Menentukan pengaturan jaringan Agen Azure Monitor

Agen Azure Monitor mendukung koneksi dengan menggunakan proksi langsung, gateway Analitik Log, dan tautan privat. Artikel ini menjelaskan cara menentukan pengaturan jaringan dan mengaktifkan isolasi jaringan untuk Agen Azure Monitor.

Tag layanan jaringan virtual

Agen Azure Monitor mendukung tag layanan jaringan virtual Azure. Kedua tag AzureMonitor dan AzureResourceManager diperlukan.

Tag layanan jaringan Azure Virtual dapat digunakan untuk menentukan kontrol akses jaringan pada grup keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat rute dan aturan keamanan. Untuk skenario di mana tag layanan jaringan virtual Azure tidak dapat digunakan, persyaratan Firewall diberikan di bawah ini.

Persyaratan firewall

Cloud	Titik akhir	Tujuan	Port	Arah	Melewati inspeksi HTTPS	Contoh
Iklan Azure	global.handler.control.monitor.azure.com	Layanan kontrol akses	Port 443	Keluar	Ya	-
Iklan Azure	<virtual-machine-region-name>.handler.control.monitor.azure.com	Mengambil aturan pengumpulan data untuk komputer tertentu	Port 443	Keluar	Ya	westus2.handler.control.monitor.azure.com
Iklan Azure	<log-analytics-workspace-id>.ods.opinsights.azure.com	Menyerap data log	Port 443	Keluar	Ya	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Iklan Azure	management.azure.com	Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus	Port 443	Keluar	Ya	-
Iklan Azure	<virtual-machine-region-name>.monitoring.azure.com	Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus	Port 443	Keluar	Ya	westus2.monitoring.azure.com
Iklan Azure	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Hanya diperlukan jika mengirim data ke tabel Log Kustom Analitik Log	Port 443	Keluar	Ya	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Ganti '.com' di atas dengan '.us'	Sama seperti di atas	Sama seperti di atas	Sama seperti di atas	Sama seperti di atas
Microsoft Azure dioperasikan oleh 21Vianet	Ganti '.com' di atas dengan '.cn'	Sama seperti di atas	Sama seperti di atas	Sama seperti di atas	Sama seperti di atas

Catatan

Jika Anda menggunakan tautan privat pada agen, Anda hanya boleh menambahkan titik akhir pengumpulan data privat (DCEs). Agen tidak menggunakan titik akhir non-privat yang tercantum di atas saat menggunakan tautan privat/titik akhir pengumpulan data. Pratinjau Metrik Azure Monitor (metrik kustom) tidak tersedia di Azure Government dan Azure yang dioperasikan oleh 21 CloudVianet.

Konfigurasi proksi

Jika komputer tersambung melalui firewall atau server proksi untuk berkomunikasi melalui Internet, tinjau hal berikut untuk memahami persyaratan konfigurasi jaringan.

Ekstensi Agen Azure Monitor untuk Windows dan Linux dapat berkomunikasi baik melalui server proksi atau gateway Analytics Log ke Azure Monitor dengan menggunakan protokol HTTPS. Gunakan untuk komputer virtual Azure, set skala komputer virtual Azure, dan Azure Arc untuk server. Gunakan pengaturan ekstensi untuk konfigurasi seperti yang dijelaskan dalam langkah-langkah berikut. Autentikasi anonim dan dasar (nama pengguna/kata sandi) didukung.

Penting

Konfigurasi proksi tidak didukung untuk Metrik Azure Monitor (pratinjau publik) sebagai tujuan. Jika Anda mengirim metrik ke tujuan ini, tujuan tersebut akan menggunakan internet publik tanpa proksi apa pun.

1. Gunakan diagram alur ini untuk menentukan nilai Settings parameter dan ProtectedSettings terlebih dahulu.

   

   Catatan

   Mengatur proksi sistem Linux melalui variabel lingkungan seperti http_proxy dan https_proxy hanya didukung menggunakan Agen Azure Monitor untuk Linux versi 1.24.2 ke atas. Untuk templat ARM, jika Anda memiliki konfigurasi proksi, ikuti contoh templat ARM di bawah ini yang mendeklarasikan pengaturan proksi di dalam templat ARM. Selain itu, pengguna dapat mengatur variabel lingkungan "global" yang diambil oleh semua layanan systemd melalui variabel DefaultEnvironment di /etc/systemd/system.conf.

2. Setelah Anda menentukan Settings nilai parameter dan ProtectedSettings , berikan parameter lain ini saat Anda menyebarkan Agen Azure Monitor. Gunakan perintah PowerShell, seperti yang diperlihatkan dalam contoh berikut:

Mesin virtual Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Mesin virtual Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server dengan dukungan Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server berkemampuan Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Contoh Templat Kebijakan ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurasi gateway Analitik Log

1. Ikuti instruksi sebelumnya untuk mengonfigurasi pengaturan proksi pada agen dan berikan alamat IP dan nomor port yang sesuai dengan server gateway. Jika Anda telah menyebarkan beberapa server gateway di belakang penyeimbang beban, konfigurasi proksi agen adalah alamat IP virtual penyeimbang beban.
2. Tambahkan URL titik akhir konfigurasi untuk mengambil aturan pengumpulan data ke daftar yang diizinkan untuk gateway Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Jika Anda menggunakan tautan privat pada agen, Anda juga harus menambahkan titik akhir pengumpulan data.)
3. Tambahkan URL titik akhir penyerapan data ke daftar yang diizinkan untuk gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Mulai ulang layanan Gateway OMS untuk menerapkan perubahan Stop-Service -Name <gateway-name> dan Start-Service -Name <gateway-name>.

Langkah berikutnya

• Mengaitkan titik akhir ke komputer
• Aktifkan isolasi jaringan untuk Agen Azure Monitor dengan menggunakan Private Link.