Von Azure Monitor verwendete IP-Adressen
Von Azure Monitor werden mehrere IP-Adressen verwendet. Azure Monitor umfasst neben Log Analytics und Application Insights auch Metriken und Protokolle der Kernplattform. Wenn die zu überwachende App oder Infrastruktur hinter einer Firewall gehostet wird, müssen Ihnen ggf. IP-Adressen bekannt sein.
Hinweis
Diese Adressen sind zwar statisch, müssen aber unter Umständen gelegentlich geändert werden. Sämtlicher Datenverkehr für Application Insights stellt ausgehenden Datenverkehr dar, mit Ausnahme der Überwachung der Verfügbarkeit und Webhook Aktionsgruppe, für die ebenfalls eingehende Firewallregeln erforderlich sind.
Sie können Netzwerkdiensttags von Azure verwenden, um bei Verwendung von Azure-Netzwerksicherheitsgruppen den Zugriff zu verwalten. Wenn Sie Zugriff für hybride oder lokale Ressourcen verwalten, können Sie die entsprechenden IP-Adresslisten als JSON-Dateien herunterladen, die jede Woche aktualisiert werden. Verwenden Sie die Diensttags ActionGroup, ApplicationInsightsAvailability und AzureMonitor, um alle Ausnahmen in diesem Artikel abzudecken.
Hinweis
Diensttags ersetzen keine Überprüfungen/Authentifizierungsprüfungen, die für die mandantenübergreifende Kommunikation zwischen der Azure-Ressource eines Kunden und anderen Diensttagressourcen erforderlich sind.
Ausgehende Ports
Sie müssen in der Firewall Ihres Servers ein paar ausgehende Ports öffnen, damit das Application Insights SDK oder Application Insights Agent Daten an das Portal senden kann.
Hinweis
Diese Adressen werden unter Verwendung der Notation für klassenloses domänenübergreifendes Routing (Classless Inter-Domain Routing, CIDR) aufgeführt. Ein Eintrag wie 51.144.56.112/28 entspricht also beispielsweise 16 IP-Adressen, die bei 51.144.56.112 beginnen und bei 51.144.56.127 enden.
| Zweck | URL | type | IP | Ports |
|---|---|---|---|---|
| Telemetrie | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com*.in.applicationinsights.azure.com |
Global Global Global Länderspezifisch |
443 | |
| Livemetriken | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com*Beispiel für {region}: westus2 |
Global Global Global Länderspezifisch |
20.49.111.32/29 13.73.253.112/29 |
443 |
Hinweis
Application Insights-Erfassungsendpunkte sind nur IPv4.
Application Insights-Agent
Die Application Insights Agent-Konfiguration ist nur erforderlich, wenn Änderungen vorgenommen werden.
| Zweck | URL | Ports |
|---|---|---|
| Konfiguration | management.core.windows.net |
443 |
| Konfiguration | management.azure.com |
443 |
| Konfiguration | login.windows.net |
443 |
| Konfiguration | login.microsoftonline.com |
443 |
| Konfiguration | secure.aadcdn.microsoftonline-p.com |
443 |
| Konfiguration | auth.gfx.ms |
443 |
| Konfiguration | login.live.com |
443 |
| Installation | globalcdn.nuget.org, , packages.nuget.orgapi.nuget.org/v3/index.json nuget.org, , api.nuget.orgdc.services.vsallin.net |
443 |
Verfügbarkeitstests
Weitere Informationen zu Verfügbarkeitstests finden Sie unter Private Verfügbarkeitstests.
