Azure İzleyici aracısı ağ yapılandırması

Azure İzleyici Aracısı doğrudan proxy'ler, Log Analytics ağ geçidi ve özel bağlantılar kullanarak bağlanmayı destekler. Bu makalede, Azure İzleyici Aracısı için ağ ayarlarını tanımlama ve ağ yalıtımını etkinleştirme açıklanmaktadır.

Sanal ağ hizmet etiketleri

Sanal makine için sanal ağda Azure sanal ağ hizmet etiketleri etkinleştirilmelidir. Hem AzureMonitor hem de AzureResourceManager etiketleri gereklidir.

Azure Sanal ağ hizmet etiketleri, ağ güvenlik grupları, Azure Güvenlik Duvarı ve kullanıcı tanımlı yollarda ağ erişim denetimlerini tanımlamak için kullanılabilir. Güvenlik kuralları ve yolları oluştururken belirli IP adresleri yerine hizmet etiketlerini kullanın. Azure sanal ağ hizmet etiketlerinin kullanılamadığı senaryolar için güvenlik duvarı gereksinimleri aşağıda verilmiştir.

Not

Veri toplama uç noktası genel IP adresleri yukarıda belirtilen ağ hizmeti etiketlerinin bir parçası değildir. Özel günlükleriniz veya IIS günlük verileri toplama kurallarınız varsa, bu senaryolar ağ hizmeti etiketleri tarafından desteklenene kadar bu senaryolar için veri toplama uç noktasının genel IP adreslerinin çalışmasına izin vermeyi göz önünde bulundurun.

Güvenlik duvarı uç noktaları

Aşağıdaki tablo, güvenlik duvarlarının farklı bulutlar için erişim sağlaması gereken uç noktaları sağlar. Her biri 443 numaralı bağlantı noktasına giden bağlantıdır.

Önemli

Tüm uç noktalar için HTTPS denetimi devre dışı bırakılmalıdır.

Uç nokta	Purpose	Örnek
global.handler.control.monitor.azure.com	Erişim denetimi hizmeti -
<virtual-machine-region-name>.handler.control.monitor.azure.com	Belirli bir makine için veri koleksiyonu kurallarını getirme	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Günlük verilerini alma	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir	-
<virtual-machine-region-name>.monitoring.azure.com	Yalnızca Azure İzleyici Özel ölçümler veritabanına zaman serisi verileri (ölçümler) gönderiliyorsa gereklidir	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Yalnızca Log Analytics özel günlükler tablosuna veri gönderiliyorsa gereklidir	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Uç noktalardaki son eki, farklı bulutlar için aşağıdaki tabloda yer alan sonekle değiştirin.

Bulut	Sonek
Azure Ticari	com.
Azure Kamu	.ABD
21Vianet tarafından çalıştırılan Microsoft Azure	.Cn

Not

Aracıda özel bağlantılar kullanıyorsanız, yalnızca özel veri toplama uç noktalarını (DCE) eklemeniz gerekir. Aracı, özel bağlantılar/veri toplama uç noktaları kullanılırken yukarıda listelenen özel olmayan uç noktaları kullanmaz. Azure İzleyici Ölçümleri (özel ölçümler) önizlemesi, 21Vianet bulutları tarafından sağlanan Azure Kamu ve Azure'da kullanılamaz.

Not

AMPLS ile AMA kullanırken, tüm Veri Toplama Kurallarınızın Veri Toplama Uç Noktalarını kullanması gerekir. Bu DCE'ler özel bağlantı kullanılarak AMPLS yapılandırmasına eklenmelidir

Ara sunucu yapılandırması

Windows ve Linux için Azure İzleyici Aracısı uzantıları, HTTPS protokolünü kullanarak bir ara sunucu veya Log Analytics ağ geçidi aracılığıyla Azure İzleyici'ye iletişim kurabilir. Bunu Azure sanal makineleri, Azure sanal makine ölçek kümeleri ve sunucular için Azure Arc için kullanın. Aşağıdaki adımlarda açıklandığı gibi yapılandırma için uzantı ayarlarını kullanın. Kullanıcı adı ve parola kullanılarak hem anonim hem de temel kimlik doğrulaması desteklenir.

Önemli

Proxy yapılandırması, hedef olarak Azure İzleyici Ölçümleri (genel önizleme) için desteklenmez. Bu hedefe ölçüm gönderiyorsanız, herhangi bir ara sunucu olmadan genel İnternet'i kullanır.

Not

ve gibi http_proxy https_proxy ortam değişkenleri aracılığıyla Linux sistem proxy'sini ayarlamak yalnızca Linux için Azure İzleyici Aracısı sürüm 1.24.2 ve üzeri kullanılarak desteklenir. ARM şablonu için, ara sunucu yapılandırmanız varsa ARM şablonunun içinde ara sunucu ayarını bildirmek için aşağıdaki ARM şablonu örneğini izleyin. Ayrıca, bir kullanıcı /etc/systemd/system.conf içindeki DefaultEnvironment değişkeni aracılığıyla tüm sistemli hizmetler tarafından alınan "genel" ortam değişkenlerini ayarlayabilir.

Ortamınıza ve yapılandırmanıza bağlı olarak aşağıdaki örneklerde PowerShell komutlarını kullanın:

Windows VM

Ara sunucu yok

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Kimlik doğrulaması olmayan ara sunucu

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Kimlik doğrulaması ile ara sunucu

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

Ara sunucu yok

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Kimlik doğrulaması olmayan ara sunucu

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Kimlik doğrulaması ile ara sunucu

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc özellikli sunucu

Ara sunucu yok

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Kimlik doğrulaması olmayan ara sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Kimlik doğrulaması ile ara sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc özellikli sunucu

Ara sunucu yok

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Kimlik doğrulaması olmayan ara sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Kimlik doğrulaması ile ara sunucu

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM İlkesi Şablonu örneği

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics ağ geçidi yapılandırması

1. Aracıda ara sunucu ayarlarını yapılandırmak ve ağ geçidi sunucusuna karşılık gelen IP adresini ve bağlantı noktası numarasını sağlamak için yukarıdaki yönergeleri izleyin. Bir yük dengeleyicinin arkasında birden çok ağ geçidi sunucusu dağıttıysanız, aracı ara sunucusu yapılandırması bunun yerine yük dengeleyicinin sanal IP adresidir.
2. Veri toplama kurallarını ağ geçidi Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comiçin izin verilenler listesine getirmek için yapılandırma uç noktası URL'sini ekleyin. (Aracıda özel bağlantılar kullanıyorsanız, veri toplama uç noktalarını da eklemeniz gerekir.)
3. Veri alımı uç noktası URL'sini ağ geçidi Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.comiçin izin verilenler listesine ekleyin.
4. ve Start-Service -Name <gateway-name>değişikliklerini Stop-Service -Name <gateway-name> uygulamak için OMS Ağ Geçidi hizmetini yeniden başlatın.

Sonraki adımlar

• AMPLS kaynağına uç nokta ekleyin.