Azure Monitor エージェントのネットワーク設定を定義する
Azure Monitor エージェントでは、直接プロキシ、Log Analytics ゲートウェイ、プライベート リンクを使用して接続をサポートしています。 この記事では、ネットワーク設定を定義して、Azure Monitor エージェントのネットワークの分離を有効にする方法について説明します。
仮想ネットワーク サービス タグ
Azure Monitor エージェントでは、Azure 仮想ネットワーク サービス タグがサポートされています。 AzureMonitor と AzureResourceManager の両方のタグが必要です。
Azure 仮想ネットワークのサービス タグを使用して、ネットワーク セキュリティ グループ、Azure Firewall、ユーザー定義ルートでネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 Azure 仮想ネットワークのサービス タグを使用できないシナリオについて、ファイアウォールの要件を以下に示します。
ファイアウォールの要件
| クラウド | エンドポイント | 目的 | Port | Direction | バイパス HTTPS 検査 | 例 |
|---|---|---|---|---|---|---|
| Azure Commercial | global.handler.control.monitor.azure.com | [アクセス制御サービス] | ポート 443 | 送信 | はい | - |
| Azure Commercial | <virtual-machine-region-name>.handler.control.monitor.azure.com |
特定のマシンのデータ収集ルールをフェッチする | ポート 443 | 送信 | はい | westus2.handler.control.monitor.azure.com |
| Azure Commercial | <log-analytics-workspace-id>.ods.opinsights.azure.com |
ログ データの取り込み | ポート 443 | 送信 | はい | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| Azure Commercial | management.azure.com | Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | ポート 443 | 送信 | はい | - |
| Azure Commercial | <virtual-machine-region-name>.monitoring.azure.com |
Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | ポート 443 | 送信 | はい | westus2.monitoring.azure.com |
| Azure Commercial | <data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Log Analytics カスタム ログ テーブルにデータを送信する場合にのみ必要です | ポート 443 | 送信 | はい | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
| Azure Government | 上記の '.com' を '.us' に置き換えます | 同上 | 同上 | 同上 | 同上 | |
| 21Vianet が運用する Microsoft Azure | 上記の '.com' を '.cn' に置き換えます | 同上 | 同上 | 同上 | 同上 |
注意
エージェントでプライベート リンクを使用する場合は、プライベート データ収集エンドポイント (DCE)のみを追加する必要があります。 エージェントでは、プライベート リンクまたはデータ収集エンドポイントを使用する場合、上記の非プライベート エンドポイントを使用しません。 Azure Monitor メトリック (カスタム メトリック) プレビューは、Azure Government と 21Vianet によって運営される Microsoft Azure クラウドでは使用できません。
[プロキシ構成]
インターネット経由で通信するためにマシンがプロキシ サーバーを介して接続されている場合は、次の要件を確認して必要とされるネットワーク構成を把握してください。
Windows と Linux 用の Azure Monitor エージェント拡張機能では、HTTPS プロトコルを使用することで、プロキシ サーバーまたは Log Analytics ゲートウェイのいずれかを経由して、Azure Monitor と通信できます。 Azure 仮想マシン、Azure 仮想マシン スケール セット、Azure Arc for servers に使用します。 次の手順で説明されているとおりに、その拡張機能の設定を構成に使用します。 匿名認証と、ユーザー名とパスワードを使用する基本認証の両方がサポートされています。
重要
プロキシの構成は、宛先としては Azure Monitor メトリック (パブリック プレビュー) ではサポートされていません。 この宛先にメトリックを送信する場合は、プロキシなしでパブリック インターネットが使用されます。
このフローチャートを使用して、
SettingsおよびProtectedSettingsパラメーターの値を最初に決定します。
Note
http_proxyやhttps_proxyなどの環境変数を使用した Linux システム プロキシの設定は、Azure Monitor Agent for Linux バージョン 1.24.2 以降の使用でのみサポートされます。 ARM テンプレートの場合、プロキシ構成がある場合は、次の ARM テンプレートの例に従って、ARM テンプレート内でプロキシ設定を宣言してください。 さらに、ユーザーは 、/etc/systemd/system.conf の DefaultEnvironment 変数を使用して、すべての systemd サービスによって取得される 「グローバル」環境変数を設定できます。SettingsおよびProtectedSettingsパラメーターの値を決定した後、Azure Monitor エージェントをデプロイするときに、これらの他のパラメーターを指定します。 次の例に示すように、PowerShell コマンドを使用します。
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics ゲートウェイ構成
- 前の指示に従って、エージェントでプロキシ設定を構成し、ゲートウェイ サーバーに対応する IP アドレスとポート番号を指定します。 ロード バランサーの背後に複数のゲートウェイ サーバーをデプロイしている場合、エージェントのプロキシ構成は、ロード バランサーの仮想 IP アドレスとなります。
- ゲートウェイの許可リストにデータ収集ルールをフェッチするための構成エンドポイント URL を追加します
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com。 (エージェントでプライベート リンクを使用している場合は、データ収集エンドポイントも追加する必要があります)。 - ゲートウェイの許可リストにデータ インジェスト エンドポイント URL を追加します
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com。 - OMS ゲートウェイ サービスを再起動して、
Stop-Service -Name <gateway-name>およびStart-Service -Name <gateway-name>の変更を適用します。