Azure Monitor エージェントのネットワーク構成
Azure Monitor エージェントでは、直接プロキシ、Log Analytics ゲートウェイ、プライベート リンクを使用して接続をサポートしています。 この記事では、ネットワーク設定を定義して、Azure Monitor エージェントのネットワークの分離を有効にする方法について説明します。
仮想ネットワーク サービス タグ
仮想マシン (VM) の仮想ネットワークで Azure 仮想ネットワークサービス タグを有効にする必要があります。 AzureMonitor と AzureResourceManager の両方のタグが必要です。
Azure 仮想ネットワークのサービス タグを使用して、ネットワーク セキュリティ グループ、Azure Firewall、ユーザー定義ルートでネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 Azure 仮想ネットワークのサービス タグを使用できないシナリオについて、この記事で後ほどファイアウォールの要件について説明します。
Note
データ収集エンドポイント (DCE) パブリック IP アドレスは、Azure Monitor のネットワーク アクセス制御を定義するために使用できるネットワーク サービス タグには含まれません。 カスタム ログまたはインターネット インフォメーション サービス (IIS) ログ データ収集規則 (DCR) がある場合は、これらのシナリオがネットワーク サービス タグでサポートされるまで、これらのシナリオに対してデータ収集エンドポイントのパブリック IP アドレスが機能することを許可することを検討してください。
ファイアウォールのエンドポイント
次の表は、ファイアウォールで異なるクラウドに対してアクセスを提供する必要があるエンドポイントを示しています。 各エンドポイントは、ポート 443 への送信接続です。
重要
すべてのエンドポイントについて、HTTPS 検査を無効にする必要があります。
| エンドポイント | 目的 | 例 |
|---|---|---|
global.handler.control.monitor.azure.com |
コントロール サービスにアクセスする | 適用なし |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
特定のマシンの DCR をフェッチする | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
ログ データの取り込み | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | 適用なし |
<virtual-machine-region-name>.monitoring.azure.com |
Azure Monitor のカスタム メトリック データベースに時系列データ (メトリック) を送信する場合にのみ必要です | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Log Analytics カスタム ログ テーブルにデータを送信する場合にのみ必要 | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
それぞれのクラウドに対して、エンドポイントのサフィックスを次の表のサフィックスに置き換えます。
| クラウド | 敬称 |
|---|---|
| Azure Commercial | .com |
| Azure Government | .us |
| 21Vianet によって運営される Microsoft Azure | .cn |
Note
エージェントでプライベート リンクを使用する場合は、プライベート DCE のみを追加する必要があります。 プライベート リンクまたはプライベート DCE を使用する場合、エージェントでは前の表に一覧表示した非プライベート エンドポイントは使用されません。
Azure Monitor メトリック (カスタム メトリック) プレビューは、Azure Government と 21Vianet によって運営される Microsoft Azure クラウドでは使用できません。
Azure Monitor プライベート リンク スコープで Azure Monitor エージェントを使用する場合、すべての DCR で DCE を使用する必要があります。 DCE は、プライベート リンク経由で Azure Monitor のプライベート リンク スコープの構成に追加する必要があります。
[プロキシ構成]
Windows や Linux 用の Azure Monitor エージェント拡張機能では、HTTPS プロトコルを使用することで、プロキシ サーバーまたは Log Analytics ゲートウェイのいずれかを経由して、Azure Monitor と通信できます。 これは、Azure VM、スケール セット、Azure Arc for server に使用します。 次の手順で説明するように、構成に拡張機能の設定を使用します。 匿名認証と、ユーザー名とパスワードを使用する基本認証の両方がサポートされています。
重要
プロキシの構成は、宛先としては Azure Monitor メトリック (プレビュー) ではサポートされていません。 この宛先にメトリックを送信する場合は、プロキシなしでパブリック インターネットが使われます。
Note
http_proxy や https_proxy などの環境変数を使用した Linux システム プロキシの設定は、Linux 用 Azure Monitor エージェント バージョン 1.24.2 以降を使用する場合のみサポートされます。 Azure Resource Manager テンプレート (ARM テンプレート) でプロキシを構成する場合は、ARM テンプレート内でプロキシ設定を宣言する方法の例として、次に示す ARM テンプレートを使用します。 また、ユーザーは 、/etc/systemd/system.conf の DefaultEnvironment 変数を使用して、すべての systemd サービスによって取得される 「グローバル」環境変数を設定できます。
次の例の Azure PowerShell コマンドは、環境と構成に基づいて使用します。
プロキシなし
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
認証なしのプロキシ
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
認証ありのプロキシ
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics ゲートウェイ構成
前のガイダンスに従って、エージェントでプロキシ設定を構成し、ゲートウェイ サーバーに対応する IP アドレスとポート番号を指定します。 ロード バランサーの背後に複数のゲートウェイ サーバーをデプロイしている場合、エージェントのプロキシ構成にロード バランサーの仮想 IP アドレスを代わりに使用します。
ゲートウェイの許可リストにデータ収集ルールをフェッチするための構成エンドポイント URL を追加します。
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comを実行します。Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comを実行します。
(エージェントでプライベート リンクを使っている場合は、DCE も追加する必要があります。)
ゲートウェイの許可リストにデータ インジェスト エンドポイント URL を追加します。
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.comを実行します。
変更を適用するには、Log Analytics ゲートウェイ (OMS ゲートウェイ) サービスを再起動します。
Stop-Service -Name <gateway-name>を実行します。Start-Service -Name <gateway-name>を実行します。
関連するコンテンツ
- Azure Monitor プライベート リンク スコープ リソースにエンドポイントを追加する方法について説明します。