Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agent Azure Monitor obsługuje połączenia z użyciem bezpośrednich serwerów proxy, bramy Log Analytics i prywatnych łączy. Artykuł ten opisuje, jak zdefiniować ustawienia sieci i włączyć izolację sieci dla agenta Azure Monitor.
Tagi usług wirtualnej sieci
Tagi usług sieci wirtualnej Azure muszą być włączone w sieci wirtualnej dla maszyny wirtualnej (VM). Obydwa tagi AzureMonitor i AzureResourceManager są wymagane.
Możesz użyć znaczników usług Azure Virtual Network do definiowania kontroli dostępu sieciowego na grupach zabezpieczeń sieci, Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usługowych zamiast konkretnych adresów IP podczas tworzenia zasad bezpieczeństwa i tras. Dla scenariuszy, w których nie można użyć tagów usługowych Azure Virtual Network, wymagania dotyczące zapory są opisane później w tym artykule.
Uwaga
Punkty końcowe zbierania danych (DCE) i ich publiczne adresy IP nie są uwzględnione w tagach usług sieciowych, które można użyć do definiowania kontroli dostępu do sieci dla Azure Monitor. Jeśli posiadasz niestandardowe dzienniki lub zasady zbierania danych z dzienników usług Internet Information Services (IIS) (DCR), rozważ zezwolenie na użycie publicznych adresów IP DCE dla tych scenariuszy, aby działały one do momentu wsparcia tych scenariuszy poprzez użycie znaczników usług sieciowych.
Punkty końcowe zapory ogniowej
Poniższa tabela przedstawia punkty końcowe, do których zapory ogniowe muszą zapewniać dostęp dla różnych chmur. Każdy punkt końcowy jest połączeniem wychodzącym do portu 443.
Ważne
Dla wszystkich punktów końcowych inspekcja HTTPS musi być wyłączona.
Punkt końcowy | Cel | Przykład |
---|---|---|
global.handler.control.monitor.azure.com |
Dostęp do usługi kontroli | Nie dotyczy |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
Pobierz DCR-y dla określonej maszyny | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Przetwarzaj dane dziennika | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
Potrzebny tylko, jeśli wysyłasz dane szeregów czasowych (metryki) do bazy danych niestandardowych metryk Azure Monitor | Nie dotyczy |
<virtual-machine-region-name>.monitoring.azure.com |
Potrzebne tylko, jeśli wysyłasz dane szeregów czasowych (metryk) do bazy danych niestandardowych metryk Azure Monitor | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Pobierz dane dziennika | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Zamień sufiks w punktach końcowych na sufiks z poniższej tabeli dla odpowiednich chmur.
Cloud | Sufiks |
---|---|
Azure Komercyjny | .com |
Azure dla rządu | .us |
Microsoft Azure obsługiwany przez 21Vianet | .cn |
Notatka
Jeśli używasz prywatnych linków na agencie, musisz dodać tylkoprywatne DCE. Agent nie używa nieprywatnych punktów końcowych wymienionych w powyższej tabeli, gdy używasz prywatnych łączy lub prywatnych DCE.
Podgląd metryk Azure Monitor (metryki niestandardowe) nie jest dostępny w Azure Government i Azure zarządzanym przez chmury 21Vianet.
Kiedy używasz Agenta Azure Monitor z Azure Monitor Private Link Scope, wszystkie Twoje DCR-y muszą korzystać z DCE. DCE musi być dodany do konfiguracji zakresu prywatnego łącza Azure Monitor za pośrednictwem prywatnego łącza.
Konfiguracja proxy
Rozszerzenia agenta Azure Monitor dla systemów Windows i Linux mogą komunikować się z Azure Monitor, korzystając z protokołu HTTPS, albo poprzez serwer proxy, albo przez bramkę Log Analytics. Użyj tego dla maszyn wirtualnych Azure, zestawów skalowania i Azure Arc dla serwerów. Użyj ustawień rozszerzeń do konfiguracji zgodnie z poniższymi krokami. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i podstawowe uwierzytelnianie przy użyciu nazwy użytkownika i hasła.
Ważne
Brama OMS nie jest obsługiwana z serwerami z włączonym Azure Arc dla połączeń proxy, połączeń prywatnych i opcji połączeń przez publiczny punkt końcowy.
Ważne
Konfiguracja proxy nie jest obsługiwana dla Azure Monitor Metrics (wersja zapoznawcza) jako miejsca docelowego. Jeśli wyślesz metryki do tego miejsca docelowego, zostaną one przesłane przez publiczny internet bez użycia proxy.
Uwaga
Ustawianie proxy systemu Linux za pomocą zmiennych środowiskowych takich jak http_proxy
i https_proxy
jest obsługiwane tylko wtedy, gdy używasz agenta Azure Monitor dla Linux w wersji 1.24.2 lub nowszej. Dla szablonu Menedżera zasobów Azure (szablonu ARM), jeśli konfigurujesz serwer proxy, użyj pokazanego tutaj szablonu ARM jako przykładu deklaracji ustawień serwera proxy wewnątrz szablonu ARM. Ponadto użytkownik może ustawić globalne zmienne środowiskowe, które są wykorzystywane przez wszystkie usługi systemd za pomocą zmiennej DefaultEnvironment w /etc/systemd/system.conf.
Używaj poleceń Azure PowerShell w poniższych przykładach, opierając się na swoim środowisku i konfiguracji.
- Windows VM
- Linux VM
- Serwer obsługujący Windows Arc
- Linux Arc-enabled server
- Przykład szablonu polityki ARM
No proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy bez uwierzytelniania
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Serwer proxy z uwierzytelnianiem
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Revert Proxy configuration to defaults
Aby przywrócić domyślną konfigurację serwera proxy, można zdefiniować $settingsString = '{}'; jak w poniższym przykładzie:
$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString
Konfiguracja bramy Log Analytics
Aby skonfigurować ustawienia proxy na agencie, postępuj zgodnie z wcześniejszymi instrukcjami i podaj adres IP oraz numer portu odpowiadający serwerowi bramy. Jeśli wdrożyłeś wiele serwerów bramowych za równoważnikiem obciążenia, do konfiguracji serwera proxy agenta zamiast tego użyj wirtualnego adresu IP równoważnika obciążenia.
Dodaj URL punktu końcowego konfiguracji do pobierania DCR do listy dozwolonych dla bramy.
- Uruchom
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
. - Uruchom
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
.
(Jeśli używasz prywatnych łączy na agencie, musisz również dodać DCEs.)
- Uruchom
Dodaj adres URL punktu końcowego przyjmowania danych do listy dozwolonych dla bramy.
- Uruchom
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
.
- Uruchom
Aby zastosować zmiany, uruchom ponownie usługę bramy Log Analytics (OMS Gateway).
- Uruchom
Stop-Service -Name <gateway-name>
. - Uruchom
Start-Service -Name <gateway-name>
.
- Uruchom
Powiązane treści
- Dowiedz się, jak dodać punkt końcowy do zasobu Azure Monitor Private Link Scope.