Application Insights- und Log Analytics-APIs
| Zweck | URI | IP | Ports |
|---|---|---|---|
| API | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.iodev.applicationinsights.iodev.applicationinsights.microsoft.comdev.aisvc.visualstudio.comwww.applicationinsights.iowww.applicationinsights.microsoft.comwww.aisvc.visualstudio.comapi.loganalytics.io*.api.loganalytics.iodev.loganalytics.iodocs.loganalytics.iowww.loganalytics.ioapi.loganalytics.azure.com |
20.37.52.188 20.37.53.231 20.36.47.130 20.40.124.0 20.43.99.158 20.43.98.234 13.70.127.61 40.81.58.225 20.40.160.120 23.101.225.155 52.139.8.32 13.88.230.43 52.230.224.237 52.242.230.209 52.173.249.138 52.229.218.221 52.229.225.6 23.100.94.221 52.188.179.229 52.226.151.250 52.150.36.187 40.121.135.131 20.44.73.196 20.41.49.208 40.70.23.205 20.40.137.91 20.40.140.212 40.89.189.61 52.155.118.97 52.156.40.142 23.102.66.132 52.231.111.52 52.231.108.46 52.231.64.72 52.162.87.50 23.100.228.32 40.127.144.141 52.155.162.238 137.116.226.81 52.185.215.171 40.119.4.128 52.171.56.178 20.43.152.45 20.44.192.217 13.67.77.233 51.104.255.249 51.104.252.13 51.143.165.22 13.78.151.158 51.105.248.23 40.74.36.208 40.74.59.40 13.93.233.49 52.247.202.90 |
80, 443 |
| Azure-Erweiterung für Pipelineanmerkungen | aigs1.aisvc.visualstudio.com |
dynamisch | 443 |
Application Insights-Analyse
| Zweck | URI | IP | Ports |
|---|---|---|---|
| Analytics-Portal | analytics.applicationinsights.io |
dynamisch | 80, 443 |
| CDN | applicationanalytics.azureedge.net |
dynamisch | 80, 443 |
| Medien-CDN | applicationanalyticsmedia.azureedge.net |
dynamisch | 80, 443 |
Für die Domäne „*.applicationinsights.io“ ist das Application Insights-Team zuständig.
Log Analytics-Portal
| Zweck | URI | IP | Ports |
|---|---|---|---|
| Portal | portal.loganalytics.io |
dynamisch | 80, 443 |
| CDN | applicationanalytics.azureedge.net |
dynamisch | 80, 443 |
Für die Domäne „*.loganalytics.io“ ist das Log Analytics-Team zuständig.
Azure-Portalerweiterung für Application Insights
| Zweck | URI | IP | Ports |
|---|---|---|---|
| Application Insights-Erweiterung | stamp2.app.insightsportal.visualstudio.com |
dynamisch | 80, 443 |
| Erweiterungs-CDN für Application Insights | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
dynamisch | 80, 443 |
SDKs für Application Insights
| Zweck | URI | IP | Ports |
|---|---|---|---|
| JS-SDK-CDN für Application Insights | az416426.vo.msecnd.netjs.monitor.azure.com |
dynamisch | 80, 443 |
Webhooks für Aktionsgruppen
Sie können die Liste der IP-Adressen, die von Aktionsgruppen verwendet werden, mithilfe des PowerShell-Befehls „Get-AzNetworkServiceTag“ abfragen.
Diensttag für Aktionsgruppen
Die Verwaltung von Änderungen der Quell-IP-Adressen kann zeitaufwändig sein. Bei Verwendung von Diensttags müssen Sie die Konfiguration nicht aktualisieren. Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts dar. Microsoft verwaltet die IP-Adressen und aktualisiert automatisch das Diensttag, wenn sich Adressen ändern, sodass die Netzwerksicherheitsregeln für eine Aktionsgruppe nicht aktualisiert werden müssen.
Suchen Sie im Azure-Portal unter Azure-Dienste nach Netzwerksicherheitsgruppe.
Wählen Sie Hinzufügen aus, und erstellen Sie eine Netzwerksicherheitsgruppe:
- Fügen Sie den Ressourcengruppennamen hinzu, und geben Sie Instanzdetails ein.
- Klicken Sie auf Review + Create (Überprüfen und erstellen) und dann auf Create (Erstellen).
