Konfiguracja sieci agenta usługi Azure Monitor

Agent usługi Azure Monitor obsługuje nawiązywanie połączeń przy użyciu bezpośrednich serwerów proxy, bramy usługi Log Analytics i łączy prywatnych. W tym artykule wyjaśniono, jak zdefiniować ustawienia sieci i włączyć izolację sieci dla agenta usługi Azure Monitor.

Tagi usługi sieci wirtualnej

Tagi usługi sieci wirtualnej platformy Azure muszą być włączone w sieci wirtualnej dla maszyny wirtualnej. Wymagane są zarówno tagi AzureMonitor, jak i AzureResourceManager .

Tagi usługi sieci wirtualnej platformy Azure mogą służyć do definiowania mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. W przypadku scenariuszy, w których nie można używać tagów usługi sieci wirtualnej platformy Azure, wymagania dotyczące zapory są podane poniżej.

Uwaga

Publiczne adresy IP punktu końcowego zbierania danych nie są częścią wymienionych powyżej tagów usługi sieciowej. Jeśli masz niestandardowe dzienniki lub reguły zbierania danych dzienników usług IIS, rozważ zezwolenie na publiczne adresy IP punktu końcowego zbierania danych dla tych scenariuszy, dopóki te scenariusze nie będą obsługiwane przez tagi usługi sieciowej.

Punkty końcowe zapory

Poniższa tabela zawiera punkty końcowe, do których zapory muszą zapewnić dostęp dla różnych chmur. Każdy z nich jest połączeniem wychodzącym z portem 443.

Ważne

W przypadku wszystkich punktów końcowych inspekcja HTTPS musi być wyłączona.

Punkt końcowy	Purpose	Przykład
global.handler.control.monitor.azure.com	Usługa kontroli dostępu —
<virtual-machine-region-name>.handler.control.monitor.azure.com	Pobieranie reguł zbierania danych dla określonego komputera	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Pozyskiwanie danych dzienników	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	-
<virtual-machine-region-name>.monitoring.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Wymagane tylko w przypadku wysyłania danych do niestandardowej tabeli dzienników usługi Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Zastąp sufiks w punktach końcowych sufiksem w poniższej tabeli dla różnych chmur.

Chmura	Przyrostek
Azure Commercial	com.
Azure Government	.nam
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	.Cn

Uwaga

Jeśli używasz linków prywatnych na agencie, musisz dodać tylko prywatne punkty końcowe zbierania danych (DCE). Agent nie używa punktów końcowych innych niż prywatne wymienione powyżej podczas korzystania z prywatnych linków/punktów końcowych zbierania danych. Wersja zapoznawcza metryk usługi Azure Monitor (metryk niestandardowych) nie jest dostępna w usługach Azure Government i Azure obsługiwanych przez chmury 21Vianet.

Uwaga

W przypadku korzystania z usługi AMA z usługą AMPLS wszystkie reguły zbierania danych muszą używać punktów końcowych zbierania danych. Te kontrolery domeny należy dodać do konfiguracji AMPLS przy użyciu łącza prywatnego

Konfiguracja serwera proxy

Rozszerzenia agenta usługi Azure Monitor dla systemów Windows i Linux mogą komunikować się za pośrednictwem serwera proxy lub bramy usługi Log Analytics do usługi Azure Monitor przy użyciu protokołu HTTPS. Używaj ich dla maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych platformy Azure i usługi Azure Arc dla serwerów. Użyj ustawień rozszerzeń dla konfiguracji zgodnie z opisem w poniższych krokach. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i podstawowe przy użyciu nazwy użytkownika i hasła.

Ważne

Konfiguracja serwera proxy nie jest obsługiwana dla metryk usługi Azure Monitor (publiczna wersja zapoznawcza) jako miejsca docelowego. Jeśli wysyłasz metryki do tego miejsca docelowego, użyje publicznego Internetu bez żadnego serwera proxy.

Uwaga

Ustawianie serwera proxy systemu Linux za pomocą zmiennych środowiskowych, takich jak http_proxy i https_proxy jest obsługiwane tylko przy użyciu agenta usługi Azure Monitor dla systemu Linux w wersji 1.24.2 lub nowszej. W przypadku szablonu usługi ARM, jeśli masz konfigurację serwera proxy, postępuj zgodnie z poniższym przykładem szablonu usługi ARM deklarując ustawienie serwera proxy wewnątrz szablonu usługi ARM. Ponadto użytkownik może ustawić zmienne środowiskowe "globalne", które są pobierane przez wszystkie usługi systemd za pośrednictwem zmiennej DefaultEnvironment w pliku /etc/systemd/system.conf.

Użyj poleceń programu PowerShell w następujących przykładach w zależności od środowiska i konfiguracji.

Maszyna wirtualna z systemem Windows

Brak serwera proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Maszyna wirtualna z systemem Linux

Brak serwera proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serwer z obsługą usługi Windows Arc

Brak serwera proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Serwer proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Serwer z obsługą usługi Linux Arc

Brak serwera proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Serwer proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Przykład szablonu zasad usługi ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguracja bramy usługi Log Analytics

1. Postępuj zgodnie z powyższymi wskazówkami, aby skonfigurować ustawienia serwera proxy w agencie i podać adres IP i numer portu odpowiadający serwerowi bramy. Jeśli wdrożono wiele serwerów bramy za modułem równoważenia obciążenia, konfiguracja serwera proxy agenta to wirtualny adres IP modułu równoważenia obciążenia.
2. Dodaj adres URL punktu końcowego konfiguracji, aby pobrać reguły zbierania danych do listy dozwolonych dla bramy Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Jeśli używasz linków prywatnych na agencie, musisz również dodać punkty końcowe zbierania danych).
3. Dodaj adres URL punktu końcowego pozyskiwania danych do listy dozwolonych dla bramy Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Uruchom ponownie usługę bramy pakietu OMS, aby zastosować zmiany Stop-Service -Name <gateway-name> i Start-Service -Name <gateway-name>.

Następne kroki

• Dodaj punkt końcowy do zasobu AMPLS.