Konfigurace sítě agenta služby Azure Monitor

Agent Azure Monitor podporuje připojení pomocí přímých proxy serverů, brány Log Analytics a privátních propojení. Tento článek popisuje, jak definovat nastavení sítě a povolit izolaci sítě pro agenta služby Azure Monitor.

Značky služeb virtuální sítě

Značky služeb Azure Virtual Network musí být ve virtuální síti pro virtuální počítač povolené. Vyžadují se značky AzureMonitor i AzureResourceManager.

Značky služeb Azure Virtual Network můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. Pro scénáře, kdy se značky služeb Azure Virtual Network nedají použít, jsou požadavky brány firewall popsané dále v tomto článku.

Poznámka:

Veřejné IP adresy koncového bodu shromažďování dat (DCE) nejsou zahrnuty do značek síťových služeb, které můžete použít k definování řízení přístupu k síti pro Azure Monitor. Pokud máte vlastní protokoly nebo Internetová informační služba pravidla shromažďování dat protokolu služby IIS (IIS), zvažte povolení, aby veřejné IP adresy DCE pro tyto scénáře fungovaly, dokud tyto scénáře nebudou podporovány prostřednictvím značek síťových služeb.

Koncové body brány firewall

Následující tabulka obsahuje koncové body, ke kterým musí brány firewall poskytovat přístup pro různé cloudy. Každý koncový bod je odchozí připojení k portu 443.

Důležité

Pro všechny koncové body musí být kontrola HTTPS zakázaná.

Koncový bod	Účel	Příklad
global.handler.control.monitor.azure.com	Přístup ke službě řízení	Nelze použít
<virtual-machine-region-name>.handler.control.monitor.azure.com	Načtení řadičů domény pro konkrétní počítač	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingestování dat protokolu	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Potřeba pouze v případě, že odesíláte data časových řad (metriky) do vlastní databáze metrik služby Azure Monitor.	Nelze použít
<virtual-machine-region-name>.monitoring.azure.com	Potřeba pouze v případě, že odesíláte data časových řad (metriky) do vlastní databáze metrik služby Azure Monitor.	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Potřeba pouze v případě, že odesíláte data do vlastní tabulky protokolů Log Analytics.	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Příponu v koncových bodech nahraďte příponou v následující tabulce pro příslušné cloudy:

Cloud	Přípona
Azure Commercial	.com
Azure Government	.us
Platforma Microsoft Azure provozovaná společností 21Vianet	.cn

Poznámka:

• Pokud v agentu používáte privátní propojení, musíte přidat pouze privátní řadiče domény. Pokud používáte privátní propojení nebo privátní řadiče domény, agent nepoužívá koncové body uvedené v předchozí tabulce.

• Metriky Služby Azure Monitor (vlastní metriky) ve verzi Preview nejsou dostupné v Azure Government a Azure provozované cloudy 21Vianet.

• Pokud používáte agenta Azure Monitoru s oborem služby Azure Monitor Private Link, musí všechna řadiče domény používat řadiče domény. Řadiče domény musí být přidány do konfigurace oboru služby Azure Monitor Private Link prostřednictvím privátního propojení.

Konfigurace proxy serveru

Rozšíření agenta služby Azure Monitor pro Windows a Linux můžou komunikovat prostřednictvím proxy serveru nebo prostřednictvím brány Log Analytics do služby Azure Monitor pomocí protokolu HTTPS. Použijte ho pro virtuální počítače Azure, škálovací sady a Azure Arc pro servery. Použijte nastavení rozšíření pro konfiguraci, jak je popsáno v následujících krocích. Podporuje se anonymní ověřování i základní ověřování pomocí uživatelského jména a hesla.

Důležité

Konfigurace proxy serveru není podporovaná pro metriky služby Azure Monitor (Preview) jako cíl. Pokud do tohoto cíle odesíláte metriky, použije veřejný internet bez proxy serveru.

Poznámka:

Nastavení proxy systému Linux prostřednictvím proměnných prostředí jako http_proxy a https_proxy je podporováno pouze v případě, že používáte agenta služby Azure Monitor pro Linux verze 1.24.2 nebo novější. Pokud pro šablonu Azure Resource Manageru (šablonu ARM) nakonfigurujete proxy server, použijte šablonu ARM uvedenou tady jako příklad deklarování nastavení proxy serveru uvnitř šablony ARM. Uživatel může také nastavit globální proměnné prostředí, které jsou vyzvednuty všemi systémovými službami prostřednictvím proměnné DefaultEnvironment v /etc/systemd/systemd/system.conf.

Příkazy Azure PowerShellu použijte v následujících příkladech na základě vašeho prostředí a konfigurace.

Virtuální počítač s Windows

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuální počítač s Linuxem

Žádný proxy server

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy server bez ověřování

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy s ověřováním

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server s podporou služby Windows Arc

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server s podporou arc pro Linux

Žádný proxy server

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy server bez ověřování

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy s ověřováním

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Příklad šablony zásad ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfigurace brány Log Analytics

1. Podle předchozích pokynů nakonfigurujte nastavení proxy serveru v agentu a zadejte IP adresu a číslo portu, které odpovídají serveru brány. Pokud jste nasadili několik serverů brány za nástrojem pro vyrovnávání zatížení, použijte pro konfiguraci proxy agenta virtuální IP adresu nástroje pro vyrovnávání zatížení.

2. Přidejte adresu URL koncového bodu konfigurace pro načtení řadičů domény do seznamu povolených pro bránu:

   1. Spusťte Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Spusťte Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Pokud v agentu používáte privátní propojení, musíte také přidat DCEs.)

3. Přidejte adresu URL koncového bodu příjmu dat do seznamu povolených pro bránu:

   • Spusťte Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Pokud chcete změny použít, restartujte službu brány Log Analytics (brána OMS):

   1. Spusťte Stop-Service -Name <gateway-name>.
   2. Spusťte Start-Service -Name <gateway-name>.

Související obsah

• Zjistěte, jak přidat koncový bod do prostředku oboru služby Azure Monitor.