Konfiguracja sieciowa agenta Azure Monitor

Agent Azure Monitor obsługuje połączenia z użyciem bezpośrednich serwerów proxy, bramy Log Analytics i prywatnych łączy. Artykuł ten opisuje, jak zdefiniować ustawienia sieci i włączyć izolację sieci dla agenta Azure Monitor.

Tagi usług wirtualnej sieci

Tagi usług sieci wirtualnej Azure muszą być włączone w sieci wirtualnej dla maszyny wirtualnej (VM). Obydwa tagi AzureMonitor i AzureResourceManager są wymagane.

Możesz użyć znaczników usług Azure Virtual Network do definiowania kontroli dostępu sieciowego na grupach zabezpieczeń sieci, Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usługowych zamiast konkretnych adresów IP podczas tworzenia zasad bezpieczeństwa i tras. Dla scenariuszy, w których nie można użyć tagów usługowych Azure Virtual Network, wymagania dotyczące zapory są opisane później w tym artykule.

Uwaga

Punkty końcowe zbierania danych (DCE) i ich publiczne adresy IP nie są uwzględnione w tagach usług sieciowych, które można użyć do definiowania kontroli dostępu do sieci dla Azure Monitor. Jeśli posiadasz niestandardowe dzienniki lub zasady zbierania danych z dzienników usług Internet Information Services (IIS) (DCR), rozważ zezwolenie na użycie publicznych adresów IP DCE dla tych scenariuszy, aby działały one do momentu wsparcia tych scenariuszy poprzez użycie znaczników usług sieciowych.

Punkty końcowe zapory ogniowej

Poniższa tabela przedstawia punkty końcowe, do których zapory ogniowe muszą zapewniać dostęp dla różnych chmur. Każdy punkt końcowy jest połączeniem wychodzącym do portu 443.

Ważne

Dla wszystkich punktów końcowych inspekcja HTTPS musi być wyłączona.

Punkt końcowy	Cel	Przykład
global.handler.control.monitor.azure.com	Dostęp do usługi kontroli	Nie dotyczy
<virtual-machine-region-name>.handler.control.monitor.azure.com	Pobierz DCR-y dla określonej maszyny	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Przetwarzaj dane dziennika	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Potrzebny tylko, jeśli wysyłasz dane szeregów czasowych (metryki) do bazy danych niestandardowych metryk Azure Monitor	Nie dotyczy
<virtual-machine-region-name>.monitoring.azure.com	Potrzebne tylko, jeśli wysyłasz dane szeregów czasowych (metryk) do bazy danych niestandardowych metryk Azure Monitor	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Pobierz dane dziennika	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Zamień sufiks w punktach końcowych na sufiks z poniższej tabeli dla odpowiednich chmur.

Cloud	Sufiks
Azure Komercyjny	.com
Azure dla rządu	.us
Microsoft Azure obsługiwany przez 21Vianet	.cn

Notatka

• Jeśli używasz prywatnych linków na agencie, musisz dodać tylkoprywatne DCE. Agent nie używa nieprywatnych punktów końcowych wymienionych w powyższej tabeli, gdy używasz prywatnych łączy lub prywatnych DCE.

• Podgląd metryk Azure Monitor (metryki niestandardowe) nie jest dostępny w Azure Government i Azure zarządzanym przez chmury 21Vianet.

• Kiedy używasz Agenta Azure Monitor z Azure Monitor Private Link Scope, wszystkie Twoje DCR-y muszą korzystać z DCE. DCE musi być dodany do konfiguracji zakresu prywatnego łącza Azure Monitor za pośrednictwem prywatnego łącza.

Konfiguracja proxy

Rozszerzenia agenta Azure Monitor dla systemów Windows i Linux mogą komunikować się z Azure Monitor, korzystając z protokołu HTTPS, albo poprzez serwer proxy, albo przez bramkę Log Analytics. Użyj tego dla maszyn wirtualnych Azure, zestawów skalowania i Azure Arc dla serwerów. Użyj ustawień rozszerzeń do konfiguracji zgodnie z poniższymi krokami. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i podstawowe uwierzytelnianie przy użyciu nazwy użytkownika i hasła.

Ważne

Brama OMS nie jest obsługiwana z serwerami z włączonym Azure Arc dla połączeń proxy, połączeń prywatnych i opcji połączeń przez publiczny punkt końcowy.

Ważne

Konfiguracja proxy nie jest obsługiwana dla Azure Monitor Metrics (wersja zapoznawcza) jako miejsca docelowego. Jeśli wyślesz metryki do tego miejsca docelowego, zostaną one przesłane przez publiczny internet bez użycia proxy.

Uwaga

Ustawianie proxy systemu Linux za pomocą zmiennych środowiskowych takich jak http_proxy i https_proxy jest obsługiwane tylko wtedy, gdy używasz agenta Azure Monitor dla Linux w wersji 1.24.2 lub nowszej. Dla szablonu Menedżera zasobów Azure (szablonu ARM), jeśli konfigurujesz serwer proxy, użyj pokazanego tutaj szablonu ARM jako przykładu deklaracji ustawień serwera proxy wewnątrz szablonu ARM. Ponadto użytkownik może ustawić globalne zmienne środowiskowe, które są wykorzystywane przez wszystkie usługi systemd za pomocą zmiennej DefaultEnvironment w /etc/systemd/system.conf.

Używaj poleceń Azure PowerShell w poniższych przykładach, opierając się na swoim środowisku i konfiguracji.

Windows VM

No proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Revert Proxy configuration to defaults

Aby przywrócić domyślną konfigurację serwera proxy, można zdefiniować $settingsString = '{}'; jak w poniższym przykładzie:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Linux VM

No proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serwer obsługujący Windows Arc

No proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Serwer proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Revert Proxy configuration to defaults

Aby przywrócić domyślne ustawienia konfiguracji serwera proxy, możesz zdefiniować $settingsString = '{}'; jak w poniższym przykładzie:

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Linux Arc-enabled server

No proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Przykład szablonu polityki ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguracja bramy Log Analytics

1. Aby skonfigurować ustawienia proxy na agencie, postępuj zgodnie z wcześniejszymi instrukcjami i podaj adres IP oraz numer portu odpowiadający serwerowi bramy. Jeśli wdrożyłeś wiele serwerów bramowych za równoważnikiem obciążenia, do konfiguracji serwera proxy agenta zamiast tego użyj wirtualnego adresu IP równoważnika obciążenia.

2. Dodaj URL punktu końcowego konfiguracji do pobierania DCR do listy dozwolonych dla bramy.

   1. Uruchom Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Uruchom Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Jeśli używasz prywatnych łączy na agencie, musisz również dodać DCEs.)

3. Dodaj adres URL punktu końcowego przyjmowania danych do listy dozwolonych dla bramy.

   • Uruchom Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Aby zastosować zmiany, uruchom ponownie usługę bramy Log Analytics (OMS Gateway).

   1. Uruchom Stop-Service -Name <gateway-name>.
   2. Uruchom Start-Service -Name <gateway-name>.

Powiązane treści

• Dowiedz się, jak dodać punkt końcowy do zasobu Azure Monitor Private Link Scope.