Configuración de red del agente de Azure Monitor

El agente de Azure Monitor admite conexiones mediante servidores proxy directos, una puerta de enlace de Log Analytics y vínculos privados. En este artículo se describe cómo definir la configuración de red y habilitar el aislamiento de red para el agente de Azure Monitor.

Etiquetas de servicio de red virtual

Las Etiquetas de servicio de red virtual de Azure deben estar habilitadas en la red virtual de la máquina virtual (VM). Se requieren las etiquetas AzureMonitor y AzureResourceManager.

Puede usar etiquetas de servicio de Azure Virtual Network para definir controles de acceso de red en grupos de seguridad de red, Azure Firewall, y rutas definidas por el usuario. Use etiquetas de servicio en lugar de direcciones IP específicas cuando cree reglas de seguridad y rutas. En escenarios en los que no se pueden usar etiquetas de servicio de Azure Virtual Network, los requisitos de firewall se describen más adelante en este artículo.

Nota:

Las direcciones IP públicas del punto de conexión de recopilación de datos (DCE) no se incluyen en las etiquetas de servicio de red que puede usar para definir controles de acceso de red para Azure Monitor. Si tiene registros personalizados o reglas de recopilación de datos de registro (DCR) de Internet Information Services (IIS), considere la posibilidad de permitir que las direcciones IP públicas de DCE para estos escenarios funcionen hasta que estos escenarios se admita a través de etiquetas de servicio de red.

Puntos de conexión de firewall

En la tabla siguiente se proporcionan los puntos de conexión a los que los firewalls deben proporcionar acceso a para nubes diferentes. Cada punto de conexión es una conexión saliente al puerto 443.

Importante

Se debe deshabilitar la inspección HTTPS para todos los puntos de conexión.

Punto de conexión	Fin	Ejemplo
global.handler.control.monitor.azure.com	Acceso al servicio de control	No aplicable
<virtual-machine-region-name>.handler.control.monitor.azure.com	Captura de DCR para una máquina específica	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingesta de datos de registro	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Solo es necesario si envía datos de serie temporal (métricas) a una base de datos de Azure Monitor métricas personalizadas	No aplicable
<virtual-machine-region-name>.monitoring.azure.com	Solo es necesario si envía datos de serie temporal (métricas) a una base de datos de Azure Monitor métricas personalizadas	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Solo es necesario si envía datos a una tabla de Log Analytics registros personalizados	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Reemplace el sufijo en los puntos de conexión por el sufijo de la tabla siguiente para las nubes respectivas:

Nube	Sufijo
Azure Commercial	.com
Azure Government	.us
Microsoft Azure operado por 21Vianet	.cn

Nota:

• Si usa vínculos privados en el agente, debe agregar solo DCE privados. El agente no usa los puntos de conexión no privados enumerados en la tabla anterior cuando se usan vínculos privados o DCE privados.

• La versión preliminar de métricas de Azure Monitor (métricas personalizadas) no está disponible en Azure Government y Azure operado por nubes de 21Vianet.

• Al usar el agente de Azure Monitor con el ámbito de Private Link de Azure Monitor, todos los DCR deben usar DCE. Los DCE se deben agregar a la configuración del ámbito de Private Link de Azure Monitor a través de un vínculo privado.

Configuración de proxy

Las extensiones del agente de Azure Monitor para Windows y Linux pueden comunicarse a través de un servidor proxy o a través de una puerta de enlace de Log Analytics a Azure Monitor mediante el protocolo HTTPS. Úselo para máquinas virtuales de Azure, conjuntos de escalado y Azure Arc para servidores. Use los ajustes de extensiones a efectos de configuración como se describe en los siguientes pasos. Se admiten tanto la autenticación anónima como la autenticación básica mediante un nombre de usuario y una contraseña.

Importante

No se admite la configuración de proxy para Métricas de Azure Monitor (versión preliminar) como destino. Si envía métricas a este destino, usa la red pública de Internet sin ningún proxy.

Nota:

La configuración del proxy del sistema Linux a través de variables de entorno como http_proxy y https_proxy solo se admite cuando se usa el agente de Azure Monitor para Linux versión 1.24.2 o posterior. Para la plantilla de Azure Resource Manager (plantilla de ARM), si configura un proxy, use la plantilla de ARM que se muestra aquí como ejemplo de cómo declarar la configuración del proxy dentro de la plantilla de ARM. Además, un usuario puede establecer variables de entorno globales que son recogidas por todos los servicios del sistema a través de la variable DefaultEnvironment en /etc/systemd/system.conf.

Use comandos de Azure PowerShell en los ejemplos siguientes en función de su entorno y configuración.

Máquina virtual Windows

Sin proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sin autenticación

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy con autenticación

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Máquina virtual Linux

Sin proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sin autenticación

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy con autenticación

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Servidor habilitado para Windows Arc

Sin proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sin autenticación

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy con autenticación

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Servidor habilitado para Linux Arc

Sin proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sin autenticación

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy con autenticación

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Ejemplo de plantilla de directiva de ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuración de la puerta de enlace de Log Analytics

1. Siga las instrucciones anteriores para configurar los valores de proxy en el agente y proporcione la dirección IP y el número de puerto que corresponden al servidor de puerta de enlace. Si ha implementado varios servidores de puerta de enlace detrás de un equilibrador de carga, para la configuración del proxy del agente, use en su lugar la dirección IP virtual del equilibrador de carga.

2. Agregue la dirección URL del punto de conexión de configuración para capturar DCR a la lista de permitidos de la puerta de enlace:

   1. Ejecute Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Ejecute Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Si usa vínculos privados en el agente, también debe agregar el DCE).

3. Agregue la dirección URL del punto de conexión de ingesta de datos a la lista de permitidos de la puerta de enlace:

   • Ejecute Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Para aplicar los cambios, reinicie el servicio puerta de enlace de Log Analytics (puerta de enlace de OMS):

   1. Ejecute Stop-Service -Name <gateway-name>.
   2. Ejecute Start-Service -Name <gateway-name>.

Contenido relacionado

• Aprenda a agregar un punto de conexión a un recurso ámbito de Private Link de Azure Monitor.