Определение параметров сети агента Azure Monitor

Агент Azure Monitor поддерживает подключение с помощью прямых прокси-серверов, шлюза Log Analytics и частных ссылок. В этой статье описано, как определить сетевые параметры и включить сетевую изоляцию для агента Azure Monitor.

Теги службы виртуальной сети

Агент Azure Monitor поддерживает теги службы виртуальной сети Azure. Требуются теги AzureMonitor и AzureResourceManager.

Теги службы виртуальной сети Azure можно использовать для определения элементов управления доступом к сети в группах безопасности сети, Брандмауэр Azure и определяемых пользователем маршрутах. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. В сценариях, когда теги службы виртуальной сети Azure не могут использоваться, требования брандмауэра приведены ниже.

Требования к брандмауэру

Облако	Конечная точка	Характер использования	Порт	Направление	Обход проверки HTTPS	Пример
Azure для коммерческих организаций	global.handler.control.monitor.azure.com	Служба контроля доступа	Порт 443	Исходящий	Да	-
Azure для коммерческих организаций	<virtual-machine-region-name>.handler.control.monitor.azure.com	Получение правил сбора данных для конкретного компьютера	Порт 443	Исходящий	Да	westus2.handler.control.monitor.azure.com
Azure для коммерческих организаций	<log-analytics-workspace-id>.ods.opinsights.azure.com	Получение данных журналов	Порт 443	Исходящий	Да	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure для коммерческих организаций	management.azure.com	Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor	Порт 443	Исходящий	Да	-
Azure для коммерческих организаций	<virtual-machine-region-name>.monitoring.azure.com	Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor	Порт 443	Исходящий	Да	westus2.monitoring.azure.com
Azure для коммерческих организаций	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Требуется только при отправке данных в таблицу пользовательских журналов Log Analytics	Порт 443	Исходящий	Да	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure для государственных организаций	Замените ".com" выше на ".us"	То же, что и выше	То же, что и выше	То же, что и выше	То же, что и выше
Microsoft Azure под управлением 21Vianet	Замените ".com" выше на ".cn"	То же, что и выше	То же, что и выше	То же, что и выше	То же, что и выше

Примечание.

Если вы используете частные ссылки в агенте, необходимо добавить только конечные точки сбора частных данных (DCEs). Агент не использует не частные конечные точки, перечисленные выше при использовании частных ссылок или конечных точек сбора данных. Предварительная версия метрик Azure Monitor (пользовательские метрики) недоступна в Azure для государственных организаций и Azure, управляемых облаком 21Vianet.

настройки прокси-сервера;

Если компьютер подключен к прокси-серверу для обмена данными через Интернет, ознакомьтесь со следующими требованиями по настройке сети.

Расширения агентов Azure Monitor для Windows и Linux поддерживают обмен данными с Azure Monitor по протоколу HTTPS либо через прокси-сервер, либо через шлюз Log Analytics. Используйте это для виртуальных машин Azure, масштабируемых наборов виртуальных машин Azure и Azure Arc для серверов. Используйте параметры расширений для конфигурации, как описано ниже. Поддерживается анонимная и базовая аутентификация (с именем пользователя и паролем).

Внимание

Конфигурация прокси-сервера не поддерживается для метрик Azure Monitor (общедоступная предварительная версия) в качестве назначения. При отправке метрик в это место назначения будет использоваться общедоступный Интернет без прокси-сервера.

1. Используйте эту блок-схему для определения значений Settings и ProtectedSettings параметров.

   

   Примечание.

   Настройка прокси-сервера системы Linux с помощью переменных среды, таких как http_proxy и https_proxy поддерживается только с помощью агента Azure Monitor для Linux версии 1.24.2 и выше. Для шаблона ARM, если у вас есть конфигурация прокси-сервера, следуйте примеру шаблона ARM ниже, в котором объявляется параметр прокси внутри шаблона ARM. Кроме того, пользователь может задать переменные глобальной среды, которые собираются всеми системными службами с помощью переменной DefaultEnvironment в /etc/systemd/systemd/system.conf.

2. После определения значений Settings и ProtectedSettings параметров укажите эти другие параметры при развертывании агента Azure Monitor. Используйте команды PowerShell, как показано в следующих примерах:

Виртуальные машины Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Виртуальные машины Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Сервер с поддержкой Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Сервер с поддержкой Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Пример шаблона политики ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Конфигурация шлюза Log Analytics

1. Следуйте приведенным выше инструкциям, чтобы настроить параметры прокси-сервера в агенте и указать IP-адрес и номер порта, соответствующие серверу шлюза. Если в вашей системе развернуто несколько серверов шлюза с подсистемой балансировки нагрузки, в конфигурации прокси-сервера для агента Log Analytics следует указать виртуальный IP-адрес подсистемы балансировки нагрузки.
2. Добавьте URL-адрес конечной точки конфигурации для получения правил сбора данных в список разрешений для шлюза Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Если в агенте используются приватные каналы, добавьте также конечные точки сбора данных.)
3. Добавьте URL-адрес конечной точки приема данных в список разрешений для шлюза Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Перезапустите службу шлюза OMS, чтобы применить изменения Stop-Service -Name <gateway-name> и Start-Service -Name <gateway-name>.

Следующие шаги

• Связывание конечных точек с компьютерами
• Включите сетевую изоляцию для агента Azure Monitor с помощью Приватный канал.