Netwerkconfiguratie van Azure Monitor Agent

De Azure Monitor-agent ondersteunt verbindingen met behulp van directe proxy's, een Log Analytics-gateway en privékoppelingen. In dit artikel wordt beschreven hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor de Azure Monitor-agent.

Servicetags voor virtueel netwerk

Servicetags van Azure Virtual Network moeten zijn ingeschakeld in het virtuele netwerk voor de virtuele machine (VM). Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.

U kunt servicetags van Azure Virtual Network gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin azure Virtual Network-servicetags niet kunnen worden gebruikt, worden de firewallvereisten verderop in dit artikel beschreven.

Notitie

Openbare IP-adressen (DCE) voor gegevensverzameling zijn niet opgenomen in de netwerkservicetags die u kunt gebruiken om netwerktoegangsbeheer voor Azure Monitor te definiëren. Als u aangepaste logboeken of IIS-regels (Internet Information Services) voor logboekgegevensverzameling (DCR's) hebt, kunt u overwegen de openbare IP-adressen van de DCE voor deze scenario's te laten werken totdat deze scenario's worden ondersteund via netwerkservicetags.

Firewall-eindpunten

De volgende tabel bevat de eindpunten waartoe firewalls toegang moeten bieden voor verschillende clouds. Elk eindpunt is een uitgaande verbinding met poort 443.

Belangrijk

Voor alle eindpunten moet HTTPS-inspectie worden uitgeschakeld.

Eindpunt	Doel	Voorbeeld
global.handler.control.monitor.azure.com	Toegang tot de beheerservice	Niet van toepassing
<virtual-machine-region-name>.handler.control.monitor.azure.com	DCR's ophalen voor een specifieke computer	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Logboekgegevens opnemen	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Alleen nodig als u tijdreeksgegevens (metrische gegevens) naar een aangepaste metrische gegevensdatabase van Azure Monitor verzendt	Niet van toepassing
<virtual-machine-region-name>.monitoring.azure.com	Alleen nodig als u tijdreeksgegevens (metrische gegevens) naar een aangepaste metrische gegevensdatabase van Azure Monitor verzendt	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Logboekgegevens opnemen	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Vervang het achtervoegsel in de eindpunten door het achtervoegsel in de volgende tabel voor respectieve clouds:

Wolk	Achtervoegsel
Azure Commercial	.com
Azure Government	.us
Microsoft Azure beheerd door 21Vianet	.cn

Notitie

• Als u privékoppelingen op de agent gebruikt, moet u alleenprivé-DCE's toevoegen. De agent gebruikt de niet-private eindpunten die worden vermeld in de voorgaande tabel niet wanneer u privékoppelingen of privé-DCE's gebruikt.

• De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.

• Wanneer u de Azure Monitor-agent gebruikt met Azure Monitor Private Link Scope, moeten al uw DCR's DCE's gebruiken. De DCE's moeten via een private link worden toegevoegd aan de azure Monitor Private Link-bereikconfiguratie.

Proxyconfiguratie

De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of via een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor Azure-VM's, schaalsets en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme verificatie als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.

Belangrijk

OMS Gateway wordt niet ondersteund met servers met Azure Arc voor proxyconnectiviteit, private link-connectiviteit en connectiviteitsopties voor openbare eindpunten.

Belangrijk

Proxyconfiguratie wordt niet ondersteund voor Azure Monitor Metrics (preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.

Notitie

Het instellen van de Linux-systeemproxy via omgevingsvariabelen zoals http_proxy en https_proxy wordt alleen ondersteund wanneer u de Azure Monitor-agent voor Linux-versie 1.24.2 of hoger gebruikt. Als u een proxy configureert voor de Azure Resource Manager-sjabloon (ARM-sjabloon), gebruikt u de ARM-sjabloon die hier wordt weergegeven als voorbeeld van het declareren van de proxy-instellingen in de ARM-sjabloon. Een gebruiker kan ook globale omgevingsvariabelen instellen die door alle systeemservices worden opgehaald via de variabele DefaultEnvironment in /etc/systemd/system.conf.

Gebruik Azure PowerShell-opdrachten in de volgende voorbeelden op basis van uw omgeving en configuratie.

Windows-VM

Geen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy zonder verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy met verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Proxyconfiguratie herstellen naar standaardwaarden

Als u de proxyconfiguratie wilt herstellen naar standaardwaarden, kunt u $settingsString = '{}' definiëren, zoals in het volgende voorbeeld:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Linux-VM

Geen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy zonder verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy met verificatie

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-ingeschakelde server

Geen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy zonder verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy met verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Proxyconfiguratie herstellen naar standaardwaarden

Als u de proxyconfiguratie wilt herstellen naar standaardwaarden, kunt u $settingsString = '{}' definiëren, zoals in het volgende voorbeeld:

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Linux-server met Arc-ondersteuning

Geen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy zonder verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy met verificatie

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Voorbeeld van ARM-beleidssjabloon

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuratie van Log Analytics-gateway

1. Volg de voorgaande richtlijnen voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, gebruikt u voor de configuratie van de agentproxy in plaats daarvan het virtuele IP-adres van de load balancer.

2. Voeg de URL van het configuratie-eindpunt toe om DCR's op te halen in de acceptatielijst voor de gateway:

   1. Voer Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com uit.
   2. Voer Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com uit.

   (Als u privékoppelingen op de agent gebruikt, moet u ook de DCEs toevoegen.)

3. Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway:

   • Voer Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com uit.

4. Als u de wijzigingen wilt toepassen, start u de Log Analytics-gatewayservice (OMS Gateway) opnieuw op:

   1. Voer Stop-Service -Name <gateway-name> uit.
   2. Voer Start-Service -Name <gateway-name> uit.

Gerelateerde inhoud

• Meer informatie over het toevoegen van een eindpunt aan een Azure Monitor Private Link-bereikresource.