Netwerkinstellingen voor Azure Monitor Agent definiëren

Azure Monitor Agent biedt ondersteuning voor het maken van verbinding met behulp van directe proxy's, Log Analytics-gateway en privékoppelingen. In dit artikel wordt uitgelegd hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor Azure Monitor Agent.

Servicetags voor virtueel netwerk

Azure Monitor Agent ondersteunt servicetags voor virtuele Netwerken van Azure. Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.

Azure Virtual Network-servicetags kunnen worden gebruikt voor het definiëren van netwerktoegangsbeheer voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin servicetags voor virtuele Netwerken van Azure niet kunnen worden gebruikt, worden de firewallvereisten hieronder gegeven.

Firewallvereisten

Cloud	Eindpunt	Doel	Poort	Richting	HTTPS-inspectie overslaan	Opmerking
Azure Commercial	global.handler.control.monitor.azure.com	Toegangsbeheerservice	Poort 443	Uitgaand	Ja	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Regels voor het verzamelen van gegevens ophalen voor een specifieke computer	Poort 443	Uitgaand	Ja	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Logboekgegevens opnemen	Poort 443	Uitgaand	Ja	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor	Poort 443	Uitgaand	Ja	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor	Poort 443	Uitgaand	Ja	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Alleen nodig als gegevens worden verzonden naar de aangepaste logboekentabel van Log Analytics	Poort 443	Uitgaand	Ja	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Vervang '.com' hierboven door '.us'	Hetzelfde als hierboven	Hetzelfde als hierboven	Hetzelfde als hierboven	Hetzelfde als hierboven
Microsoft Azure beheerd door 21Vianet	Vervang '.com' hierboven door '.cn'	Hetzelfde als hierboven	Hetzelfde als hierboven	Hetzelfde als hierboven	Hetzelfde als hierboven

Notitie

Als u privékoppelingen op de agent gebruikt, moet u alleen de eindpunten voor het verzamelen van persoonlijke gegevens (DCE's) toevoegen. De agent maakt geen gebruik van de niet-privé-eindpunten die hierboven worden vermeld bij het gebruik van privékoppelingen/eindpunten voor gegevensverzameling. De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.

Proxyconfiguratie

Als de computer verbinding maakt via een proxyserver om via internet te communiceren, raadpleegt u de volgende vereisten om inzicht te hebben in de vereiste netwerkconfiguratie.

De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor virtuele Azure-machines, virtuele-machineschaalsets van Azure en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.

Belangrijk

Proxyconfiguratie wordt niet ondersteund voor metrische gegevens van Azure Monitor (openbare preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.

1. Gebruik dit stroomdiagram om eerst de waarden van de Settings en ProtectedSettings parameters te bepalen.

   

   Notitie

   Het instellen van een Linux-systeemproxy via omgevingsvariabelen zoals http_proxy en https_proxy wordt alleen ondersteund met behulp van Azure Monitor Agent voor Linux versie 1.24.2 en hoger. Als u een proxyconfiguratie hebt voor de ARM-sjabloon, volgt u het voorbeeld van de ARM-sjabloon hieronder met de declaratie van de proxy-instelling in de ARM-sjabloon. Daarnaast kan een gebruiker globale omgevingsvariabelen instellen die worden opgehaald door alle systeemservices via de Variabele DefaultEnvironment in /etc/systemd/system.conf.

2. Nadat u de Settings en ProtectedSettings parameterwaarden hebt vastgesteld, geeft u deze andere parameters op wanneer u Azure Monitor Agent implementeert. Gebruik PowerShell-opdrachten, zoals wordt weergegeven in de volgende voorbeelden:

Windows-VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux-VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-server

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server met Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Voorbeeld van ARM-beleidssjabloon

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuratie van Log Analytics-gateway

1. Volg de voorgaande instructies voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, is de proxyconfiguratie van de agent het virtuele IP-adres van de load balancer.
2. Voeg de URL van het configuratie-eindpunt toe om regels voor gegevensverzameling op te halen naar de acceptatielijst voor de gatewayAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Als u privékoppelingen op de agent gebruikt, moet u ook de eindpunten voor gegevensverzameling toevoegen.)
3. Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Start de OMS Gateway-service opnieuw op om de wijzigingen Stop-Service -Name <gateway-name> toe te passen en Start-Service -Name <gateway-name>.

Volgende stappen

• Eindpunt koppelen aan machines
• Netwerkisolatie inschakelen voor Azure Monitor Agent met behulp van Private Link.