etc/systemd/system.conf.Setelah Anda menentukan
Settings
nilai parameter danProtectedSettings
, berikan parameter lain ini saat Anda menyebarkan Agen Azure Monitor. Gunakan perintah PowerShell, seperti yang diperlihatkan dalam contoh berikut:
- Mesin virtual Windows
- Mesin virtual Linux
- Server dengan dukungan Windows Arc
- Server berkemampuan Linux Arc
- Contoh Templat Kebijakan ARM
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Konfigurasi gateway Analitik Log
- Ikuti instruksi sebelumnya untuk mengonfigurasi pengaturan proksi pada agen dan berikan alamat IP dan nomor port yang sesuai dengan server gateway. Jika Anda telah menyebarkan beberapa server gateway di belakang penyeimbang beban, konfigurasi proksi agen adalah alamat IP virtual penyeimbang beban.
- Tambahkan URL titik akhir konfigurasi untuk mengambil aturan pengumpulan data ke daftar yang diizinkan untuk gateway
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Jika Anda menggunakan tautan privat pada agen, Anda juga harus menambahkan titik akhir pengumpulan data.) - Tambahkan URL titik akhir penyerapan data ke daftar yang diizinkan untuk gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Mulai ulang layanan Gateway OMS untuk menerapkan perubahan
Stop-Service -Name <gateway-name>
danStart-Service -Name <gateway-name>
.