Konfiguration des Azure Monitor-Agent-Netzwerks

Der Azure Monitor-Agent unterstützt Verbindungen mithilfe von direkten Proxys, einem Log Analytics-Gateway und privaten Verbindungen. In diesem Artikel wird erläutert, wie Sie Netzwerkeinstellungen definieren und die Netzwerkisolation für den Azure Monitor-Agent aktivieren.

Diensttags für virtuelle Netzwerke

Azure Virtual Network-Diensttags müssen im virtuellen Netzwerk für den virtuellen Computer aktiviert sein. Die beiden Tags AzureMonitor und AzureResourceManager sind erforderlich.

Mit Azure Virtual Network-Diensttags können Sie Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen, Azure Firewall und benutzerdefinierte Routen definieren. Verwenden Sie Diensttags anstelle von bestimmten IP-Adressen, wenn Sie Sicherheitsregeln und Routen erstellen. Für Szenarien, in denen Azure Virtual Network-Diensttags nicht verwendet werden können, sind die Firewallanforderungen weiter unten in diesem Artikel aufgeführt.

Hinweis

Öffentliche IP-Adressen von Datensammlungsendpunkten (Data Collection Endpoint, DCE) sind nicht in den Netzwerkdiensttags enthalten, mit denen Sie Netzwerkzugriffssteuerungen für Azure Monitor definieren können. Wenn Sie über benutzerdefinierte Protokolle oder IIS-Protokolldatensammlungsregeln (Internet Information Services, Internetinformationsdienste) verfügen, sollten Sie daran denken, dass die öffentlichen IP-Adressen des DCE für diese Szenarios funktionieren, bis diese Szenarios über Netzwerkdiensttags unterstützt werden.

Firewall-Endpunkte

Die folgende Tabelle enthält die Endpunkte, für die Firewalls Zugriff auf verschiedene Clouds bereitstellen müssen. Jeder Endpunkt ist eine ausgehende Verbindung mit Port 443.

Wichtig

Für alle Endpunkte muss die HTTPS-Überprüfung deaktiviert werden.

Endpunkt	Zweck	Beispiel
global.handler.control.monitor.azure.com	Zugreifen auf den Steuerungsdienst	Nicht zutreffend
<virtual-machine-region-name>.handler.control.monitor.azure.com	Abrufen von DCRs für einen bestimmten Computer	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Erfassen von Protokolldaten	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Nur erforderlich, wenn Sie Zeitreihendaten (Metriken) an eine Azure Monitor-Datenbank für benutzerdefinierte Metriken senden	Nicht zutreffend
<virtual-machine-region-name>.monitoring.azure.com	Nur erforderlich, wenn Sie Zeitreihendaten (Metriken) an eine Azure Monitor-Datenbank für benutzerdefinierte Metriken senden	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Nur erforderlich, wenn Sie Daten an eine Log Analytics-Tabelle für benutzerdefinierte Protokolle senden	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Ersetzen Sie das Suffix in den Endpunkten durch das Suffix in der folgenden Tabelle für die entsprechenden Clouds:

Cloud	Suffix
Azure Commercial	.com
Azure Government	.us
Microsoft Azure, betrieben von 21Vianet	.cn

Hinweis

• Wenn Sie private Verbindungen für den Agent verwenden, dürfen Sie nur private DCEs hinzufügen. Der Agent verwendet nicht die nicht privaten Endpunkte, die in der vorherigen Tabelle aufgeführt sind, wenn Sie private Links oder private DCEs verwenden.

• Die Vorschau von Azure Monitor-Metriken (benutzerdefinierte Metriken) ist in Azure Government- und Azure operated by 21Vianet-Clouds nicht verfügbar.

• Wenn Sie den Azure Monitor-Agent mit dem Private Link-Bereich in Azure Monitor verwenden, müssen alle Ihre DCRs DCEs verwenden. Die DCEs müssen der Konfiguration des Private Link-Bereichs in Azure Monitor über eine private Verbindung hinzugefügt werden.

Proxykonfiguration

Die Windows- und Linux-Erweiterungen für den Azure Monitor-Agent können mithilfe des HTTPS-Protokolls entweder über einen Proxyserver oder ein Log Analytics-Gateway mit Azure Monitor kommunizieren. Verwenden Sie sie für Azure-VMs, Skalierungsgruppen und Azure Arc für Server. Verwenden Sie die Erweiterungseinstellungen für die Konfiguration, wie in den folgenden Schritten beschrieben. Sowohl die anonyme Authentifizierung als auch die Standardauthentifizierung mithilfe eines Benutzernamens und eines Kennworts wird unterstützt.

Wichtig

Die Proxykonfiguration wird für Azure Monitor-Metriken (Vorschau) als Ziel nicht unterstützt. Wenn Sie also Metriken an dieses Ziel senden, wird das öffentliche Internet ohne Proxy verwendet.

Hinweis

Das Festlegen des Linux-Systemproxys über Umgebungsvariablen wie http_proxy und https_proxy wird nur unterstützt, wenn Sie den Azure Monitor-Agent für Linux, Version 1.24.2 oder höher, verwenden. Wenn Sie einen Proxy konfigurieren, verwenden Sie als Azure Resource Manager-Vorlage (ARM-Vorlage) die hier gezeigte ARM-Vorlage als Beispiel dafür, wie Sie die Proxyeinstellungen in der ARM-Vorlage deklarieren. Darüber hinaus können Benutzende globale Umgebungsvariablen festlegen, die von allen systemd-Diensten über die Variable „DefaultEnvironment“ in „/etc/systemd/system.conf“ erfasst werden.

Verwenden Sie Azure PowerShell-Befehle in den folgenden Beispielen basierend auf Ihrer Umgebung und Konfiguration.

Windows-VM

Kein Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy ohne Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy mit Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux-VM

Kein Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy ohne Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy mit Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-fähiger Server

Kein Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy ohne Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy mit Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server mit Linux Arc-Unterstützung

Kein Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy ohne Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy mit Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Beispiel für eine ARM-Richtlinienvorlage

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration des Log Analytics-Gateways

1. Befolgen Sie die oben stehenden Anweisungen zum Konfigurieren von Proxyeinstellungen für den Agent, und geben Sie die IP-Adresse und Portnummer des Gatewayservers an. Wenn Sie mehrere Gatewayserver hinter einem Lastenausgleich bereitgestellt haben, verwenden Sie für die Agent-Proxykonfiguration stattdessen die virtuelle IP-Adresse des Lastenausgleichs.

2. Fügen Sie die URL des Konfigurationsendpunkts zur Positivliste des Gateways hinzu, um DCRs abzurufen:

   1. Führen Sie Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com aus.
   2. Führen Sie Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com aus.

   (Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die DCEs hinzufügen.)

3. Fügen Sie die URL des Datenerfassungsendpunkts der Positivliste für das Gateway hinzu:

   • Führen Sie Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com aus.

4. Um die Änderungen anzuwenden, starten Sie den Dienst für das Log Analytics-Gateway (OMS-Gateway) neu:

   1. Führen Sie Stop-Service -Name <gateway-name> aus.
   2. Führen Sie Start-Service -Name <gateway-name> aus.

Zugehöriger Inhalt

• Erfahren Sie mehr über das Hinzufügen eines Endpunkts zu einer Ressource des Private Link-Bereichs von Azure Monitor.