Configurazione di rete dell'agente di Monitoraggio di Azure

L'agente di Monitoraggio di Azure supporta le connessioni usando proxy diretti, un gateway di Log Analytics e collegamenti privati. Questo articolo descrive come definire le impostazioni di rete e abilitare l'isolamento di rete per l'agente di Monitoraggio di Azure.

Tag del servizio di rete virtuale

I tag del servizio Rete virtuale di Azure devono essere abilitati nella rete virtuale per la macchina virtuale. Sono necessari sia i tag AzureMonitor che AzureResourceManager.

È possibile usare i tag di servizio di Azure Rete virtuale per definire i controlli di accesso di rete nei gruppi di sicurezza di rete, Firewall di Azure e nelle route definite dall'utente. Quando si creano regole di sicurezza e percorsi, usare i tag del servizio anziché gli indirizzi IP specifici. Per gli scenari in cui non è possibile usare i tag di servizio di Azure Rete virtuale, i requisiti del firewall vengono descritti più avanti in questo articolo.

Nota

Gli indirizzi IP pubblici dell'endpoint di raccolta dati (DCE) non sono inclusi nei tag del servizio di rete che è possibile usare per definire i controlli di accesso alla rete per Monitoraggio di Azure. Se sono presenti log personalizzati o regole di raccolta dei dati di log di Internet Information Services (IIS), è consigliabile consentire agli indirizzi IP pubblici di DCE per questi scenari di funzionare fino a quando questi scenari non sono supportati tramite tag del servizio di rete.

Endpoint del firewall

La tabella seguente fornisce gli endpoint a cui i firewall devono fornire l'accesso per cloud diversi. Ogni endpoint è una connessione in uscita alla porta 443.

Importante

L'analisi HTTPS deve essere disabilitata per tutti gli endpoint.

Endpoint	Scopo	Esempio
global.handler.control.monitor.azure.com	Accedere al servizio di controllo	Non applicabile
<virtual-machine-region-name>.handler.control.monitor.azure.com	Recuperare controller di dominio per un computer specifico	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Inserire dati di log	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Necessario solo se si inviano dati di serie temporali (metriche) a un database di metriche personalizzate di Monitoraggio di Azure	Non applicabile
<virtual-machine-region-name>.monitoring.azure.com	Necessario solo se si inviano dati di serie temporali (metriche) a un database di metriche personalizzate di Monitoraggio di Azure	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Necessario solo se si inviano dati a una tabella log personalizzata di Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Sostituire il suffisso negli endpoint con il suffisso nella tabella seguente per i rispettivi cloud:

Cloud	Suffisso
Azure Commercial	.com
Azure Government	.us
Microsoft Azure gestito da 21Vianet	.cn

Nota

• Se si usano collegamenti privati nell'agente, è necessario aggiungere solo controller di dominio privati. L'agente non usa gli endpoint non privati elencati nella tabella precedente quando si usano collegamenti privati o controller di dominio privati.

• L'anteprima delle metriche di Monitoraggio di Azure (metriche personalizzate) non è disponibile in Azure per enti pubblici e Azure gestito da cloud 21Vianet.

• Quando si usa l'agente di Monitoraggio di Azure con Monitoraggio di Azure collegamento privato Ambito, tutti i controller di dominio devono usare controller di dominio. I controller di dominio devono essere aggiunti alla configurazione dell'ambito di Monitoraggio di Azure collegamento privato tramite un collegamento privato.

Configurazione proxy

Le estensioni dell'agente di Monitoraggio di Azure per Windows e Linux possono comunicare tramite un server proxy o tramite un gateway di Log Analytics a Monitoraggio di Azure usando il protocollo HTTPS. Usarlo per macchine virtuali di Azure, set di scalabilità e Azure Arc per i server. Usare le impostazioni delle estensioni per la configurazione come descritto nei passaggi seguenti. Sono supportati sia l'autenticazione anonima che l'autenticazione di base usando un nome utente e una password.

Importante

La configurazione del proxy non è supportata per le metriche di Monitoraggio di Azure (anteprima) come destinazione. Se si inviano metriche a questa destinazione, viene usata la rete Internet pubblica senza alcun proxy.

Nota

L'impostazione del proxy di sistema Linux tramite variabili di ambiente come http_proxy e https_proxy è supportata solo quando si usa l'agente di Monitoraggio di Azure per Linux versione 1.24.2 o successiva. Per il modello di Azure Resource Manager ,se si configura un proxy, usare il modello di Resource Manager illustrato di seguito come esempio di come dichiarare le impostazioni proxy all'interno del modello di Resource Manager. Inoltre, un utente può impostare variabili di ambiente globali che vengono prelevate da tutti i servizi di sistema tramite la variabile DefaultEnvironment in /etc/systemd/system.conf.

Usare i comandi di Azure PowerShell negli esempi seguenti in base all'ambiente e alla configurazione.

VM Windows

Nessun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy senza autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy con autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

VM Linux

Nessun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy senza autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy con autenticazione

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Server abilitato per Windows Arc

Nessun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy senza autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy con autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Server abilitato per Linux Arc

Nessun proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy senza autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy con autenticazione

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Esempio di modello di criteri arm

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configurazione del gateway di Log Analytics

1. Seguire le indicazioni precedenti per configurare le impostazioni proxy nell'agente e specificare l'indirizzo IP e il numero di porta corrispondenti al server gateway. Se sono stati distribuiti più server gateway dietro un servizio di bilanciamento del carico, per la configurazione proxy dell'agente usare invece l'indirizzo IP virtuale del servizio di bilanciamento del carico.

2. Aggiungere l'URL dell'endpoint di configurazione per recuperare i controller di dominio all'elenco di elementi consentiti per il gateway:

   1. Eseguire Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Eseguire Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   Se si usano collegamenti privati nell'agente, è necessario aggiungere ancheDCEs.)

3. Aggiungere l'URL dell'endpoint di inserimento dati all'elenco elementi consentiti per il gateway:

   • Eseguire Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Per applicare le modifiche, riavviare il servizio gateway di Log Analytics (gateway OMS):

   1. Eseguire Stop-Service -Name <gateway-name>.
   2. Eseguire Start-Service -Name <gateway-name>.

Contenuto correlato

• Informazioni su come aggiungere un endpoint a una risorsa ambito di Monitoraggio di Azure collegamento privato.