Konfiguration des Azure Monitor-Agent-Netzwerks

Der Azure Monitor-Agent unterstützt die Verbindung mithilfe von direkten Proxys, Log Analytics-Gateways und privaten Verbindungen. In diesem Artikel wird erläutert, wie Sie Netzwerkeinstellungen definieren und die Netzwerkisolation für den Azure Monitor-Agent aktivieren.

Diensttags in virtuellen Netzwerken

Die Azure Virtual Network Service-Tags müssen im virtuellen Netzwerk für den virtuellen Computer aktiviert sein. Die beiden Tags AzureMonitor und AzureResourceManager sind erforderlich.

Mit Azure Virtual Network-Diensttags können Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen, Azure Firewall und benutzerdefinierten Routen definiert werden. Verwenden Sie Diensttags anstelle von bestimmten IP-Adressen, wenn Sie Sicherheitsregeln und Routen erstellen. Für Szenarien, in denen Azure Virtual Network-Diensttags nicht verwendet werden können, sind nachfolgend die Firewallanforderungen aufgeführt.

Hinweis

Öffentliche IP-Adressen des Datensammlungsendpunkts sind nicht Teil der oben genannten Netzwerkdiensttags. Wenn Sie über benutzerdefinierte Protokolle oder IIS-Protokolldatensammlungsregeln verfügen, sollten Sie daran denken, dass die öffentlichen IP-Adressen des Datensammlungsendpunkts für diese Szenarios funktionieren, bis diese Szenarios von Netzwerkdiensttags unterstützt werden.

Firewallendpunkte

Die folgende Tabelle enthält die Endpunkte, für die Firewalls Zugriff auf verschiedene Clouds bereitstellen müssen. Jede ist eine ausgehende Verbindung mit Port 443.

Wichtig

Für alle Endpunkte muss die HTTPS-Überprüfung deaktiviert werden.

Endpunkt	Zweck	Beispiel
global.handler.control.monitor.azure.com	Access Control Service -
<virtual-machine-region-name>.handler.control.monitor.azure.com	Abrufen von Datensammlungsregeln für einen bestimmten Computer	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Erfassen von Protokolldaten	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden	-
<virtual-machine-region-name>.monitoring.azure.com	Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Nur erforderlich, wenn Sie Daten an die benutzerdefinierte Log Analytics-Protokolltabelle senden	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Ersetzen Sie das Suffix in den Endpunkten durch das Suffix in der folgenden Tabelle für verschiedene Clouds.

Cloud	Suffix
Azure Commercial	.com
Azure Government	.us
Microsoft Azure, betrieben von 21Vianet	.cn

Hinweis

Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie nur die privaten Datensammlungsendpunkte (Data Collection Endpoints, DCEs) hinzufügen. Der Agent verwendet die oben aufgeführten nicht privaten Endpunkte nicht, wenn private Links/Datensammlungsendpunkte verwendet werden. Die Vorschau von Azure Monitor Metrics (benutzerdefinierte Metriken) ist in Azure Government und Azure operated by 21Vianet-Clouds nicht verfügbar.

Hinweis

Bei Verwendung von AMA mit AMPLS müssen alle Ihre Datensammlungsregeln Datensammlungsendpunkte verwenden. Diese DCE-Dateien müssen der AMPLS-Konfiguration mithilfe eines privaten Links hinzugefügt werden

Proxykonfiguration

Die Windows- und Linux-Erweiterungen für den Azure Monitor-Agent können mithilfe des HTTPS-Protokolls entweder über einen Proxyserver oder ein Log Analytics-Gateway mit Azure Monitor kommunizieren. Sie können dieses für virtuelle Azure-Computer, Azure-VM-Skalierungsgruppen und Azure Arc für Server verwenden. Nutzen Sie die Erweiterungseinstellungen wie in den folgenden Schritten beschrieben für die Konfiguration. Sowohl die anonyme Authentifizierung als auch die Standardauthentifizierung mithilfe eines Benutzernamens und eines Kennworts wird unterstützt.

Wichtig

Die Proxykonfiguration wird für Azure Monitor-Metriken (öffentliche Vorschau) als Ziel nicht unterstützt. Wenn Sie also Metriken an dieses Ziel senden, wird das öffentliche Internet ohne Proxy verwendet.

Hinweis

Das Festlegen des Linux-Systemproxys über Umgebungsvariablen wie http_proxy und https_proxy wird nur mit Azure Monitor Agent für Linux, Version 1.24.2 und höher, unterstützt. Wenn Sie über eine Proxykonfiguration verfügen, orientieren Sie sich bei der ARM-Vorlage an dem unten angegebenen ARM-Vorlagenbeispiel, um die Proxyeinstellung in der ARM-Vorlage zu deklarieren. Darüber hinaus kann ein Benutzer „globale“ Umgebungsvariablen festlegen, die von allen systemd-Diensten über die Variable DefaultEnvironment in /etc/systemd/system.conf erfasst werden.

Verwenden Sie PowerShell-Befehle in den folgenden Beispielen abhängig von Ihrer Umgebung und Konfiguration.

Windows-VM

Kein Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy ohne Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy mit Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux-VM

Kein Proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy ohne Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy mit Authentifizierung

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-fähiger Server

Kein Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy ohne Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy mit Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server mit Linux Arc-Unterstützung

Kein Proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy ohne Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy mit Authentifizierung

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Beispiel für eine ARM-Richtlinienvorlage

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration des Log Analytics-Gateways

1. Befolgen Sie die oben aufgeführten Anweisungen zum Konfigurieren von Proxyeinstellungen für den Agent, und geben Sie die IP-Adresse und Portnummer des Gatewayservers an. Wenn Sie mehrere Gatewayserver hinter einem Lastenausgleichsmodul bereitgestellt haben, handelt es sich bei der Agent-Proxykonfiguration stattdessen um die virtuelle IP-Adresse des Lastenausgleichs.
2. Fügen Sie die URL des Konfigurationsendpunkts zur Positivliste des GatewaysAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com hinzu, um Datensammlungsregeln abzurufen. (Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die Datensammlungsendpunkte hinzufügen.)
3. Fügen Sie die URL des Datenerfassungsendpunkts der Positivliste für das GatewayAdd-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com hinzu.
4. Starten Sie den Dienst OMS-Gateway neu, um die Änderungen an Stop-Service -Name <gateway-name> und Start-Service -Name <gateway-name> zu übernehmen.

Nächste Schritte

• Hinzufügen eines Endpunkts zur AMPLS-Ressource