Azure Monitor 에이전트 네트워크 구성

Azure Monitor 에이전트는 직접 프록시, Log Analytics 게이트웨이 및 프라이빗 링크를 사용하여 연결을 지원합니다. 이 문서에서는 네트워크 설정을 정의하고 네트워크 격리를 Azure Monitor 에이전트에 사용하도록 설정하는 방법에 대해 설명합니다.

가상 네트워크 서비스 태그

가상 머신의 가상 네트워크에서 Azure 가상 네트워크 서비스 태그를 사용으로 설정해야 합니다. AzureMonitor 및 AzureResourceManager 태그가 모두 필요합니다.

Azure 가상 네트워크 서비스 태그를 사용하여 네트워크 보안 그룹, Azure Firewall 및 사용자 정의 경로에 대한 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙 및 경로를 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. Azure Virtual Network 서비스 태그를 사용할 수 없는 시나리오의 경우 방화벽 요구 사항은 다음과 같습니다.

참고 항목

데이터 수집 엔드포인트 공용 IP 주소는 위에서 언급한 네트워크 서비스 태그의 일부가 아닙니다. 사용자 지정 로그 또는 IIS 로그 데이터 수집 규칙이 있는 경우 이러한 시나리오가 네트워크 서비스 태그에서 지원될 때까지 이러한 시나리오에 대한 데이터 수집 엔드포인트의 공용 IP 주소가 작동하도록 허용하는 것이 좋습니다.

방화벽 엔드포인트

다음 표는 방화벽이 서로 다른 클라우드에 대한 액세스를 제공하는 데 필요한 엔드포인트를 제공합니다. 각각 포트 443에 대한 아웃바운드 연결입니다.

Important

모든 엔드포인트에 대해 HTTPS 검사를 사용하지 않도록 설정해야 합니다.

엔드포인트	목적	예시
global.handler.control.monitor.azure.com	Access Control Service -
<virtual-machine-region-name>.handler.control.monitor.azure.com	특정 머신에 대한 데이터 수집 규칙 가져오기	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	로그 데이터 수집	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	시계열 데이터(메트릭)를 Azure Monitor 사용자 지정 메트릭 데이터베이스로 보내는 경우에만 필요	-
<virtual-machine-region-name>.monitoring.azure.com	시계열 데이터(메트릭)를 Azure Monitor 사용자 지정 메트릭 데이터베이스로 보내는 경우에만 필요	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Log Analytics 사용자 지정 로그 테이블로 데이터를 보내는 경우에만 필요합니다.	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

엔드포인트의 접미사를 다른 클라우드에 대한 다음 표의 접미사로 바꿉니다.

클라우드	접미사
Azure Commercial	com.
Azure Government	.us
21Vianet에서 운영하는 Microsoft Azure	.cn

참고 항목

에이전트에서 프라이빗 링크를 사용하는 경우 DCE(데이터 수집 엔드포인트)를 추가하기만 하면 됩니다. 에이전트는 프라이빗 링크/데이터 수집 엔드포인트를 사용할 때 위에 나열된 프라이빗이 아닌 엔드포인트를 사용하지 않습니다. Azure Monitor 메트릭(사용자 지정 메트릭) 미리 보기는 Azure Government 및 21Vianet 클라우드에서 운영하는 Azure에서 사용할 수 없습니다.

참고 항목

AMPLS와 함께 AMA를 사용하는 경우 모든 데이터 수집 규칙은 데이터 수집 엔드포인트를 사용해야 합니다. 이러한 DCE는 프라이빗 링크사용하여 AMPLS 구성에 추가해야 합니다.

프록시 구성

Windows 및 Linux용 Azure Monitor 에이전트 확장은 HTTPS 프로토콜을 사용하여 프록시 서버 또는 Log Analytics 게이트웨이를 통해 Azure Monitor와 통신할 수 있습니다. 이를 Azure 가상 머신, Azure 가상 머신 확장 집합 및 서버용 Azure Arc에 사용합니다. 다음 단계에 설명된 대로 구성에 대한 확장 설정을 사용합니다. 사용자 이름과 암호를 사용한 익명 인증과 기본 인증이 모두 지원됩니다.

Important

프록시 구성은 대상으로 Azure Monitor 메트릭(공개 미리 보기)에 대해 지원되지 않습니다. 이 대상으로 메트릭을 보내는 경우 프록시 없이 공용 인터넷을 사용합니다.

참고 항목

http_proxy 및 https_proxy와 같은 환경 변수를 통해 Linux 시스템 프록시를 설정하는 것은 Linux용 Azure Monitor 에이전트 버전 1.24.2 이상을 사용하는 경우에만 지원됩니다. ARM 템플릿의 경우 프록시 구성이 있으면 ARM 템플릿 내에서 프록시 설정을 선언하는 아래의 ARM 템플릿 예제를 따르세요. 또한 사용자는 /etc/systemd/system.conf의 DefaultEnvironment 변수를 통해 모든 시스템 서비스에서 사용되는 "전역" 환경 변수를 설정할 수 있습니다.

환경 및 구성에 따라 다음 예제에서 PowerShell 명령을 사용합니다.

Windows VM

프록시 없음

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증이 없는 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증을 사용한 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

프록시 없음

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증이 없는 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

인증을 사용한 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc 지원 서버

프록시 없음

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

인증이 없는 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

인증을 사용한 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc 지원 서버

프록시 없음

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

인증이 없는 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

인증을 사용한 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM 정책 템플릿 예제

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics 게이트웨이 구성

1. 위의 지침에 따라 에이전트에서 프록시 설정을 구성하고 게이트웨이 서버에 해당하는 IP 주소와 포트 번호를 제공합니다. 부하 분산 장치 뒤에 여러 게이트웨이 서버를 배포한 경우 에이전트 프록시 구성은 대신 부하 분산 장치의 가상 IP 주소입니다.
2. 게이트웨이 Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com의 허용 목록에 데이터 수집 규칙을 가져오려면 구성 엔드포인트 URL을 추가합니다. (에이전트에서 프라이빗 링크를 사용하는 경우 데이터 수집 엔드포인트도 추가해야 합니다.)
3. 게이트웨이 Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com의 허용 목록에 데이터 수집 엔드포인트 URL을 추가합니다.
4. 변경 내용 Stop-Service -Name <gateway-name> 및 Start-Service -Name <gateway-name>을 적용하려면 OMS 게이트웨이 서비스를 다시 시작합니다.

다음 단계

• AMPLS 리소스에 엔드포인트를 추가합니다.