Konfigurace sítě agenta služby Azure Monitor

Agent Azure Monitor podporuje připojení pomocí přímých proxy serverů, brány Log Analytics a privátních propojení. Tento článek vysvětluje, jak definovat nastavení sítě a povolit izolaci sítě pro agenta služby Azure Monitor.

Značky služeb virtuální sítě

Značky služeb virtuální sítě Azure musí být ve virtuální síti pro virtuální počítač povolené. Vyžadují se značky AzureMonitor i AzureResourceManager.

Značky služeb virtuální sítě Azure je možné použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. V situacích, kdy se značky služeb virtuální sítě Azure nedají použít, jsou požadavky brány firewall uvedeny níže.

Poznámka:

Veřejné IP adresy koncového bodu shromažďování dat nejsou součástí výše uvedených značek síťových služeb. Pokud máte vlastní protokoly nebo pravidla shromažďování dat protokolu služby IIS, zvažte povolení, aby veřejné IP adresy koncového bodu shromažďování dat pro tyto scénáře fungovaly, dokud tyto scénáře nebudou podporovány značkami síťových služeb.

Koncové body brány firewall

Následující tabulka obsahuje koncové body, ke kterým musí brány firewall poskytovat přístup pro různé cloudy. Každý z nich je odchozí připojení k portu 443.

Důležité

Pro všechny koncové body musí být kontrola HTTPS zakázaná.

Koncový bod	Účel	Příklad
global.handler.control.monitor.azure.com	Služba řízení přístupu –
<virtual-machine-region-name>.handler.control.monitor.azure.com	Načtení pravidel shromažďování dat pro konkrétní počítač	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Příjem dat protokolů	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor.	-
<virtual-machine-region-name>.monitoring.azure.com	Potřeba pouze v případě, že se data časových řad (metriky) odesílají do vlastní databáze metrik služby Azure Monitor.	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Potřeba pouze v případě, že se data odesílají do vlastní tabulky protokolů Log Analytics.	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Příponu v koncových bodech nahraďte příponou v následující tabulce pro různé cloudy.

Cloud	Přípona
Azure Commercial	com.
Azure Government	.nás
Platforma Microsoft Azure provozovaná společností 21Vianet	.Kn

Poznámka:

Pokud v agentu používáte privátní propojení, musíte přidat pouze koncové body privátního shromažďování dat (DCE). Agent nepoužívá privátní koncové body uvedené výše při použití koncových bodů privátních propojení nebo shromažďování dat. Metriky služby Azure Monitor (vlastní metriky) ve verzi Preview nejsou dostupné v Azure Government a Azure provozované cloudy 21Vianet.

Poznámka:

Při použití AMA se ampls musí všechna pravidla shromažďování dat používat koncové body shromažďování dat. Tyto hodnoty DCE musí být přidány do konfigurace ampls pomocí privátního propojení.

Konfigurace proxy serveru

Rozšíření agenta Služby Azure Monitor pro Windows a Linux můžou komunikovat prostřednictvím proxy serveru nebo brány Log Analytics do služby Azure Monitor pomocí protokolu HTTPS. Použijte ho pro virtuální počítače Azure, škálovací sady virtuálních počítačů Azure a Azure Arc pro servery. Použijte nastavení rozšíření pro konfiguraci, jak je popsáno v následujících krocích. Podporují se anonymní i základní ověřování pomocí uživatelského jména a hesla.

Důležité

Konfigurace proxy serveru není podporovaná pro metriky služby Azure Monitor (Public Preview) jako cíl. Pokud do tohoto cíle odesíláte metriky, použije se veřejný internet bez proxy serveru.

Poznámka:

Nastavení proxy systému Linux prostřednictvím proměnných prostředí, jako http_proxy je a https_proxy je podporováno pouze pomocí agenta služby Azure Monitor pro Linux verze 1.24.2 a vyšší. Pokud pro šablonu ARM máte konfiguraci proxy serveru, postupujte podle příkladu šablony ARM níže a deklarujte nastavení proxy serveru uvnitř šablony ARM. Kromě toho může uživatel nastavit "globální" proměnné prostředí, které se vyberou všemi systémovými službami prostřednictvím proměnné DefaultEnvironment v /etc/systemd/systemd/system.conf.

Příkazy PowerShellu použijte v následujících příkladech v závislosti na vašem prostředí a konfiguraci:

Virtuální počítač s Windows

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuální počítač s Linuxem

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server s podporou služby Windows Arc

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server s podporou arc pro Linux

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Příklad šablony zásad ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurace brány Log Analytics

1. Podle výše uvedených pokynů nakonfigurujte nastavení proxy serveru v agentu a zadejte IP adresu a číslo portu, které odpovídají serveru brány. Pokud jste nasadili několik serverů brány za nástrojem pro vyrovnávání zatížení, je konfigurace proxy agenta virtuální IP adresou nástroje pro vyrovnávání zatížení.
2. Přidejte adresu URL koncového bodu konfigurace pro načtení pravidel shromažďování dat do seznamu povolených pro bránu Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Pokud v agentovi používáte privátní propojení, musíte také přidat koncové body shromažďování dat.)
3. Přidejte adresu URL koncového bodu příjmu dat do seznamu povolených pro bránu Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Restartujte službu OMS Gateway, aby se změny Stop-Service -Name <gateway-name> projevily a Start-Service -Name <gateway-name>.

Další kroky

• Přidání koncového bodu do prostředku AMPLS