Netwerkconfiguratie van Azure Monitor-agent

Azure Monitor Agent biedt ondersteuning voor het maken van verbinding met behulp van directe proxy's, Log Analytics-gateway en privékoppelingen. In dit artikel wordt uitgelegd hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor Azure Monitor Agent.

Servicetags voor virtueel netwerk

De servicetags van het virtuele Azure-netwerk moeten zijn ingeschakeld op het virtuele netwerk voor de virtuele machine. Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.

Azure Virtual Network-servicetags kunnen worden gebruikt voor het definiëren van netwerktoegangsbeheer voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin servicetags voor virtuele Netwerken van Azure niet kunnen worden gebruikt, worden de firewallvereisten hieronder gegeven.

Notitie

Openbare IP-adressen van eindpunten voor gegevensverzameling maken geen deel uit van de hierboven genoemde netwerkservicetags. Als u aangepaste logboeken of regels voor het verzamelen van IIS-logboekgegevens hebt, kunt u overwegen om de openbare IP-adressen van het eindpunt voor gegevensverzameling voor deze scenario's te laten werken totdat deze scenario's worden ondersteund door netwerkservicetags.

Firewall-eindpunten

De volgende tabel bevat de eindpunten waartoe firewalls toegang moeten bieden voor verschillende clouds. Elk is een uitgaande verbinding met poort 443.

Eindpunt	Doel	Opmerking
global.handler.control.monitor.azure.com	Toegangsbeheerservice -
<virtual-machine-region-name>.handler.control.monitor.azure.com	Regels voor het verzamelen van gegevens ophalen voor een specifieke computer	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Logboekgegevens opnemen	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor	-
<virtual-machine-region-name>.monitoring.azure.com	Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor	westus2.monitoring.azure.com

Vervang het achtervoegsel in de eindpunten door het achtervoegsel in de volgende tabel voor verschillende clouds.

Cloud	Achtervoegsel
Azure Commercial	com.
Azure Government	.ons
Microsoft Azure beheerd door 21Vianet	.Cn

Notitie

Als u privékoppelingen op de agent gebruikt, moet u alleen de eindpunten voor het verzamelen van persoonlijke gegevens (DCE's) toevoegen. De agent maakt geen gebruik van de niet-privé-eindpunten die hierboven worden vermeld bij het gebruik van privékoppelingen/eindpunten voor gegevensverzameling. De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.

Notitie

Bij het gebruik van AMA met AMPLS gebruiken al uw gegevensverzamelingsregels veel eindpunten voor gegevensverzameling. Die DCE's moeten worden toegevoegd aan de AMPLS-configuratie met behulp van private link

Proxyconfiguratie

De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor virtuele Azure-machines, virtuele-machineschaalsets van Azure en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.

Belangrijk

Proxyconfiguratie wordt niet ondersteund voor metrische gegevens van Azure Monitor (openbare preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.

Notitie

Het instellen van een Linux-systeemproxy via omgevingsvariabelen zoals http_proxy en https_proxy wordt alleen ondersteund met behulp van Azure Monitor Agent voor Linux versie 1.24.2 en hoger. Als u een proxyconfiguratie hebt voor de ARM-sjabloon, volgt u het voorbeeld van de ARM-sjabloon hieronder met de declaratie van de proxy-instelling in de ARM-sjabloon. Daarnaast kan een gebruiker globale omgevingsvariabelen instellen die worden opgehaald door alle systeemservices via de Variabele DefaultEnvironment in /etc/systemd/system.conf.

Gebruik PowerShell-opdrachten in de volgende voorbeelden, afhankelijk van uw omgeving en configuratie.:

Windows-VM

Geen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy zonder verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy met verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux-VM

Geen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy zonder verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy met verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-server

Geen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy zonder verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy met verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server met Linux Arc

Geen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy zonder verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy met verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Voorbeeld van ARM-beleidssjabloon

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuratie van Log Analytics-gateway

1. Volg de bovenstaande richtlijnen voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, is de proxyconfiguratie van de agent het virtuele IP-adres van de load balancer.
2. Voeg de URL van het configuratie-eindpunt toe om regels voor gegevensverzameling op te halen naar de acceptatielijst voor de gatewayAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Als u privékoppelingen op de agent gebruikt, moet u ook de eindpunten voor gegevensverzameling toevoegen.)
3. Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Start de OMS Gateway-service opnieuw op om de wijzigingen Stop-Service -Name <gateway-name> toe te passen en Start-Service -Name <gateway-name>.

Volgende stappen

• Eindpunt toevoegen aan AMPLS-resource.