Configuration réseau de l’agent Azure Monitor

L’agent Azure Monitor prend en charge les connexions à l’aide de proxys directs, d’une passerelle Log Analytics et de liaisons privées. Cet article décrit comment définir les paramètres réseau et activer l’isolement réseau pour l’agent Azure Monitor.

Balises de service du réseau virtuel

Les étiquettes de service Réseau virtuel Azure doivent être activées sur le réseau virtuel pour la machine virtuelle. Les étiquettes AzureMonitor et AzureResourceManager sont toutes les deux requises.

Vous pouvez utiliser des étiquettes de service Réseau virtuel Azure pour définir des contrôles d’accès au réseau sur des groupes de sécurité réseau, le Pare-feu Azure et des itinéraires définis par l’utilisateur. Utilisez des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de sécurité et des routes. Pour les scénarios dans lesquels les étiquettes de service Réseau virtuel Azure ne peuvent pas être utilisées, les exigences du pare-feu sont décrites plus loin dans cet article.

Remarque

Les adresses IP publiques du point de terminaison de collecte de données (DCE, Data Collection Endpoint) ne sont pas incluses dans les étiquettes de service réseau que vous pouvez utiliser pour définir des contrôles d’accès au réseau pour Azure Monitor. Si vous disposez de journaux personnalisés ou de règles de collecte de données (DCR, Data Collection Rule) de journaux IIS (Internet Information Services), envisagez d’autoriser les adresses IP publiques du DCE pour que ces scénarios fonctionnent jusqu’à leur prise en charge via des étiquettes de service réseau.

Points de terminaison du pare-feu

Le tableau suivant fournit les points de terminaison auxquels les pare-feux doivent autoriser l’accès pour différents clouds. Chaque point de terminaison est une connexion sortante au port 443.

Important

Pour tous les points de terminaison, l’inspection HTTPS doit être désactivée.

Point de terminaison	Objectif	Exemple
global.handler.control.monitor.azure.com	Accéder au service de contrôle	Non applicable
<virtual-machine-region-name>.handler.control.monitor.azure.com	Extraire les DCR d’une machine spécifique	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingérer des données de journal	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à une base de données de métriques personnalisées Azure Monitor	Non applicable
<virtual-machine-region-name>.monitoring.azure.com	Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à une base de données de métriques personnalisées Azure Monitor	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Nécessaire uniquement si vous envoyez des données à une table de journaux personnalisés Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Remplacez le suffixe dans les points de terminaison par celui figurant dans le tableau suivant pour les clouds respectifs :

Cloud	Suffixe
Azure Commercial	.com
Azure Government	.us
Microsoft Azure exploité par 21Vianet	.cn

Remarque

• Si vous utilisez des liaisons privées sur l’agent, vous devez ajouter uniquement des DCE privés. L’agent n’utilise pas les points de terminaison non privés listés dans le tableau précédent lorsque vous utilisez des liens privés ou des DCE privés.

• La préversion des métriques Azure Monitor (métriques personnalisées) n’est pas disponible dans les clouds Azure Government et Azure géré par 21Vianet.

• Lorsque vous utilisez l’agent Azure Monitor avec l’étendue de liaison privée Azure Monitor, toutes vos DCR doivent utiliser des DCE. Vous devez ajouter les DCE à la configuration de l’étendue de liaison privée Azure Monitor via une liaison privée.

Configuration du proxy

Les extensions de l’agent Azure Monitor pour Windows et Linux peuvent communiquer via un serveur proxy ou via une passerelle Log Analytics avec Azure Monitor en utilisant le protocole HTTPS. Utilisez-le pour les machines virtuelles Azure, les groupes identiques et Azure Arc pour serveurs. Utilisez les paramètres des extensions pour la configuration comme décrit dans les étapes suivantes. L’authentification anonyme et l’authentification de base à l’aide d’un nom d’utilisateur et d’un mot de passe sont prises en charge.

Important

La configuration du proxy n’est pas prise en charge pour les métriques Azure Monitor (préversion) comme destination. Si vous envoyez des métriques à cette destination, elle utilise l’Internet public sans aucun proxy.

Remarque

La définition d’un proxy système Linux via des variables d’environnement telles que http_proxy et https_proxy est uniquement prise en charge lorsque vous utilisez l’agent Azure Monitor pour Linux version 1.24.2 ou ultérieure. Pour le modèle Azure Resource Manager (modèle ARM), si vous configurez un proxy, utilisez le modèle ARM présenté ici comme exemple de déclaration des paramètres de proxy à l’intérieur du modèle ARM. En outre, un utilisateur peut définir des variables d’environnement globales qui sont récupérées par tous les services systemd via la variable DefaultEnvironment dans /etc/systemd/system.conf.

Utilisez des commandes Azure PowerShell dans les exemples suivants en fonction de votre environnement et de votre configuration.

Machine virtuelle Windows

Aucun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sans authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy avec authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Machine virtuelle Linux

Aucun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sans authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy avec authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serveur avec Windows Arc

Aucun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sans authentification

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy avec authentification

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Serveur avec Linux Arc

Aucun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sans authentification

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy avec authentification

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exemple de modèle de stratégie ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuration de la passerelle Log Analytics

1. Suivez l’aide précédente pour configurer des paramètres de proxy sur l’agent, et spécifiez l’adresse IP et le numéro de port correspondant au serveur de passerelle. Si vous avez déployé plusieurs serveurs de passerelle derrière un équilibreur de charge, pour la configuration de l’agent proxy, utilisez l’adresse IP virtuelle de l’équilibreur de charge à la place.

2. Ajoutez l’URL du point de terminaison de configuration pour extraire les DCR dans la liste d’autorisation de la passerelle :

   1. Exécutez Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Exécutez Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Si vous utilisez des liaisons privées sur l’agent, vous devez également ajouter les DCE.)

3. Ajoutez l’URL du point de terminaison d’ingestion des données à la liste d’autorisation de la passerelle :

   • Exécutez Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Pour appliquer les modifications, redémarrez le service de passerelle Log Analytics (passerelle OMS) :

   1. Exécutez Stop-Service -Name <gateway-name>.
   2. Exécutez Start-Service -Name <gateway-name>.

Contenu connexe

• Découvrez comment ajouter un point de terminaison à une ressource d’étendue de liaison privée Azure Monitor.