Konfiguration des Azure Monitor-Agent-Netzwerks
Der Azure Monitor-Agent unterstützt die Verbindung mithilfe von direkten Proxys, Log Analytics-Gateways und privaten Verbindungen. In diesem Artikel wird erläutert, wie Sie Netzwerkeinstellungen definieren und die Netzwerkisolation für den Azure Monitor-Agent aktivieren.
Diensttags in virtuellen Netzwerken
Die Azure Virtual Network Service-Tags müssen im virtuellen Netzwerk für den virtuellen Computer aktiviert sein. Die beiden Tags AzureMonitor und AzureResourceManager sind erforderlich.
Mit Azure Virtual Network-Diensttags können Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen, Azure Firewall und benutzerdefinierten Routen definiert werden. Verwenden Sie Diensttags anstelle von bestimmten IP-Adressen, wenn Sie Sicherheitsregeln und Routen erstellen. Für Szenarien, in denen Azure Virtual Network-Diensttags nicht verwendet werden können, sind nachfolgend die Firewallanforderungen aufgeführt.
Hinweis
Öffentliche IP-Adressen des Datensammlungsendpunkts sind nicht Teil der oben genannten Netzwerkdiensttags. Wenn Sie über benutzerdefinierte Protokolle oder IIS-Protokolldatensammlungsregeln verfügen, sollten Sie daran denken, dass die öffentlichen IP-Adressen des Datensammlungsendpunkts für diese Szenarios funktionieren, bis diese Szenarios von Netzwerkdiensttags unterstützt werden.
Firewallendpunkte
Die folgende Tabelle enthält die Endpunkte, für die Firewalls Zugriff auf verschiedene Clouds bereitstellen müssen. Jede ist eine ausgehende Verbindung mit Port 443.
Wichtig
Für alle Endpunkte muss die HTTPS-Überprüfung deaktiviert werden.
Endpunkt | Zweck | Beispiel |
---|---|---|
global.handler.control.monitor.azure.com |
Access Control Service - | |
<virtual-machine-region-name> .handler.control.monitor.azure.com |
Abrufen von Datensammlungsregeln für einen bestimmten Computer | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id> .ods.opinsights.azure.com |
Erfassen von Protokolldaten | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com | Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden | - |
<virtual-machine-region-name> .monitoring.azure.com |
Nur erforderlich, wenn Zeitreihendaten (Metriken) an die Datenbank für benutzerdefinierte Metriken von Azure Monitor gesendet werden | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name> .ingest.monitor.azure.com |
Nur erforderlich, wenn Sie Daten an die benutzerdefinierte Log Analytics-Protokolltabelle senden | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Ersetzen Sie das Suffix in den Endpunkten durch das Suffix in der folgenden Tabelle für verschiedene Clouds.
Cloud | Suffix |
---|---|
Azure Commercial | .com |
Azure Government | .us |
Microsoft Azure, betrieben von 21Vianet | .cn |
Hinweis
Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie nur die privaten Datensammlungsendpunkte (Data Collection Endpoints, DCEs) hinzufügen. Der Agent verwendet die oben aufgeführten nicht privaten Endpunkte nicht, wenn private Links/Datensammlungsendpunkte verwendet werden. Die Vorschau von Azure Monitor Metrics (benutzerdefinierte Metriken) ist in Azure Government und Azure operated by 21Vianet-Clouds nicht verfügbar.
Hinweis
Bei Verwendung von AMA mit AMPLS müssen alle Ihre Datensammlungsregeln Datensammlungsendpunkte verwenden. Diese DCE-Dateien müssen der AMPLS-Konfiguration mithilfe eines privaten Links hinzugefügt werden
Proxykonfiguration
Die Windows- und Linux-Erweiterungen für den Azure Monitor-Agent können mithilfe des HTTPS-Protokolls entweder über einen Proxyserver oder ein Log Analytics-Gateway mit Azure Monitor kommunizieren. Sie können dieses für virtuelle Azure-Computer, Azure-VM-Skalierungsgruppen und Azure Arc für Server verwenden. Nutzen Sie die Erweiterungseinstellungen wie in den folgenden Schritten beschrieben für die Konfiguration. Sowohl die anonyme Authentifizierung als auch die Standardauthentifizierung mithilfe eines Benutzernamens und eines Kennworts wird unterstützt.
Wichtig
Die Proxykonfiguration wird für Azure Monitor-Metriken (öffentliche Vorschau) als Ziel nicht unterstützt. Wenn Sie also Metriken an dieses Ziel senden, wird das öffentliche Internet ohne Proxy verwendet.
Hinweis
Das Festlegen des Linux-Systemproxys über Umgebungsvariablen wie http_proxy
und https_proxy
wird nur mit Azure Monitor Agent für Linux, Version 1.24.2 und höher, unterstützt. Wenn Sie über eine Proxykonfiguration verfügen, orientieren Sie sich bei der ARM-Vorlage an dem unten angegebenen ARM-Vorlagenbeispiel, um die Proxyeinstellung in der ARM-Vorlage zu deklarieren. Darüber hinaus kann ein Benutzer „globale“ Umgebungsvariablen festlegen, die von allen systemd-Diensten über die Variable DefaultEnvironment in /etc/systemd/system.conf erfasst werden.
Verwenden Sie PowerShell-Befehle in den folgenden Beispielen abhängig von Ihrer Umgebung und Konfiguration.
- Windows-VM
- Linux-VM
- Windows Arc-fähiger Server
- Server mit Linux Arc-Unterstützung
- Beispiel für eine ARM-Richtlinienvorlage
Kein Proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy ohne Authentifizierung
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy mit Authentifizierung
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Konfiguration des Log Analytics-Gateways
- Befolgen Sie die oben aufgeführten Anweisungen zum Konfigurieren von Proxyeinstellungen für den Agent, und geben Sie die IP-Adresse und Portnummer des Gatewayservers an. Wenn Sie mehrere Gatewayserver hinter einem Lastenausgleichsmodul bereitgestellt haben, handelt es sich bei der Agent-Proxykonfiguration stattdessen um die virtuelle IP-Adresse des Lastenausgleichs.
- Fügen Sie die URL des Konfigurationsendpunkts zur Positivliste des Gateways
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
hinzu, um Datensammlungsregeln abzurufen. (Wenn Sie private Verbindungen für den Agent verwenden, müssen Sie auch die Datensammlungsendpunkte hinzufügen.) - Fügen Sie die URL des Datenerfassungsendpunkts der Positivliste für das Gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
hinzu. - Starten Sie den Dienst OMS-Gateway neu, um die Änderungen an
Stop-Service -Name <gateway-name>
undStart-Service -Name <gateway-name>
zu übernehmen.