Navigieren Sie zu Ressourcengruppe, und wählen Sie anschließend die erstellte Netzwerksicherheitsgruppe aus:
- Klicken Sie auf Eingangssicherheitsregeln.
- Wählen Sie Hinzufügen.
Im rechten Bereich wird ein neues Fenster geöffnet:
- Geben Sie unter Quelle die Zeichenfolge Diensttag ein.
- Geben Sie unter Quelldiensttag die Zeichenfolge ActionGroup ein.
- Wählen Sie Hinzufügen.
Profiler
| Zweck | URI | IP | Ports |
|---|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
dynamisch | 443 |
| Storage | *.core.windows.net |
dynamisch | 443 |
Debuggen von Momentaufnahmen
Hinweis
Profiler und Momentaufnahmedebugger teilen sich den gleichen Satz von IP-Adressen.
| Zweck | URI | IP | Ports |
|---|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
20.190.60.38 20.190.60.32 52.173.196.230 52.173.196.209 23.102.44.211 23.102.45.216 13.69.51.218 13.69.51.175 138.91.32.98 138.91.37.93 40.121.61.208 40.121.57.2 51.140.60.235 51.140.180.52 52.138.31.112 52.138.31.127 104.211.90.234 104.211.91.254 13.70.124.27 13.75.195.15 52.185.132.101 52.185.132.170 20.188.36.28 40.89.153.171 52.141.22.239 52.141.22.149 102.133.162.233 102.133.161.73 191.232.214.6 191.232.213.239 |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
dynamisch | 443 |
| Storage | *.core.windows.net |
dynamisch | 443 |
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.
Kann ich einen Intranetwebserver überwachen?
Ja, aber Sie müssen Datenverkehr zu unseren Diensten entweder über Firewallausnahmen oder durch Proxyweiterleitungen zulassen:
- QuickPulse
https://rt.services.visualstudio.com:443 - ApplicationIdProvider
https://dc.services.visualstudio.com:443 - TelemetryChannel
https://dc.services.visualstudio.com:443
Unsere vollständige Liste der Dienste und IP-Adressen finden Sie unter Von Azure Monitor verwendete IP-Adressen.
Wie kann ich Datenverkehr von meinem Server an ein Gateway in meinem Intranet umleiten?
Leiten Sie Datenverkehr von Ihrem Server an ein Gateway im Intranet weiter, indem Sie Endpunkte in Ihrer Konfiguration überschreiben. Wenn die Endpoint-Eigenschaften in Ihrer Konfiguration nicht vorhanden sind, verwenden diese Klassen die in der folgenden Beispieldatei „ApplicationInsights.config“ gezeigten Standardwerte.
Ihr Gateway muss Datenverkehr an die Basisadresse unseres Endpunkts weiterleiten. Ersetzen Sie in Ihrer Konfiguration die Standardwerte durch http://<your.gateway.address>/<relative path>.
Beispieldatei „ApplicationInsights.config“ mit Standardendpunkten:
<ApplicationInsights>
...
<TelemetryModules>
<Add Type="Microsoft.ApplicationInsights.Extensibility.PerfCounterCollector.QuickPulse.QuickPulseTelemetryModule, Microsoft.AI.PerfCounterCollector">
<QuickPulseServiceEndpoint>https://rt.services.visualstudio.com/QuickPulseService.svc</QuickPulseServiceEndpoint>
</Add>
</TelemetryModules>
...
<TelemetryChannel>
<EndpointAddress>https://dc.services.visualstudio.com/v2/track</EndpointAddress>
</TelemetryChannel>
...
<ApplicationIdProvider Type="Microsoft.ApplicationInsights.Extensibility.Implementation.ApplicationId.ApplicationInsightsApplicationIdProvider, Microsoft.ApplicationInsights">
<ProfileQueryEndpoint>https://dc.services.visualstudio.com/api/profiles/{0}/appId</ProfileQueryEndpoint>
</ApplicationIdProvider>
...
</ApplicationInsights>
Hinweis
ApplicationIdProvider ist ab v2.6.0 verfügbar.