Определение параметров сети агента Azure Monitor
Агент Azure Monitor поддерживает подключение с помощью прямых прокси-серверов, шлюза Log Analytics и частных ссылок. В этой статье описано, как определить сетевые параметры и включить сетевую изоляцию для агента Azure Monitor.
Теги службы виртуальной сети
Агент Azure Monitor поддерживает теги службы виртуальной сети Azure. Требуются теги AzureMonitor и AzureResourceManager.
Теги службы виртуальной сети Azure можно использовать для определения элементов управления доступом к сети в группах безопасности сети, Брандмауэр Azure и определяемых пользователем маршрутах. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. В сценариях, когда теги службы виртуальной сети Azure не могут использоваться, требования брандмауэра приведены ниже.
Требования к брандмауэру
Облако | Конечная точка | Характер использования | Порт | Направление | Обход проверки HTTPS | Пример |
---|---|---|---|---|---|---|
Azure для коммерческих организаций | global.handler.control.monitor.azure.com | Служба контроля доступа | Порт 443 | Исходящий | Да | - |
Azure для коммерческих организаций | <virtual-machine-region-name> .handler.control.monitor.azure.com |
Получение правил сбора данных для конкретного компьютера | Порт 443 | Исходящий | Да | westus2.handler.control.monitor.azure.com |
Azure для коммерческих организаций | <log-analytics-workspace-id> .ods.opinsights.azure.com |
Получение данных журналов | Порт 443 | Исходящий | Да | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
Azure для коммерческих организаций | management.azure.com | Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor | Порт 443 | Исходящий | Да | - |
Azure для коммерческих организаций | <virtual-machine-region-name> .monitoring.azure.com |
Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor | Порт 443 | Исходящий | Да | westus2.monitoring.azure.com |
Azure для коммерческих организаций | <data-collection-endpoint> .<virtual-machine-region-name> . ingest.monitor.azure.com |
Требуется только при отправке данных в таблицу пользовательских журналов Log Analytics | Порт 443 | Исходящий | Да | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Azure для государственных организаций | Замените ".com" выше на ".us" | То же, что и выше | То же, что и выше | То же, что и выше | То же, что и выше | |
Microsoft Azure под управлением 21Vianet | Замените ".com" выше на ".cn" | То же, что и выше | То же, что и выше | То же, что и выше | То же, что и выше |
Примечание.
Если вы используете частные ссылки в агенте, необходимо добавить только конечные точки сбора частных данных (DCEs). Агент не использует не частные конечные точки, перечисленные выше при использовании частных ссылок или конечных точек сбора данных. Предварительная версия метрик Azure Monitor (пользовательские метрики) недоступна в Azure для государственных организаций и Azure, управляемых облаком 21Vianet.
настройки прокси-сервера;
Если компьютер подключен к прокси-серверу для обмена данными через Интернет, ознакомьтесь со следующими требованиями по настройке сети.
Расширения агентов Azure Monitor для Windows и Linux поддерживают обмен данными с Azure Monitor по протоколу HTTPS либо через прокси-сервер, либо через шлюз Log Analytics. Используйте это для виртуальных машин Azure, масштабируемых наборов виртуальных машин Azure и Azure Arc для серверов. Используйте параметры расширений для конфигурации, как описано ниже. Поддерживается анонимная и базовая аутентификация (с именем пользователя и паролем).
Внимание
Конфигурация прокси-сервера не поддерживается для метрик Azure Monitor (общедоступная предварительная версия) в качестве назначения. При отправке метрик в это место назначения будет использоваться общедоступный Интернет без прокси-сервера.
Используйте эту блок-схему для определения значений
Settings
иProtectedSettings
параметров.Примечание.
Настройка прокси-сервера системы Linux с помощью переменных среды, таких как
http_proxy
иhttps_proxy
поддерживается только с помощью агента Azure Monitor для Linux версии 1.24.2 и выше. Для шаблона ARM, если у вас есть конфигурация прокси-сервера, следуйте примеру шаблона ARM ниже, в котором объявляется параметр прокси внутри шаблона ARM. Кроме того, пользователь может задать переменные глобальной среды, которые собираются всеми системными службами с помощью переменной DefaultEnvironment в /etc/systemd/systemd/system.conf.После определения значений
Settings
иProtectedSettings
параметров укажите эти другие параметры при развертывании агента Azure Monitor. Используйте команды PowerShell, как показано в следующих примерах:
- Виртуальные машины Windows
- Виртуальные машины Linux
- Сервер с поддержкой Windows Arc
- Сервер с поддержкой Linux Arc
- Пример шаблона политики ARM
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Конфигурация шлюза Log Analytics
- Следуйте приведенным выше инструкциям, чтобы настроить параметры прокси-сервера в агенте и указать IP-адрес и номер порта, соответствующие серверу шлюза. Если в вашей системе развернуто несколько серверов шлюза с подсистемой балансировки нагрузки, в конфигурации прокси-сервера для агента Log Analytics следует указать виртуальный IP-адрес подсистемы балансировки нагрузки.
- Добавьте URL-адрес конечной точки конфигурации для получения правил сбора данных в список разрешений для шлюза
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Если в агенте используются приватные каналы, добавьте также конечные точки сбора данных.) - Добавьте URL-адрес конечной точки приема данных в список разрешений для шлюза
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Перезапустите службу шлюза OMS, чтобы применить изменения
Stop-Service -Name <gateway-name>
иStart-Service -Name <gateway-name>
.