Azure İzleyici Aracısı ağ ayarlarını tanımlama
Azure İzleyici Aracısı doğrudan proxy'ler, Log Analytics ağ geçidi ve özel bağlantılar kullanarak bağlanmayı destekler. Bu makalede, Azure İzleyici Aracısı için ağ ayarlarını tanımlama ve ağ yalıtımını etkinleştirme açıklanmaktadır.
Sanal ağ hizmet etiketleri
Azure İzleyici Aracısı, Azure sanal ağ hizmet etiketlerini destekler. Hem AzureMonitor hem de AzureResourceManager etiketleri gereklidir.
Azure Sanal ağ hizmet etiketleri, ağ güvenlik grupları, Azure Güvenlik Duvarı ve kullanıcı tanımlı yollarda ağ erişim denetimlerini tanımlamak için kullanılabilir. Güvenlik kuralları ve yolları oluştururken belirli IP adresleri yerine hizmet etiketlerini kullanın. Azure sanal ağ hizmet etiketlerinin kullanılamadığı senaryolar için güvenlik duvarı gereksinimleri aşağıda verilmiştir.
Güvenlik duvarı gereksinimleri
Bulut | Uç nokta | Purpose | Bağlantı noktası | Yön | HTTPS İncelemeyi atla | Örnek |
---|---|---|---|---|---|---|
Azure Ticari | global.handler.control.monitor.azure.com | Erişim denetimi hizmeti | Bağlantı Noktası 443 | Giden | Yes | - |
Azure Ticari | <virtual-machine-region-name> .handler.control.monitor.azure.com |
Belirli bir makine için veri toplama kurallarını getirme | Bağlantı Noktası 443 | Giden | Yes | westus2.handler.control.monitor.azure.com |
Azure Ticari | <log-analytics-workspace-id> .ods.opinsights.azure.com |
Günlük verilerini alma | Bağlantı Noktası 443 | Giden | Yes | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
Azure Ticari | management.azure.com | Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir | Bağlantı Noktası 443 | Giden | Yes | - |
Azure Ticari | <virtual-machine-region-name> .monitoring.azure.com |
Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir | Bağlantı Noktası 443 | Giden | Yes | westus2.monitoring.azure.com |
Azure Ticari | <data-collection-endpoint> .<virtual-machine-region-name> . ingest.monitor.azure.com |
Yalnızca Log Analytics Özel Günlükler tablosuna veri gönderiliyorsa gereklidir | Bağlantı Noktası 443 | Giden | Yes | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Azure Kamu | Yukarıdaki '.com' yerine '.us' ifadesini kullanın | Yukarıdakiyle aynı | Yukarıdakiyle aynı | Yukarıdakiyle aynı | Yukarıdakiyle aynı | |
21Vianet tarafından çalıştırılan Microsoft Azure | Yukarıdaki '.com' yerine '.cn' ifadesini kullanın | Yukarıdakiyle aynı | Yukarıdakiyle aynı | Yukarıdakiyle aynı | Yukarıdakiyle aynı |
Not
Aracıda özel bağlantılar kullanıyorsanız, yalnızca özel veri toplama uç noktalarını (DCE) eklemeniz gerekir. Aracı, özel bağlantılar/veri toplama uç noktaları kullanılırken yukarıda listelenen özel olmayan uç noktaları kullanmaz. Azure İzleyici Ölçümleri (özel ölçümler) önizlemesi, 21Vianet bulutları tarafından sağlanan Azure Kamu ve Azure'da kullanılamaz.
Ara sunucu yapılandırması
Makine İnternet üzerinden iletişim kurmak için bir ara sunucu üzerinden bağlanıyorsa, gerekli ağ yapılandırmasını anlamak için aşağıdaki gereksinimleri gözden geçirin.
Windows ve Linux için Azure İzleyici Aracısı uzantıları, HTTPS protokolünü kullanarak bir ara sunucu veya Log Analytics ağ geçidi aracılığıyla Azure İzleyici'ye iletişim kurabilir. Bunu Azure sanal makineleri, Azure sanal makine ölçek kümeleri ve sunucular için Azure Arc için kullanın. Aşağıdaki adımlarda açıklandığı gibi yapılandırma için uzantı ayarlarını kullanın. Kullanıcı adı ve parola kullanılarak hem anonim hem de temel kimlik doğrulaması desteklenir.
Önemli
Proxy yapılandırması, hedef olarak Azure İzleyici Ölçümleri (genel önizleme) için desteklenmez. Bu hedefe ölçüm gönderiyorsanız, herhangi bir ara sunucu olmadan genel İnternet'i kullanır.
Önce ve
ProtectedSettings
parametrelerinin değerlerini belirlemek için bu akış çizelgesiniSettings
kullanın.Not
ve gibi
http_proxy
https_proxy
ortam değişkenleri aracılığıyla Linux sistem proxy'sini ayarlamak yalnızca Linux için Azure İzleyici Aracısı sürüm 1.24.2 ve üzeri kullanılarak desteklenir. ARM şablonu için, ara sunucu yapılandırmanız varsa ARM şablonunun içinde ara sunucu ayarını bildirmek için aşağıdaki ARM şablonu örneğini izleyin. Ayrıca, bir kullanıcı /etc/systemd/system.conf içindeki DefaultEnvironment değişkeni aracılığıyla tüm sistemli hizmetler tarafından alınan "genel" ortam değişkenlerini ayarlayabilir.ve
ProtectedSettings
parametre değerlerini belirlediktenSettings
sonra, Azure İzleyici Aracısı'nı dağıtırken bu diğer parametreleri sağlayın. Aşağıdaki örneklerde gösterildiği gibi PowerShell komutlarını kullanın:
- Windows VM
- Linux VM
- Windows Arc özellikli sunucu
- Linux Arc özellikli sunucu
- ARM İlkesi Şablonu örneği
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics ağ geçidi yapılandırması
- Aracıda ara sunucu ayarlarını yapılandırmak ve ağ geçidi sunucusuna karşılık gelen IP adresini ve bağlantı noktası numarasını sağlamak için yukarıdaki yönergeleri izleyin. Bir yük dengeleyicinin arkasında birden çok ağ geçidi sunucusu dağıttıysanız, aracı ara sunucusu yapılandırması bunun yerine yük dengeleyicinin sanal IP adresidir.
- Veri toplama kurallarını ağ geçidi
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
için izin verilenler listesine getirmek için yapılandırma uç noktası URL'sini ekleyin. (Aracıda özel bağlantılar kullanıyorsanız, veri toplama uç noktalarını da eklemeniz gerekir.) - Veri alımı uç noktası URL'sini ağ geçidi
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
için izin verilenler listesine ekleyin. - ve
Start-Service -Name <gateway-name>
değişiklikleriniStop-Service -Name <gateway-name>
uygulamak için OMS Ağ Geçidi hizmetini yeniden başlatın.
Sonraki adımlar
- Uç noktayı makinelerle ilişkilendirme
- Özel Bağlantı kullanarak Azure İzleyici Aracısı için ağ yalıtımını etkinleştirin.