Konfigurasi jaringan agen Azure Monitor

Agen Azure Monitor mendukung koneksi dengan menggunakan proksi langsung, gateway Analitik Log, dan tautan privat. Artikel ini menjelaskan cara menentukan pengaturan jaringan dan mengaktifkan isolasi jaringan untuk Agen Azure Monitor.

Tag layanan jaringan virtual

Tag layanan jaringan virtual Azure harus diaktifkan di jaringan virtual untuk komputer virtual. Kedua tag AzureMonitor dan AzureResourceManager diperlukan.

Tag layanan jaringan Azure Virtual dapat digunakan untuk menentukan kontrol akses jaringan pada grup keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat rute dan aturan keamanan. Untuk skenario di mana tag layanan jaringan virtual Azure tidak dapat digunakan, persyaratan Firewall diberikan di bawah ini.

Catatan

Alamat IP publik titik akhir pengumpulan data bukan bagian dari tag layanan jaringan yang disebutkan di atas. Jika Anda memiliki log kustom atau aturan pengumpulan data log IIS, pertimbangkan untuk mengizinkan alamat IP publik titik akhir pengumpulan data agar skenario ini berfungsi hingga skenario ini didukung oleh tag layanan jaringan.

Titik akhir firewall

Tabel berikut ini menyediakan titik akhir yang perlu disediakan firewall untuk cloud yang berbeda. Masing-masing adalah koneksi keluar ke port 443.

Penting

Untuk semua titik akhir, inspeksi HTTPS harus dinonaktifkan.

Titik akhir	Tujuan	Contoh
global.handler.control.monitor.azure.com	Layanan kontrol akses -
<virtual-machine-region-name>.handler.control.monitor.azure.com	Mengambil aturan pengumpulan data untuk komputer tertentu	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Menyerap data log	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus	-
<virtual-machine-region-name>.monitoring.azure.com	Hanya diperlukan saat mengirim seri waktu (metrik) ke database Azure Monitor Metrik khusus	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Hanya diperlukan jika mengirim data ke tabel log kustom Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Ganti akhiran di titik akhir dengan akhiran dalam tabel berikut untuk cloud yang berbeda.

Cloud	Akhiran
Iklan Azure	com.
Azure Government	.kita
Microsoft Azure dioperasikan oleh 21Vianet	.Cn

Catatan

Jika Anda menggunakan tautan privat pada agen, Anda hanya boleh menambahkan titik akhir pengumpulan data privat (DCEs). Agen tidak menggunakan titik akhir non-privat yang tercantum di atas saat menggunakan tautan privat/titik akhir pengumpulan data. Pratinjau Metrik Azure Monitor (metrik kustom) tidak tersedia di Azure Government dan Azure yang dioperasikan oleh 21 CloudVianet.

Catatan

Saat menggunakan AMA dengan AMPLS, semua Aturan Pengumpulan Data Anda harus menggunakan Titik Akhir Pengumpulan Data. DCE tersebut harus ditambahkan ke konfigurasi AMPLS menggunakan tautan privat

Konfigurasi proksi

Ekstensi Agen Azure Monitor untuk Windows dan Linux dapat berkomunikasi baik melalui server proksi atau gateway Analytics Log ke Azure Monitor dengan menggunakan protokol HTTPS. Gunakan untuk komputer virtual Azure, set skala komputer virtual Azure, dan Azure Arc untuk server. Gunakan pengaturan ekstensi untuk konfigurasi seperti yang dijelaskan dalam langkah-langkah berikut. Autentikasi anonim dan dasar (nama pengguna/kata sandi) didukung.

Penting

Konfigurasi proksi tidak didukung untuk Metrik Azure Monitor (pratinjau publik) sebagai tujuan. Jika Anda mengirim metrik ke tujuan ini, tujuan tersebut akan menggunakan internet publik tanpa proksi apa pun.

Catatan

Mengatur proksi sistem Linux melalui variabel lingkungan seperti http_proxy dan https_proxy hanya didukung menggunakan Agen Azure Monitor untuk Linux versi 1.24.2 ke atas. Untuk templat ARM, jika Anda memiliki konfigurasi proksi, ikuti contoh templat ARM di bawah ini yang mendeklarasikan pengaturan proksi di dalam templat ARM. Selain itu, pengguna dapat mengatur variabel lingkungan "global" yang diambil oleh semua layanan systemd melalui variabel DefaultEnvironment di /etc/systemd/system.conf.

Gunakan perintah PowerShell dalam contoh berikut tergantung pada lingkungan dan konfigurasi Anda.:

Mesin virtual Windows

Tidak ada proksi

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proksi tanpa autentikasi

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proksi dengan autentikasi

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Mesin virtual Linux

Tidak ada proksi

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proksi tanpa autentikasi

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proksi dengan autentikasi

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server dengan dukungan Windows Arc

Tidak ada proksi

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proksi tanpa autentikasi

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proksi dengan autentikasi

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server berkemampuan Linux Arc

Tidak ada proksi

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proksi tanpa autentikasi

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proksi dengan autentikasi

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Contoh Templat Kebijakan ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurasi gateway Analitik Log

1. Ikuti panduan di atas untuk mengonfigurasi pengaturan proksi pada agen dan menyediakan alamat IP dan nomor port yang sesuai dengan server gateway. Jika Anda telah menyebarkan beberapa server gateway di belakang penyeimbang beban, konfigurasi proksi agen adalah alamat IP virtual penyeimbang beban.
2. Tambahkan URL titik akhir konfigurasi untuk mengambil aturan pengumpulan data ke daftar yang diizinkan untuk gateway Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Jika Anda menggunakan tautan privat pada agen, Anda juga harus menambahkan titik akhir pengumpulan data.)
3. Tambahkan URL titik akhir penyerapan data ke daftar yang diizinkan untuk gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Mulai ulang layanan Gateway OMS untuk menerapkan perubahan Stop-Service -Name <gateway-name> dan Start-Service -Name <gateway-name>.

Langkah berikutnya

• Tambahkan titik akhir ke sumber daya AMPLS.