Azure Monitor 에이전트 네트워크 구성

Azure Monitor 에이전트는 직접 프록시, Log Analytics 게이트웨이 및 프라이빗 링크를 사용하여 연결을 지원합니다. 이 문서에서는 네트워크 설정을 정의하고 Azure Monitor 에이전트에 대한 네트워크 격리를 사용하도록 설정하는 방법을 설명합니다.

가상 네트워크 서비스 태그

VM(가상 머신)에 대한 가상 네트워크에서 Azure Virtual Network 서비스 태그 를 사용하도록 설정해야 합니다. AzureMonitor 및 AzureResourceManager 태그가 모두 필요합니다.

Azure Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹, Azure Firewall 및 사용자 정의 경로에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙 및 경로를 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. Azure Virtual Network 서비스 태그를 사용할 수 없는 시나리오의 경우 방화벽 요구 사항은 이 문서의 뒷부분에 설명되어 있습니다.

참고 항목

DCE(데이터 수집 엔드포인트) 공용 IP 주소는 Azure Monitor에 대한 네트워크 액세스 제어를 정의하는 데 사용할 수 있는 네트워크 서비스 태그에 포함되지 않습니다. 사용자 지정 로그 또는 IIS(인터넷 정보 서비스) DCR(로그 데이터 수집 규칙)이 있는 경우 이러한 시나리오가 네트워크 서비스 태그를 통해 지원될 때까지 이러한 시나리오에 대한 DCE의 공용 IP 주소가 작동하도록 허용하는 것이 좋습니다.

방화벽 엔드포인트

다음 표에서는 방화벽이 다른 클라우드에 대한 액세스를 제공해야 하는 엔드포인트를 제공합니다. 각 엔드포인트는 포트 443에 대한 아웃바운드 연결입니다.

Important

모든 엔드포인트에 대해 HTTPS 검사를 사용하지 않도록 설정해야 합니다.

엔드포인트	목적	예시
global.handler.control.monitor.azure.com	제어 서비스에 액세스	해당 없음
<virtual-machine-region-name>.handler.control.monitor.azure.com	특정 머신에 대한 DCR 가져오기	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	로그 데이터 수집	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Azure Monitor 사용자 지정 메트릭 데이터베이스에 시계열 데이터(메트릭 )를 보내는 경우에만 필요	해당 없음
<virtual-machine-region-name>.monitoring.azure.com	Azure Monitor 사용자 지정 메트릭 데이터베이스에 시계열 데이터(메트릭 )를 보내는 경우에만 필요	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Log Analytics 사용자 지정 로그 테이블에 데이터를 보내는 경우에만 필요	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

엔드포인트의 접미사를 각 클라우드에 대한 다음 표의 접미사로 바꿉니다.

클라우드	접미사
Azure Commercial	.com
Azure Government	.us
21Vianet에서 운영하는 Microsoft Azure	.cn

참고 항목

• 에이전트에서 프라이빗 링크를 사용하는 경우 프라이빗 DCE만 추가해야 합니다. 에이전트는 프라이빗 링크 또는 프라이빗 DCE를 사용하는 경우 이전 표에 나열된 권한 없는 엔드포인트를 사용하지 않습니다.

• Azure Monitor 메트릭(사용자 지정 메트릭) 미리 보기는 21Vianet 클라우드에서 운영하는 Azure Government 및 Azure에서 사용할 수 없습니다.

• Azure Monitor Private Link 범위에서 Azure Monitor 에이전트를 사용하는 경우 모든 DCR에서 DCE를 사용해야 합니다. DCE는 프라이빗 링크를 통해 Azure Monitor Private Link 범위 구성에 추가되어야 합니다.

프록시 구성

Windows 및 Linux용 Azure Monitor 에이전트 확장은 HTTPS 프로토콜을 사용하여 프록시 서버를 통해 또는 Log Analytics 게이트웨이를 통해 Azure Monitor로 통신할 수 있습니다. 서버용 Azure VM, 확장 집합 및 Azure Arc에 사용합니다. 다음 단계에 설명된 대로 구성에 대한 확장 설정을 사용합니다. 익명 인증과 사용자 이름과 암호를 사용한 기본 인증이 모두 지원됩니다.

Important

프록시 구성은 Azure Monitor 메트릭(미리 보기)에 대상으로 지원되지 않습니다. 이 대상으로 메트릭을 보내는 경우 프록시 없이 공용 인터넷을 사용합니다.

참고 항목

Linux용 Azure Monitor 에이전트 버전 1.24.2 이상을 사용하는 경우에만 지원되는 https_proxy 환경 변수를 http_proxy 통해 Linux 시스템 프록시를 설정합니다. ARM 템플릿(Azure Resource Manager 템플릿)의 경우 프록시를 구성하는 경우 ARM 템플릿 내에서 프록시 설정을 선언하는 방법의 예로 여기에 표시된 ARM 템플릿을 사용합니다. 또한 사용자는 /etc/systemd/system.conf의 DefaultEnvironment 변수를 통해 모든 시스템 서비스에서 선택하는 전역 환경 변수를 설정할 수 있습니다.

환경 및 구성에 따라 다음 예제에서 Azure PowerShell 명령을 사용합니다.

Windows VM

프록시 없음

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증이 없는 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증을 사용한 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Linux VM

프록시 없음

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

인증이 없는 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

인증을 사용한 프록시

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc 지원 서버

프록시 없음

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

인증이 없는 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

인증을 사용한 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc 지원 서버

프록시 없음

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

인증이 없는 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

인증을 사용한 프록시

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM 정책 템플릿 예제

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics 게이트웨이 구성

1. 위의 지침에 따라 에이전트에서 프록시 설정을 구성하고 게이트웨이 서버에 해당하는 IP 주소 및 포트 번호를 제공합니다. 부하 분산 장치 뒤에 여러 게이트웨이 서버를 배포한 경우 에이전트 프록시 구성을 위해 부하 분산 장치의 가상 IP 주소를 대신 사용합니다.

2. 구성 엔드포인트 URL을 추가하여 게이트웨이에 대한 허용 목록에 DCR을 가져옵니다.

   1. Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com을 실행합니다.
   2. Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com을 실행합니다.

   (에이전트에서 프라이빗 링크를 사용하는 경우 다음을 추가 해야 합니다.DCE.)

3. 게이트웨이에 대한 허용 목록에 데이터 수집 엔드포인트 URL을 추가합니다.

   • Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com를 실행합니다.

4. 변경 내용을 적용하려면 Log Analytics 게이트웨이(OMS 게이트웨이) 서비스를 다시 시작합니다.

   1. Stop-Service -Name <gateway-name>을 실행합니다.
   2. Start-Service -Name <gateway-name>을 실행합니다.

관련 콘텐츠

• Azure Monitor Private Link 범위 리소스에 엔드포인트를 추가하는 방법을 알아봅니다.