Udostępnij za pośrednictwem


Konfiguracja sieciowa agenta Azure Monitor

Agent Azure Monitor obsługuje połączenia z użyciem bezpośrednich serwerów proxy, bramy Log Analytics i prywatnych łączy. Artykuł ten opisuje, jak zdefiniować ustawienia sieci i włączyć izolację sieci dla agenta Azure Monitor.

Tagi usług wirtualnej sieci

Tagi usług sieci wirtualnej Azure muszą być włączone w sieci wirtualnej dla maszyny wirtualnej (VM). Obydwa tagi AzureMonitor i AzureResourceManager są wymagane.

Możesz użyć znaczników usług Azure Virtual Network do definiowania kontroli dostępu sieciowego na grupach zabezpieczeń sieci, Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usługowych zamiast konkretnych adresów IP podczas tworzenia zasad bezpieczeństwa i tras. Dla scenariuszy, w których nie można użyć tagów usługowych Azure Virtual Network, wymagania dotyczące zapory są opisane później w tym artykule.

Uwaga

Punkty końcowe zbierania danych (DCE) i ich publiczne adresy IP nie są uwzględnione w tagach usług sieciowych, które można użyć do definiowania kontroli dostępu do sieci dla Azure Monitor. Jeśli posiadasz niestandardowe dzienniki lub zasady zbierania danych z dzienników usług Internet Information Services (IIS) (DCR), rozważ zezwolenie na użycie publicznych adresów IP DCE dla tych scenariuszy, aby działały one do momentu wsparcia tych scenariuszy poprzez użycie znaczników usług sieciowych.

Punkty końcowe zapory ogniowej

Poniższa tabela przedstawia punkty końcowe, do których zapory ogniowe muszą zapewniać dostęp dla różnych chmur. Każdy punkt końcowy jest połączeniem wychodzącym do portu 443.

Ważne

Dla wszystkich punktów końcowych inspekcja HTTPS musi być wyłączona.

Punkt końcowy Cel Przykład
global.handler.control.monitor.azure.com Dostęp do usługi kontroli Nie dotyczy
<virtual-machine-region-name>.handler.control.monitor.azure.com Pobierz DCR-y dla określonej maszyny westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com Przetwarzaj dane dziennika 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com Potrzebny tylko, jeśli wysyłasz dane szeregów czasowych (metryki) do bazy danych niestandardowych metryk Azure Monitor Nie dotyczy
<virtual-machine-region-name>.monitoring.azure.com Potrzebne tylko, jeśli wysyłasz dane szeregów czasowych (metryk) do bazy danych niestandardowych metryk Azure Monitor westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com Pobierz dane dziennika 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Zamień sufiks w punktach końcowych na sufiks z poniższej tabeli dla odpowiednich chmur.

Cloud Sufiks
Azure Komercyjny .com
Azure dla rządu .us
Microsoft Azure obsługiwany przez 21Vianet .cn

Notatka

  • Jeśli używasz prywatnych linków na agencie, musisz dodać tylkoprywatne DCE. Agent nie używa nieprywatnych punktów końcowych wymienionych w powyższej tabeli, gdy używasz prywatnych łączy lub prywatnych DCE.

  • Podgląd metryk Azure Monitor (metryki niestandardowe) nie jest dostępny w Azure Government i Azure zarządzanym przez chmury 21Vianet.

  • Kiedy używasz Agenta Azure Monitor z Azure Monitor Private Link Scope, wszystkie Twoje DCR-y muszą korzystać z DCE. DCE musi być dodany do konfiguracji zakresu prywatnego łącza Azure Monitor za pośrednictwem prywatnego łącza.

Konfiguracja proxy

Rozszerzenia agenta Azure Monitor dla systemów Windows i Linux mogą komunikować się z Azure Monitor, korzystając z protokołu HTTPS, albo poprzez serwer proxy, albo przez bramkę Log Analytics. Użyj tego dla maszyn wirtualnych Azure, zestawów skalowania i Azure Arc dla serwerów. Użyj ustawień rozszerzeń do konfiguracji zgodnie z poniższymi krokami. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i podstawowe uwierzytelnianie przy użyciu nazwy użytkownika i hasła.

Ważne

Brama OMS nie jest obsługiwana z serwerami z włączonym Azure Arc dla połączeń proxy, połączeń prywatnych i opcji połączeń przez publiczny punkt końcowy.

Ważne

Konfiguracja proxy nie jest obsługiwana dla Azure Monitor Metrics (wersja zapoznawcza) jako miejsca docelowego. Jeśli wyślesz metryki do tego miejsca docelowego, zostaną one przesłane przez publiczny internet bez użycia proxy.

Uwaga

Ustawianie proxy systemu Linux za pomocą zmiennych środowiskowych takich jak http_proxy i https_proxy jest obsługiwane tylko wtedy, gdy używasz agenta Azure Monitor dla Linux w wersji 1.24.2 lub nowszej. Dla szablonu Menedżera zasobów Azure (szablonu ARM), jeśli konfigurujesz serwer proxy, użyj pokazanego tutaj szablonu ARM jako przykładu deklaracji ustawień serwera proxy wewnątrz szablonu ARM. Ponadto użytkownik może ustawić globalne zmienne środowiskowe, które są wykorzystywane przez wszystkie usługi systemd za pomocą zmiennej DefaultEnvironment w /etc/systemd/system.conf.

Używaj poleceń Azure PowerShell w poniższych przykładach, opierając się na swoim środowisku i konfiguracji.

No proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Revert Proxy configuration to defaults

Aby przywrócić domyślną konfigurację serwera proxy, można zdefiniować $settingsString = '{}'; jak w poniższym przykładzie:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Konfiguracja bramy Log Analytics

  1. Aby skonfigurować ustawienia proxy na agencie, postępuj zgodnie z wcześniejszymi instrukcjami i podaj adres IP oraz numer portu odpowiadający serwerowi bramy. Jeśli wdrożyłeś wiele serwerów bramowych za równoważnikiem obciążenia, do konfiguracji serwera proxy agenta zamiast tego użyj wirtualnego adresu IP równoważnika obciążenia.

  2. Dodaj URL punktu końcowego konfiguracji do pobierania DCR do listy dozwolonych dla bramy.

    1. Uruchom Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
    2. Uruchom Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

    (Jeśli używasz prywatnych łączy na agencie, musisz również dodać DCEs.)

  3. Dodaj adres URL punktu końcowego przyjmowania danych do listy dozwolonych dla bramy.

    • Uruchom Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
  4. Aby zastosować zmiany, uruchom ponownie usługę bramy Log Analytics (OMS Gateway).

    1. Uruchom Stop-Service -Name <gateway-name>.
    2. Uruchom Start-Service -Name <gateway-name>.