Azure 監視器代理程式網路設定

Azure 監視器代理程式支援使用直接 Proxy、Log Analytics 閘道和私人連結進行的連線。 本文章說明如何定義網路設定，並啟用 Azure 監視器代理程式的網路隔離。

虛擬網路服務標籤

必須在虛擬機器的虛擬網路上啟用 Azure 虛擬網路服務標籤。 AzureMonitor 和 AzureResourceManager 標籤都是必要項目。

Azure 虛擬網路服務標籤可以用於服務標籤來定義網路安全性群組、Azure 防火牆與使用者定義路由的網路存取控制。 建立安全性規則和路由時，請以服務標籤取代特定的 IP 位址。 針對無法使用 Azure 虛擬網路服務標籤的案例，以下提供防火牆需求。

注意

資料收集端點公用 IP 位址不屬於上述網路服務標籤的一部分。 如果您有自訂記錄或 IIS 記錄資料收集規則，請考慮允許資料收集端點的公用 IP 位址在這些案例中運作，直到網路服務標籤支援這些案例為止。

防火牆端點

下表提供防火牆需要針對不同雲端提供存取權的端點。 每個端點都是連接埠 443 的輸出連線。

重要

針對所有端點，必須停用 HTTPS 檢查。

端點	目標	範例
global.handler.control.monitor.azure.com	存取控制服務 -
<virtual-machine-region-name>.handler.control.monitor.azure.com	擷取特定機器的資料收集規則	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	擷取記錄資料	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	只有在將資料 (計量) 傳送至 Azure 監視器自訂計量資料庫時才需要	-
<virtual-machine-region-name>.monitoring.azure.com	只有在將資料 (計量) 傳送至 Azure 監視器自訂計量資料庫時才需要	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	只有在將資料傳送至 Log Analytics 自訂記錄資料表時才需要	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

將端點中的後綴取代為下表中不同雲端的後綴。

Cloud	尾碼
Azure Commercial	com.
Azure Government	.us
由 21Vianet 營運的 Microsoft Azure	.cn

注意

如果您在代理程式上使用私人連結，您也僅能新增私人資料收集端點 (DCE)。 使用私人連結/資料收集端點時，代理程式不會使用上述非私人端點。 Azure 監視器計量 (自訂計量) 預覽版不適用於 Azure Government 和 21Vianet 雲端營運的 Azure。

注意

搭配使用 AMA 與 AMPLS 時，所有資料收集規則都必須使用資料收集端點。 必須使用私人連結，將這些 DCE 新增至 AMPLS 設定

Proxy 組態

適用於 Windows 和 Linux 的 Azure 監視器代理程式延伸模組可以使用 HTTPS 通訊協定，透過 Proxy 伺服器或 Log Analytics 閘道與 Azure 監視器進行通訊。 延伸模組適用於 Azure 虛擬機器、Azure 虛擬機器擴展集，以及適用於伺服器的 Azure Arc。 使用設定的擴充功能設定，如下列步驟所述。 支援匿名和以使用者名稱和密碼進行的基本驗證。

重要

Proxy 設定不支援將 Azure 監視器計量 (公開預覽) 作為目的地。 如果您要將計量傳送至此目的地，將會使用公用網際網路，而不用任何 Proxy。

注意

僅支援使用適用於 Linux 1.24.2 版和更新版本的 Azure 監視器代理程式，透過環境變數設定 Linux 系統 Proxy，例如 http_proxy 和 https_proxy。 針對 ARM 範本，如果您有 Proxy 設定，請遵循下列 ARM 範例，宣告在 ARM 範本內的 Proxy 設定。 此外，使用者可以透過 /etc/systemd/system.conf 中的 DefaultEnvironment 變數，設定由所有 systemd 服務所挑選的「全域」環境變數。

根據您的環境和組態，在下列範例中使用 PowerShell 命令：

Windows VM

沒有 Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

沒有驗證的 Proxy

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

有驗證的 Proxy

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

沒有 Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

沒有驗證的 Proxy

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

有驗證的 Proxy

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

已啟用 Windows Arc 的伺服器

沒有 Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

沒有驗證的 Proxy

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

有驗證的 Proxy

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

已啟用 Linux Arc 的伺服器

沒有 Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

沒有驗證的 Proxy

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

有驗證的 Proxy

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM 原則範本範例

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics 閘道設定

1. 請遵循上述指引，在代理程式上設定 Proxy 設定，並提供對應至閘道伺服器的 IP 位址和連接埠號碼。 如果您已在負載平衡器後方部署多部閘道伺服器，則代理程式 Proxy 設定會改為負載平衡器的虛擬 IP 位址。
2. 新增「設定端點 URL」，以擷取資料收集規則至閘道 Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com 的允許清單。 (如果您在代理程式上使用私人連結，您也必須新增資料收集端點。)
3. 將「資料擷取端點 URL」新增至閘道的允許清單 Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com。
4. 重新啟動「OMS 閘道」服務以套用變更 Stop-Service -Name <gateway-name> 和 Start-Service -Name <gateway-name>。

下一步

• 將端點新增至 AMPLS 資源。