Definire le impostazioni di rete dell'agente di Monitoraggio di Azure

L'agente di Monitoraggio di Azure supporta la connessione tramite proxy diretti, gateway di Log Analytics e collegamenti privati. Questo articolo illustra come definire le impostazioni di rete e abilitare l'isolamento di rete per l'agente di Monitoraggio di Azure.

Tag del servizio di rete virtuale

L'agente di Monitoraggio di Azure supporta i tag del servizio di rete virtuale di Azure. Sono necessari sia i tag AzureMonitor che AzureResourceManager .

I tag del servizio di rete virtuale di Azure possono essere usati per definire i controlli di accesso di rete nei gruppi di sicurezza di rete, nei Firewall di Azure e nelle route definite dall'utente. Usare i tag del servizio al posto di indirizzi IP specifici quando si creano regole e route di sicurezza. Per gli scenari in cui non è possibile usare i tag del servizio di rete virtuale di Azure, di seguito sono indicati i requisiti del firewall.

Requisiti del firewall

Cloud	Endpoint	Scopo	Porta	Direzione	Ignorare il controllo HTTPS	Esempio
Azure Commercial	global.handler.control.monitor.azure.com	Servizio di controllo di accesso	Porta 443	In uscita	Sì	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Recuperare le regole di raccolta dati per un computer specifico	Porta 443	In uscita	Sì	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Inserire i dati dei log	Porta 443	In uscita	Sì	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	È necessario solo se si inviano dati delle serie temporali (metriche) al database delle metriche personalizzate di Monitoraggio di Azure	Porta 443	In uscita	Sì	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	È necessario solo se si inviano dati delle serie temporali (metriche) al database delle metriche personalizzate di Monitoraggio di Azure	Porta 443	In uscita	Sì	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	È necessario solo se si inviano dati alla tabella log personalizzati di Log Analytics	Porta 443	In uscita	Sì	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Sostituire '.com' sopra con '.us'	Vedere sopra.	Vedere sopra.	Vedere sopra.	Vedere sopra.
Microsoft Azure gestito da 21Vianet	Sostituire '.com' sopra con '.cn'	Vedere sopra.	Vedere sopra.	Vedere sopra.	Vedere sopra.

Nota

Se si usano collegamenti privati nell'agente, è necessario aggiungere solo gli endpoint di raccolta dati privati .If you use private links on the agent, you must only add the private data collection endpoints (DCEs). L'agente non usa gli endpoint non privati elencati in precedenza quando si usano collegamenti privati/endpoint di raccolta dati. L'anteprima delle metriche di Monitoraggio di Azure (metriche personalizzate) non è disponibile in Azure per enti pubblici e Azure gestito da cloud 21Vianet.

Configurazione proxy

Se il computer si connette tramite un server proxy per comunicare su Internet, esaminare i seguenti requisiti per comprendere la configurazione di rete necessaria.

Le estensioni dell'agente di Monitoraggio di Azure per Windows e Linux possono comunicare tramite un server proxy o un gateway di Log Analytics a Monitoraggio di Azure usando il protocollo HTTPS. Usarlo per macchine virtuali di Azure, set di scalabilità di macchine virtuali di Azure e Azure Arc per i server. Usare le impostazioni delle estensioni per la configurazione come descritto nei passaggi seguenti. Sono supportate sia l'autenticazione anonima che l'autenticazione di base usando un nome utente e una password.

Importante

La configurazione del proxy non è supportata per le metriche di Monitoraggio di Azure (anteprima pubblica) come destinazione. Se si inviano metriche a questa destinazione, verrà usata la rete Internet pubblica senza alcun proxy.

1. Usare questo diagramma di flusso per determinare prima i valori dei Settings parametri e ProtectedSettings .

   

   Nota

   L'impostazione del proxy di sistema Linux tramite variabili di ambiente come http_proxy e https_proxy è supportata solo tramite l'agente di Monitoraggio di Azure per Linux versione 1.24.2 e successive. Per il modello di Resource Manager, se si dispone di una configurazione proxy, seguire l'esempio di modello di Resource Manager seguente dichiarando l'impostazione proxy all'interno del modello di Resource Manager. Inoltre, un utente può impostare variabili di ambiente "globali" che vengono prelevate da tutti i servizi di sistema tramite la variabile DefaultEnvironment in /etc/systemd/system.conf.

2. Dopo aver determinato i valori dei Settings parametri e ProtectedSettings , specificare questi altri parametri quando si distribuisce l'agente di Monitoraggio di Azure. Usare i comandi di PowerShell, come illustrato negli esempi seguenti:

VM Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

VM Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server abilitato per Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server abilitato per Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Esempio di modello di criteri arm

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configurazione del gateway di Log Analytics

1. Seguire le istruzioni precedenti per configurare le impostazioni proxy nell'agente e specificare l'indirizzo IP e il numero di porta corrispondenti al server gateway. Se sono stati distribuiti più server gateway dietro un servizio di bilanciamento del carico, la configurazione proxy agente è invece l'indirizzo IP virtuale del servizio di bilanciamento del carico.
2. Aggiungere l'URL dell'endpoint di configurazione per recuperare le regole di raccolta dati all'elenco elementi consentiti per il gatewayAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com . Se si usano collegamenti privati nell'agente, è necessario aggiungere anche gli endpoint di raccolta dati.
3. Aggiungere l'URL dell'endpoint di inserimento dati all'elenco elementi consentiti per il gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Riavviare il servizio gateway OMS per applicare le modifiche Stop-Service -Name <gateway-name> e Start-Service -Name <gateway-name>.

Passaggi successivi

• Associare l'endpoint ai computer
• Abilitare l'isolamento di rete per l'agente di Monitoraggio di Azure usando collegamento privato.