Azure İzleyici Aracısı ağ ayarlarını tanımlama

Azure İzleyici Aracısı doğrudan proxy'ler, Log Analytics ağ geçidi ve özel bağlantılar kullanarak bağlanmayı destekler. Bu makalede, Azure İzleyici Aracısı için ağ ayarlarını tanımlama ve ağ yalıtımını etkinleştirme açıklanmaktadır.

Sanal ağ hizmet etiketleri

Azure İzleyici Aracısı, Azure sanal ağ hizmet etiketlerini destekler. Hem AzureMonitor hem de AzureResourceManager etiketleri gereklidir.

Azure Sanal ağ hizmet etiketleri, ağ güvenlik grupları, Azure Güvenlik Duvarı ve kullanıcı tanımlı yollarda ağ erişim denetimlerini tanımlamak için kullanılabilir. Güvenlik kuralları ve yolları oluştururken belirli IP adresleri yerine hizmet etiketlerini kullanın. Azure sanal ağ hizmet etiketlerinin kullanılamadığı senaryolar için güvenlik duvarı gereksinimleri aşağıda verilmiştir.

Güvenlik duvarı gereksinimleri

Bulut	Uç nokta	Purpose	Bağlantı noktası	Yön	HTTPS İncelemeyi atla	Örnek
Azure Ticari	global.handler.control.monitor.azure.com	Erişim denetimi hizmeti	Bağlantı Noktası 443	Giden	Yes	-
Azure Ticari	<virtual-machine-region-name>.handler.control.monitor.azure.com	Belirli bir makine için veri toplama kurallarını getirme	Bağlantı Noktası 443	Giden	Yes	westus2.handler.control.monitor.azure.com
Azure Ticari	<log-analytics-workspace-id>.ods.opinsights.azure.com	Günlük verilerini alma	Bağlantı Noktası 443	Giden	Yes	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Ticari	management.azure.com	Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir	Bağlantı Noktası 443	Giden	Yes	-
Azure Ticari	<virtual-machine-region-name>.monitoring.azure.com	Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir	Bağlantı Noktası 443	Giden	Yes	westus2.monitoring.azure.com
Azure Ticari	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Yalnızca Log Analytics Özel Günlükler tablosuna veri gönderiliyorsa gereklidir	Bağlantı Noktası 443	Giden	Yes	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Kamu	Yukarıdaki '.com' yerine '.us' ifadesini kullanın	Yukarıdakiyle aynı	Yukarıdakiyle aynı	Yukarıdakiyle aynı	Yukarıdakiyle aynı
21Vianet tarafından çalıştırılan Microsoft Azure	Yukarıdaki '.com' yerine '.cn' ifadesini kullanın	Yukarıdakiyle aynı	Yukarıdakiyle aynı	Yukarıdakiyle aynı	Yukarıdakiyle aynı

Not

Aracıda özel bağlantılar kullanıyorsanız, yalnızca özel veri toplama uç noktalarını (DCE) eklemeniz gerekir. Aracı, özel bağlantılar/veri toplama uç noktaları kullanılırken yukarıda listelenen özel olmayan uç noktaları kullanmaz. Azure İzleyici Ölçümleri (özel ölçümler) önizlemesi, 21Vianet bulutları tarafından sağlanan Azure Kamu ve Azure'da kullanılamaz.

Ara sunucu yapılandırması

Makine İnternet üzerinden iletişim kurmak için bir ara sunucu üzerinden bağlanıyorsa, gerekli ağ yapılandırmasını anlamak için aşağıdaki gereksinimleri gözden geçirin.

Windows ve Linux için Azure İzleyici Aracısı uzantıları, HTTPS protokolünü kullanarak bir ara sunucu veya Log Analytics ağ geçidi aracılığıyla Azure İzleyici'ye iletişim kurabilir. Bunu Azure sanal makineleri, Azure sanal makine ölçek kümeleri ve sunucular için Azure Arc için kullanın. Aşağıdaki adımlarda açıklandığı gibi yapılandırma için uzantı ayarlarını kullanın. Kullanıcı adı ve parola kullanılarak hem anonim hem de temel kimlik doğrulaması desteklenir.

Önemli

Proxy yapılandırması, hedef olarak Azure İzleyici Ölçümleri (genel önizleme) için desteklenmez. Bu hedefe ölçüm gönderiyorsanız, herhangi bir ara sunucu olmadan genel İnternet'i kullanır.

1. Önce ve ProtectedSettings parametrelerinin değerlerini belirlemek için bu akış çizelgesini Settings kullanın.

   

   Not

   ve gibi http_proxyhttps_proxy ortam değişkenleri aracılığıyla Linux sistem proxy'sini ayarlamak yalnızca Linux için Azure İzleyici Aracısı sürüm 1.24.2 ve üzeri kullanılarak desteklenir. ARM şablonu için, ara sunucu yapılandırmanız varsa ARM şablonunun içinde ara sunucu ayarını bildirmek için aşağıdaki ARM şablonu örneğini izleyin. Ayrıca, bir kullanıcı /etc/systemd/system.conf içindeki DefaultEnvironment değişkeni aracılığıyla tüm sistemli hizmetler tarafından alınan "genel" ortam değişkenlerini ayarlayabilir.

2. ve ProtectedSettings parametre değerlerini belirledikten Settings sonra, Azure İzleyici Aracısı'nı dağıtırken bu diğer parametreleri sağlayın. Aşağıdaki örneklerde gösterildiği gibi PowerShell komutlarını kullanın:

Windows VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc özellikli sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc özellikli sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM İlkesi Şablonu örneği

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics ağ geçidi yapılandırması

1. Aracıda ara sunucu ayarlarını yapılandırmak ve ağ geçidi sunucusuna karşılık gelen IP adresini ve bağlantı noktası numarasını sağlamak için yukarıdaki yönergeleri izleyin. Bir yük dengeleyicinin arkasında birden çok ağ geçidi sunucusu dağıttıysanız, aracı ara sunucusu yapılandırması bunun yerine yük dengeleyicinin sanal IP adresidir.
2. Veri toplama kurallarını ağ geçidi Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comiçin izin verilenler listesine getirmek için yapılandırma uç noktası URL'sini ekleyin. (Aracıda özel bağlantılar kullanıyorsanız, veri toplama uç noktalarını da eklemeniz gerekir.)
3. Veri alımı uç noktası URL'sini ağ geçidi Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.comiçin izin verilenler listesine ekleyin.
4. ve Start-Service -Name <gateway-name>değişikliklerini Stop-Service -Name <gateway-name> uygulamak için OMS Ağ Geçidi hizmetini yeniden başlatın.

Sonraki adımlar

• Uç noktayı makinelerle ilişkilendirme
• Özel Bağlantı kullanarak Azure İzleyici Aracısı için ağ yalıtımını etkinleştirin.