Definiowanie ustawień sieciowych agenta usługi Azure Monitor

Agent usługi Azure Monitor obsługuje nawiązywanie połączeń przy użyciu bezpośrednich serwerów proxy, bramy usługi Log Analytics i łączy prywatnych. W tym artykule wyjaśniono, jak zdefiniować ustawienia sieci i włączyć izolację sieci dla agenta usługi Azure Monitor.

Tagi usługi sieci wirtualnej

Agent usługi Azure Monitor obsługuje tagi usługi sieci wirtualnej platformy Azure. Wymagane są zarówno tagi AzureMonitor, jak i AzureResourceManager .

Tagi usługi sieci wirtualnej platformy Azure mogą służyć do definiowania mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. W przypadku scenariuszy, w których nie można używać tagów usługi sieci wirtualnej platformy Azure, wymagania dotyczące zapory są podane poniżej.

Wymagania dotyczące zapory

Chmura	Punkt końcowy	Purpose	Port	Kierunek	Pominięcie inspekcji HTTPS	Przykład
Azure Commercial	global.handler.control.monitor.azure.com	Usługa kontroli dostępu	Port 443	Wychodzące	Tak	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Pobieranie reguł zbierania danych dla określonej maszyny	Port 443	Wychodzące	Tak	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Pozyskiwanie danych dzienników	Port 443	Wychodzące	Tak	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	Port 443	Wychodzące	Tak	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	Port 443	Wychodzące	Tak	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Wymagane tylko w przypadku wysyłania danych do tabeli dzienników niestandardowych usługi Log Analytics	Port 443	Wychodzące	Tak	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Zastąp wartość ".com" powyżej ciągiem ".us"	Jak wyżej	Jak wyżej	Jak wyżej	Jak wyżej
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	Zastąp element ".com" powyżej ciągiem ".cn"	Jak wyżej	Jak wyżej	Jak wyżej	Jak wyżej

Uwaga

Jeśli używasz linków prywatnych na agencie, musisz dodać tylko prywatne punkty końcowe zbierania danych (DCE). Agent nie używa punktów końcowych innych niż prywatne wymienione powyżej podczas korzystania z prywatnych linków/punktów końcowych zbierania danych. Wersja zapoznawcza metryk usługi Azure Monitor (metryk niestandardowych) nie jest dostępna w usługach Azure Government i Azure obsługiwanych przez chmury 21Vianet.

Konfiguracja serwera proxy

Jeśli maszyna łączy się za pośrednictwem serwera proxy w celu komunikacji przez Internet, zapoznaj się z następującymi wymaganiami, aby zrozumieć wymaganą konfigurację sieci.

Rozszerzenia agenta usługi Azure Monitor dla systemów Windows i Linux mogą komunikować się za pośrednictwem serwera proxy lub bramy usługi Log Analytics do usługi Azure Monitor przy użyciu protokołu HTTPS. Użyj go dla maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych platformy Azure i usługi Azure Arc dla serwerów. Użyj ustawień rozszerzeń dla konfiguracji zgodnie z opisem w poniższych krokach. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i podstawowe przy użyciu nazwy użytkownika i hasła.

Ważne

Konfiguracja serwera proxy nie jest obsługiwana dla metryk usługi Azure Monitor (publiczna wersja zapoznawcza) jako miejsca docelowego. Jeśli wysyłasz metryki do tego miejsca docelowego, użyje publicznego Internetu bez żadnego serwera proxy.

1. Użyj tego schematu blokowego, aby najpierw określić wartości parametrów Settings i ProtectedSettings .

   

   Uwaga

   Ustawianie serwera proxy systemu Linux za pomocą zmiennych środowiskowych, takich jak http_proxy i https_proxy jest obsługiwane tylko przy użyciu agenta usługi Azure Monitor dla systemu Linux w wersji 1.24.2 lub nowszej. W przypadku szablonu usługi ARM, jeśli masz konfigurację serwera proxy, postępuj zgodnie z poniższym przykładem szablonu usługi ARM deklarując ustawienie serwera proxy wewnątrz szablonu usługi ARM. Ponadto użytkownik może ustawić zmienne środowiskowe "globalne", które są pobierane przez wszystkie usługi systemd za pośrednictwem zmiennej DefaultEnvironment w pliku /etc/systemd/system.conf.

2. Po określeniu wartości parametrów Settings i ProtectedSettings podaj te inne parametry podczas wdrażania agenta usługi Azure Monitor. Użyj poleceń programu PowerShell, jak pokazano w następujących przykładach:

Maszyna wirtualna z systemem Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Maszyna wirtualna z systemem Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serwer z obsługą usługi Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Serwer z obsługą usługi Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Przykład szablonu zasad usługi ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguracja bramy usługi Log Analytics

1. Postępuj zgodnie z poprzednimi instrukcjami, aby skonfigurować ustawienia serwera proxy na agencie i podać adres IP i numer portu odpowiadający serwerowi bramy. Jeśli wdrożono wiele serwerów bramy za modułem równoważenia obciążenia, konfiguracja serwera proxy agenta to wirtualny adres IP modułu równoważenia obciążenia.
2. Dodaj adres URL punktu końcowego konfiguracji, aby pobrać reguły zbierania danych do listy dozwolonych dla bramy Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Jeśli używasz linków prywatnych na agencie, musisz również dodać punkty końcowe zbierania danych).
3. Dodaj adres URL punktu końcowego pozyskiwania danych do listy dozwolonych dla bramy Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Uruchom ponownie usługę bramy pakietu OMS, aby zastosować zmiany Stop-Service -Name <gateway-name> i Start-Service -Name <gateway-name>.

Następne kroki

• Kojarzenie punktu końcowego z maszynami
• Włącz izolację sieci dla agenta usługi Azure Monitor przy użyciu usługi Private Link.