Azure Monitor エージェントのネットワーク構成
Azure Monitor エージェントでは、直接プロキシ、Log Analytics ゲートウェイ、プライベート リンクを使用して接続をサポートしています。 この記事では、ネットワーク設定を定義して、Azure Monitor エージェントのネットワークの分離を有効にする方法について説明します。
仮想ネットワーク サービス タグ
仮想マシンの仮想ネットワークで Azure 仮想ネットワークサービス タグを有効にする必要があります。 AzureMonitor と AzureResourceManager の両方のタグが必要です。
Azure 仮想ネットワークのサービス タグを使用して、ネットワーク セキュリティ グループ、Azure Firewall、ユーザー定義ルートでネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 Azure 仮想ネットワークのサービス タグを使用できないシナリオについて、ファイアウォールの要件を以下に示します。
Note
データ収集エンドポイントのパブリック IP アドレスは、上記のネットワーク サービス タグの一部ではありません。 カスタム ログまたは IIS ログ データ収集規則がある場合は、これらのシナリオがネットワーク サービス タグでサポートされるまで、これらのシナリオに対してデータ収集エンドポイントのパブリック IP アドレスが機能することを許可することを検討してください。
ファイアウォール エンドポイント
次の表は、ファイアウォールで異なるクラウドに対してアクセスを提供する必要があるエンドポイントを示しています。 それぞれポート 443 への送信接続です。
重要
すべてのエンドポイントについて、HTTPS 検査を無効にする必要があります。
エンドポイント | 目的 | 例 |
---|---|---|
global.handler.control.monitor.azure.com |
アクセス制御サービス - | |
<virtual-machine-region-name> .handler.control.monitor.azure.com |
特定のマシンのデータ収集ルールをフェッチする | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id> .ods.opinsights.azure.com |
ログ データの取り込み | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com | Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | - |
<virtual-machine-region-name> .monitoring.azure.com |
Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name> .ingest.monitor.azure.com |
Log Analytics カスタム ログ テーブルにデータを送信する場合にのみ必要です | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
異なるクラウドの場合は、エンドポイントのサフィックスを次の表のサフィックスに置き換えます。
クラウド | 敬称 |
---|---|
Azure Commercial | .com |
Azure Government | .us |
21Vianet によって運営される Microsoft Azure | .cn |
Note
エージェントでプライベート リンクを使用する場合は、プライベート データ収集エンドポイント (DCE)のみを追加する必要があります。 エージェントでは、プライベート リンクまたはデータ収集エンドポイントを使用する場合、上記の非プライベート エンドポイントを使用しません。 Azure Monitor メトリック (カスタム メトリック) プレビューは、Azure Government と 21Vianet によって運営される Microsoft Azure クラウドでは使用できません。
Note
AMA と AMPLS を使用する場合、すべてのデータ収集規則でデータ収集エンドポイントを使用する必要があります。 これらの DCE は、プライベート リンクを使用して AMPLS 構成に追加する必要があります
[プロキシ構成]
Windows と Linux 用の Azure Monitor エージェント拡張機能では、HTTPS プロトコルを使用することで、プロキシ サーバーまたは Log Analytics ゲートウェイのいずれかを経由して、Azure Monitor と通信できます。 Azure 仮想マシン、Azure 仮想マシン スケール セット、Azure Arc for servers に使用します。 次の手順で説明されているとおりに、その拡張機能の設定を構成に使用します。 匿名認証と、ユーザー名とパスワードを使用する基本認証の両方がサポートされています。
重要
プロキシの構成は、宛先としては Azure Monitor メトリック (パブリック プレビュー) ではサポートされていません。 この宛先にメトリックを送信する場合は、プロキシなしでパブリック インターネットが使用されます。
Note
http_proxy
や https_proxy
などの環境変数を使用した Linux システム プロキシの設定は、Azure Monitor Agent for Linux バージョン 1.24.2 以降の使用でのみサポートされます。 ARM テンプレートの場合、プロキシ構成がある場合は、次の ARM テンプレートの例に従って、ARM テンプレート内でプロキシ設定を宣言してください。 さらに、ユーザーは 、/etc/systemd/system.conf の DefaultEnvironment 変数を使用して、すべての systemd サービスによって取得される 「グローバル」環境変数を設定できます。
次の例の PowerShell コマンドは、環境と構成に応じて使用します。
プロキシなし
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
認証なしのプロキシ
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
認証ありのプロキシ
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics ゲートウェイ構成
- 上記のガイダンスに従って、エージェントでプロキシ設定を構成し、ゲートウェイ サーバーに対応する IP アドレスとポート番号を指定します。 ロード バランサーの背後に複数のゲートウェイ サーバーをデプロイしている場合、エージェントのプロキシ構成は、ロード バランサーの仮想 IP アドレスとなります。
- ゲートウェイの許可リストにデータ収集ルールをフェッチするための構成エンドポイント URL を追加します
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
。 (エージェントでプライベート リンクを使用している場合は、データ収集エンドポイントも追加する必要があります)。 - ゲートウェイの許可リストにデータ インジェスト エンドポイント URL を追加します
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
。 - OMS ゲートウェイ サービスを再起動して、
Stop-Service -Name <gateway-name>
およびStart-Service -Name <gateway-name>
の変更を適用します。