你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 代理网络配置
Azure Monitor 代理支持使用直接代理、Log Analytics 网关和专用链接进行连接。 本文介绍如何为 Azure Monitor 代理定义网络设置并启用网络隔离。
虚拟网络服务标记
必须在虚拟机的虚拟网络上启用 Azure 虚拟网络服务标记。 AzureMonitor 和 AzureResourceManager 标记都是必需的。
Azure 虚拟网络服务标记可用于定义对网络安全组、Azure 防火墙和用户定义的路由的网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 对于无法使用 Azure 虚拟网络服务标记的场景,防火墙要求如下。
注意
数据收集终结点公共 IP 地址不是上述网络服务标记的一部分。 如果你有自定义日志或 IIS 日志数据收集规则,请考虑允许这些场景的数据收集终结点公共 IP 地址工作,直到这些场景受网络服务标记支持为止。
防火墙终结点
对于不同的云,下表提供了防火墙需要提供访问权限的终结点。 每个都是到端口 443 的出站连接。
重要
必须对所有终结点禁用 HTTPS 检查。
| 终结点 | 目的 | 示例 |
|---|---|---|
global.handler.control.monitor.azure.com |
访问控制服务 - | |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
提取特定计算机的数据收集规则 | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
引入日志数据 | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| management.azure.com | 仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | - |
<virtual-machine-region-name>.monitoring.azure.com |
仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
仅当将数据发送到 Log Analytics 自定义日志表时才需要 | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
对于不同的云,请将终结点中的后缀替换为下表中的后缀。
| 云 | 后缀 |
|---|---|
| Azure 商业版 | .com |
| Azure 政府 | .us |
| 由世纪互联运营的 Microsoft Azure | .cn |
注意
如果在代理上使用专用链接,必须仅添加专用数据收集终结点 (DCE)。 使用专用链接/数据收集终结点时,代理不使用上面列出的非专用终结点。 Azure Monitor 指标(自定义指标)预览版在 Azure 政府和由世纪互联运营的 Azure中不可用。
注意
将 AMA 与 AMPLS 配合使用时,所有数据收集规则都必须使用数据收集终结点。 必须使用专用链接将这些 DCE 添加到 AMPLS 配置
代理配置
适用于 Windows 和 Linux 的 Azure Monitor 代理扩展可以使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 进行通信。 请将其用于 Azure 虚拟机、Azure 虚拟机规模集和 Azure Arc for servers。 将扩展设置用于配置,如以下步骤所述。 匿名身份验证和基本身份验证(使用用户名/密码)都受支持。
重要
Azure Monitor 指标(公共预览版)不支持将代理配置作为目标。 如果将指标发送到此目标,则将使用没有任何代理的公共 Internet。
注意
仅支持使用适用于 Linux 的 Azure Monitor 代理 1.24.2 及更高版本通过环境变量(如 http_proxy 和 https_proxy)设置 Linux 系统代理。 对于 ARM 模板,如果有代理配置,请按照下面的 ARM 模板示例在 ARM 模板中声明代理设置。 此外,用户还可以通过 /etc/systemd/system.conf 中的 DefaultEnvironment 变量设置所有系统服务选取的“全局”环境变量。
在以下示例中使用 PowerShell 命令,具体取决于你的环境和配置:
无代理
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
不带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics 网关配置
- 按照上述指导在代理上配置代理设置,并提供与网关服务器对应的 IP 地址和端口号。 如果已经在负载均衡器后面部署了多个网关服务器,代理配置会改为该负载均衡器的虚拟 IP 地址。
- 将“配置终结点 URL”添加到网关
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com的允许列表中,以提取数据收集规则。 (如果在代理上使用专用链接,还必须添加数据收集终结点。) - 将数据引入终结点 URL 添加到网关
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com的允许列表中。 - 重启“OMS 网关”服务以应用更改
Stop-Service -Name <gateway-name>和Start-Service -Name <gateway-name>。