Definir configurações de rede do Azure Monitor Agent

O Azure Monitor Agent dá suporte à conexão usando proxies diretos, gateway do Log Analytics e links privados. Este artigo explica como definir configurações de rede e habilitar o isolamento de rede para o Azure Monitor Agent.

Etiquetas de serviço da rede virtual

O Azure Monitor Agent dá suporte a tags de serviço de rede virtual do Azure. As tags AzureMonitor e AzureResourceManager são necessárias.

As tags de serviço de rede virtual do Azure podem ser usadas para definir controles de acesso à rede em grupos de segurança de rede, Firewall do Azure e rotas definidas pelo usuário. Use tags de serviço no lugar de endereços IP específicos ao criar regras de segurança e rotas. Para cenários em que as tags de serviço de rede virtual do Azure não podem ser usadas, os requisitos de Firewall são fornecidos abaixo.

Requisitos de firewall

Cloud	Ponto final	Propósito	Porta	Direção	Inspeção de HTTPS direto	Exemplo
Azure Commercial	global.handler.control.monitor.azure.com	Serviço de controlo de acessos	Porta 443	De Saída	Sim	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Buscar regras de coleta de dados para uma máquina específica	Porta 443	De Saída	Sim	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingerir dados de registos	Porta 443	De Saída	Sim	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Necessário apenas se enviar dados de séries cronológicas (métricas) para a base de dados de métricas personalizadas do Azure Monitor	Porta 443	De Saída	Sim	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Necessário apenas se enviar dados de séries cronológicas (métricas) para a base de dados de métricas personalizadas do Azure Monitor	Porta 443	De Saída	Sim	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Necessário apenas se enviar dados para a tabela de Logs Personalizados do Log Analytics	Porta 443	De Saída	Sim	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Substitua '.com' acima por '.us'	Mesmo que acima	Mesmo que acima	Mesmo que acima	Mesmo que acima
Microsoft Azure operado pela 21Vianet	Substitua '.com' acima por '.cn'	Mesmo que acima	Mesmo que acima	Mesmo que acima	Mesmo que acima

Nota

Se você usar links privados no agente, deverá adicionar apenas os pontos de extremidade de coleta de dados privados (DCEs). O agente não usa os pontos de extremidade não privados listados acima ao usar links privados/pontos de extremidade de coleta de dados. A visualização do Azure Monitor Metrics (métricas personalizadas) não está disponível no Azure Government e no Azure operado pelas nuvens 21Vianet.

Configuração do proxy

Se a máquina se conectar através de um servidor proxy para se comunicar pela Internet, revise os requisitos a seguir para entender a configuração de rede necessária.

As extensões do Agente do Azure Monitor para Windows e Linux podem se comunicar por meio de um servidor proxy ou de um gateway do Log Analytics para o Azure Monitor usando o protocolo HTTPS. Use-o para máquinas virtuais do Azure, conjuntos de dimensionamento de máquinas virtuais do Azure e Azure Arc para servidores. Use as definições de extensões para configuração conforme descrito nas etapas a seguir. Há suporte para autenticação anônima e básica usando um nome de usuário e senha.

Importante

Não há suporte para a configuração de proxy para o Azure Monitor Metrics (visualização pública) como destino. Se você estiver enviando métricas para esse destino, ele usará a internet pública sem qualquer proxy.

1. Use este fluxograma para determinar os Settings valores dos parâmetros e ProtectedSettings primeiro.

   

   Nota

   Definir o proxy do sistema Linux por meio de variáveis de ambiente, como http_proxy e só é suportado usando o Azure Monitor Agent para Linux versão 1.24.2 e https_proxy superior. Para o modelo ARM, se você tiver configuração de proxy, siga o exemplo de modelo ARM abaixo declarando a configuração de proxy dentro do modelo ARM. Além disso, um usuário pode definir variáveis de ambiente "globais" que são captadas por todos os serviços systemd através da variável DefaultEnvironment em /etc/systemd/system.conf.

2. Depois de determinar os valores e ProtectedSettings parâmetro, forneça esses outros parâmetros ao implantar o Settings Azure Monitor Agent. Use comandos do PowerShell, conforme mostrado nos exemplos a seguir:

VM do Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

VM do Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Servidor habilitado para Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Servidor habilitado para Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exemplo de modelo de política ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuração do gateway do Log Analytics

1. Siga as instruções anteriores para definir as configurações de proxy no agente e forneça o endereço IP e o número da porta que correspondem ao servidor gateway. Se você implantou vários servidores gateway atrás de um balanceador de carga, a configuração de proxy do agente é o endereço IP virtual do balanceador de carga.
2. Adicione a URL do ponto de extremidade de configuração para buscar regras de coleta de dados à lista de permissões do gatewayAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com. (Se você estiver usando links privados no agente, também deverá adicionar os pontos de extremidade de coleta de dados.)
3. Adicione a URL do ponto de extremidade de ingestão de dados à lista de permissões do gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Reinicie o serviço OMS Gateway para aplicar as alterações Stop-Service -Name <gateway-name> e Start-Service -Name <gateway-name>.

Próximos passos

• Associar endpoint a máquinas
• Habilite o isolamento de rede para o Agente do Azure Monitor usando o Link Privado.