Netwerkinstellingen voor Azure Monitor Agent definiëren
Azure Monitor Agent biedt ondersteuning voor het maken van verbinding met behulp van directe proxy's, Log Analytics-gateway en privékoppelingen. In dit artikel wordt uitgelegd hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor Azure Monitor Agent.
Servicetags voor virtueel netwerk
Azure Monitor Agent ondersteunt servicetags voor virtuele Netwerken van Azure. Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.
Azure Virtual Network-servicetags kunnen worden gebruikt voor het definiëren van netwerktoegangsbeheer voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin servicetags voor virtuele Netwerken van Azure niet kunnen worden gebruikt, worden de firewallvereisten hieronder gegeven.
Firewallvereisten
Cloud | Eindpunt | Doel | Poort | Richting | HTTPS-inspectie overslaan | Opmerking |
---|---|---|---|---|---|---|
Azure Commercial | global.handler.control.monitor.azure.com | Toegangsbeheerservice | Poort 443 | Uitgaand | Ja | - |
Azure Commercial | <virtual-machine-region-name> .handler.control.monitor.azure.com |
Regels voor het verzamelen van gegevens ophalen voor een specifieke computer | Poort 443 | Uitgaand | Ja | westus2.handler.control.monitor.azure.com |
Azure Commercial | <log-analytics-workspace-id> .ods.opinsights.azure.com |
Logboekgegevens opnemen | Poort 443 | Uitgaand | Ja | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
Azure Commercial | management.azure.com | Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor | Poort 443 | Uitgaand | Ja | - |
Azure Commercial | <virtual-machine-region-name> .monitoring.azure.com |
Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor | Poort 443 | Uitgaand | Ja | westus2.monitoring.azure.com |
Azure Commercial | <data-collection-endpoint> .<virtual-machine-region-name> . ingest.monitor.azure.com |
Alleen nodig als gegevens worden verzonden naar de aangepaste logboekentabel van Log Analytics | Poort 443 | Uitgaand | Ja | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Azure Government | Vervang '.com' hierboven door '.us' | Hetzelfde als hierboven | Hetzelfde als hierboven | Hetzelfde als hierboven | Hetzelfde als hierboven | |
Microsoft Azure beheerd door 21Vianet | Vervang '.com' hierboven door '.cn' | Hetzelfde als hierboven | Hetzelfde als hierboven | Hetzelfde als hierboven | Hetzelfde als hierboven |
Notitie
Als u privékoppelingen op de agent gebruikt, moet u alleen de eindpunten voor het verzamelen van persoonlijke gegevens (DCE's) toevoegen. De agent maakt geen gebruik van de niet-privé-eindpunten die hierboven worden vermeld bij het gebruik van privékoppelingen/eindpunten voor gegevensverzameling. De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.
Proxyconfiguratie
Als de computer verbinding maakt via een proxyserver om via internet te communiceren, raadpleegt u de volgende vereisten om inzicht te hebben in de vereiste netwerkconfiguratie.
De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor virtuele Azure-machines, virtuele-machineschaalsets van Azure en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.
Belangrijk
Proxyconfiguratie wordt niet ondersteund voor metrische gegevens van Azure Monitor (openbare preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.
Gebruik dit stroomdiagram om eerst de waarden van de
Settings
enProtectedSettings
parameters te bepalen.Notitie
Het instellen van een Linux-systeemproxy via omgevingsvariabelen zoals
http_proxy
enhttps_proxy
wordt alleen ondersteund met behulp van Azure Monitor Agent voor Linux versie 1.24.2 en hoger. Als u een proxyconfiguratie hebt voor de ARM-sjabloon, volgt u het voorbeeld van de ARM-sjabloon hieronder met de declaratie van de proxy-instelling in de ARM-sjabloon. Daarnaast kan een gebruiker globale omgevingsvariabelen instellen die worden opgehaald door alle systeemservices via de Variabele DefaultEnvironment in /etc/systemd/system.conf.Nadat u de
Settings
enProtectedSettings
parameterwaarden hebt vastgesteld, geeft u deze andere parameters op wanneer u Azure Monitor Agent implementeert. Gebruik PowerShell-opdrachten, zoals wordt weergegeven in de volgende voorbeelden:
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuratie van Log Analytics-gateway
- Volg de voorgaande instructies voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, is de proxyconfiguratie van de agent het virtuele IP-adres van de load balancer.
- Voeg de URL van het configuratie-eindpunt toe om regels voor gegevensverzameling op te halen naar de acceptatielijst voor de gateway
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Als u privékoppelingen op de agent gebruikt, moet u ook de eindpunten voor gegevensverzameling toevoegen.) - Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Start de OMS Gateway-service opnieuw op om de wijzigingen
Stop-Service -Name <gateway-name>
toe te passen enStart-Service -Name <gateway-name>
.