Nätverkskonfiguration för Azure Monitor-agent

Azure Monitor Agent stöder anslutning med hjälp av direkta proxyservrar, Log Analytics-gateway och privata länkar. Den här artikeln beskriver hur du definierar nätverksinställningar och aktiverar nätverksisolering för Azure Monitor Agent.

Tjänsttaggar för virtuellt nätverk

Tjänsttaggar för virtuella Azure-nätverk måste vara aktiverade i det virtuella nätverket för den virtuella datorn. Både AzureMonitor - och AzureResourceManager-taggar krävs.

Azure Virtual Network-tjänsttaggar kan användas för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper, Azure Firewall och användardefinierade vägar. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler och vägar. För scenarier där tjänsttaggar för virtuella Azure-nätverk inte kan användas anges brandväggskraven nedan.

Kommentar

Offentliga IP-adresser för datainsamlingsslutpunkter ingår inte i ovan nämnda nätverkstjänsttaggar. Om du har anpassade loggar eller regler för insamling av IIS-loggdata kan du överväga att tillåta att datainsamlingsslutpunktens offentliga IP-adresser för dessa scenarier fungerar tills dessa scenarier stöds av nätverkstjänsttaggar.

Brandväggsslutpunkter

Följande tabell innehåller de slutpunkter som brandväggar behöver ge åtkomst till för olika moln. Var och en är en utgående anslutning till port 443.

Viktigt!

För alla slutpunkter måste HTTPS-inspektionen vara inaktiverad.

Slutpunkt	Syfte	Exempel
global.handler.control.monitor.azure.com	Åtkomstkontrolltjänst –
<virtual-machine-region-name>.handler.control.monitor.azure.com	Hämta datainsamlingsregler för en särskild dator	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Mata in loggdata	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Behövs endast om du skickar tidsseriedata (mått) till azure monitor custom metrics database	-
<virtual-machine-region-name>.monitoring.azure.com	Behövs endast om du skickar tidsseriedata (mått) till azure monitor custom metrics database	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Behövs endast om data skickas till log analytics-tabellen för anpassade loggar	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Ersätt suffixet i slutpunkterna med suffixet i följande tabell för olika moln.

Moln	Suffix
Azure Commercial	com.
Azure Government	.oss
Microsoft Azure drivs av 21Vianet	.Cn

Kommentar

Om du använder privata länkar på agenten får du bara lägga till slutpunkterna för privat datainsamling (DCE). Agenten använder inte de icke-privata slutpunkter som anges ovan när du använder privata länkar/slutpunkter för datainsamling. Förhandsversionen av Azure Monitor Metrics (anpassade mått) är inte tillgänglig i Azure Government och Azure som drivs av 21Vianet-moln.

Kommentar

När du använder AMA med AMPLS måste alla datainsamlingsregler använda slutpunkter för datainsamling. Dessa DCE:er måste läggas till i AMPLS-konfigurationen med hjälp av en privat länk

Proxykonfiguration

Azure Monitor-agenttilläggen för Windows och Linux kan kommunicera antingen via en proxyserver eller en Log Analytics-gateway till Azure Monitor med hjälp av HTTPS-protokollet. Använd den för virtuella Azure-datorer, Skalningsuppsättningar för virtuella Azure-datorer och Azure Arc för servrar. Använd tilläggsinställningarna för konfiguration enligt beskrivningen i följande steg. Både anonym och grundläggande autentisering med hjälp av ett användarnamn och lösenord stöds.

Viktigt!

Proxykonfiguration stöds inte för Azure Monitor Metrics (offentlig förhandsversion) som mål. Om du skickar mått till det här målet använder det offentliga Internet utan proxy.

Kommentar

Ställa in Linux-systemproxy via miljövariabler som http_proxy och https_proxy stöds endast med Hjälp av Azure Monitor Agent för Linux version 1.24.2 och senare. Om du har proxykonfiguration för ARM-mallen följer du arm-mallexemplet nedan och deklarerar proxyinställningen i ARM-mallen. Dessutom kan en användare ange "globala" miljövariabler som hämtas av alla systembaserade tjänster via variabeln DefaultEnvironment i /etc/systemd/system.conf.

Använd PowerShell-kommandon i följande exempel beroende på din miljö och konfiguration.:

Virtuell Windows-dator

Ingen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy utan autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy med autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuell Linux-dator

Ingen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy utan autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy med autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-aktiverad server

Ingen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy utan autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy med autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc-aktiverad server

Ingen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy utan autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy med autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exempel på ARM-principmall

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration av Log Analytics-gateway

1. Följ riktlinjerna ovan för att konfigurera proxyinställningar för agenten och ange DEN IP-adress och det portnummer som motsvarar gatewayservern. Om du har distribuerat flera gatewayservrar bakom en lastbalanserare är agentproxykonfigurationen den virtuella IP-adressen för lastbalanseraren i stället.
2. Lägg till url:en för konfigurationsslutpunkten för att hämta datainsamlingsregler till listan över tillåtna för gatewayenAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com . (Om du använder privata länkar i agenten måste du också lägga till slutpunkterna för datainsamlingen.)
3. Lägg till url:en för datainmatningsslutpunkten i listan över tillåtna för gatewayen Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Starta om OMS Gateway-tjänsten för att tillämpa ändringarna Stop-Service -Name <gateway-name> och Start-Service -Name <gateway-name>.

Nästa steg

• Lägg till slutpunkt i AMPLS-resursen.