定義 Azure 監視器代理程式網路設定

Azure 監視器代理程式支援使用直接 Proxy、Log Analytics 閘道和私人連結進行的連線。 本文章說明如何定義網路設定，並啟用 Azure 監視器代理程式的網路隔離。

虛擬網路服務標籤

Azure 監視器代理程式支援 Azure 虛擬網路服務標籤。 AzureMonitor 和 AzureResourceManager 標籤都是必要項目。

Azure 虛擬網路服務標籤可以用於服務標籤來定義網路安全性群組、Azure 防火牆與使用者定義路由的網路存取控制。 建立安全性規則和路由時，請以服務標籤取代特定的 IP 位址。 針對無法使用 Azure 虛擬網路服務標籤的案例，以下提供防火牆需求。

防火牆需求

雲端	端點	目標	連接埠	方向	略過 HTTPS 檢查	範例
Azure Commercial	global.handler.control.monitor.azure.com	存取控制服務	連接埠 443	出埠	Yes	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	擷取特定機器的資料收集規則	連接埠 443	出埠	Yes	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	擷取記錄資料	連接埠 443	出埠	Yes	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	只有在將資料 (計量) 傳送至 Azure 監視器自訂計量資料庫時才需要	連接埠 443	出埠	Yes	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	只有在將資料 (計量) 傳送至 Azure 監視器自訂計量資料庫時才需要	連接埠 443	出埠	Yes	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	只有在將資料傳送至Log Analytics 自訂記錄資料表時才需要	連接埠 443	出埠	Yes	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	將上述 '.com' 取代為 '.us'	同上	同上	同上	同上
由 21Vianet 營運的 Microsoft Azure	將上述 '.com' 取代為 '.cn'	同上	同上	同上	同上

注意

如果您在代理程式上使用私人連結，您也僅能新增私人資料收集端點 (DCE)。 使用私人連結/資料收集端點時，代理程式不會使用上述非私人端點。 Azure 監視器計量 (自訂計量) 預覽版不適用於 Azure Government 和 21Vianet 雲端營運的 Azure。

Proxy 組態

如果電腦透過 Proxy 伺服器連線以透過網際網路進行通訊，請檢閱下列需求以瞭解所需的網路設定。

適用於 Windows 和 Linux 的 Azure 監視器代理程式延伸模組可以使用 HTTPS 通訊協定，透過 Proxy 伺服器或 Log Analytics 閘道與 Azure 監視器進行通訊。 延伸模組適用於 Azure 虛擬機器、Azure 虛擬機器擴展集，以及適用於伺服器的 Azure Arc。 使用設定的擴充功能設定，如下列步驟所述。 支援匿名和以使用者名稱和密碼進行的基本驗證。

重要

Proxy 設定不支援將 Azure 監視器計量 (公開預覽) 作為目的地。 如果您要將計量傳送至此目的地，將會使用公用網際網路，而不用任何 Proxy。

1. 使用此流程圖先判斷 Settings 和 ProtectedSettings 參數的值。

   

   注意

   僅支援使用適用於 Linux 1.24.2 版和更新版本的 Azure 監視器代理程式，透過環境變數設定 Linux 系統 Proxy，例如 http_proxy 和 https_proxy。 針對 ARM 範本，如果您有 Proxy 設定，請遵循下列 ARM 範例，宣告在 ARM 範本內的 Proxy 設定。 此外，使用者可以透過 /etc/systemd/system.conf 中的 DefaultEnvironment 變數，設定由所有 systemd 服務所挑選的「全域」環境變數。

2. 在您決定 Settings 和 ProtectedSettings 參數值之後，請在部署 Azure 監視器代理程式時提供這些其他參數。 使用 PowerShell 命令，如下列範例所示：

Windows VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

已啟用 Windows Arc 的伺服器

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

已啟用 Linux Arc 的伺服器

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM 原則範本範例

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics 閘道設定

1. 請遵循下列指示，在代理程式上設定 Proxy 設定，並提供與閘道伺服器對應的 IP 位址和連接埠號碼。 如果您已在負載平衡器後方部署多部閘道伺服器，則代理程式 Proxy 設定會改為負載平衡器的虛擬 IP 位址。
2. 新增「設定端點 URL」，以擷取資料收集規則至閘道 Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com 的允許清單。 (如果您在代理程式上使用私人連結，您也必須新增資料收集端點。)
3. 將「資料擷取端點 URL」新增至閘道的允許清單 Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com。
4. 重新啟動「OMS 閘道」服務以套用變更 Stop-Service -Name <gateway-name> 和 Start-Service -Name <gateway-name>。

下一步

• 建立端點與機器的關聯
• 透過使用私人連結啟用 Azure 監視器代理程式的網路隔離。