Netwerkconfiguratie van Azure Monitor-agent
Azure Monitor Agent biedt ondersteuning voor het maken van verbinding met behulp van directe proxy's, Log Analytics-gateway en privékoppelingen. In dit artikel wordt uitgelegd hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor Azure Monitor Agent.
Servicetags voor virtueel netwerk
De servicetags van het virtuele Azure-netwerk moeten zijn ingeschakeld op het virtuele netwerk voor de virtuele machine. Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.
Azure Virtual Network-servicetags kunnen worden gebruikt voor het definiëren van netwerktoegangsbeheer voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin servicetags voor virtuele Netwerken van Azure niet kunnen worden gebruikt, worden de firewallvereisten hieronder gegeven.
Notitie
Openbare IP-adressen van eindpunten voor gegevensverzameling maken geen deel uit van de hierboven genoemde netwerkservicetags. Als u aangepaste logboeken of regels voor het verzamelen van IIS-logboekgegevens hebt, kunt u overwegen om de openbare IP-adressen van het eindpunt voor gegevensverzameling voor deze scenario's te laten werken totdat deze scenario's worden ondersteund door netwerkservicetags.
Firewall-eindpunten
De volgende tabel bevat de eindpunten waartoe firewalls toegang moeten bieden voor verschillende clouds. Elk is een uitgaande verbinding met poort 443.
Belangrijk
Voor alle eindpunten moet HTTPS-inspectie worden uitgeschakeld.
Eindpunt | Doel | Opmerking |
---|---|---|
global.handler.control.monitor.azure.com |
Toegangsbeheerservice - | |
<virtual-machine-region-name> .handler.control.monitor.azure.com |
Regels voor het verzamelen van gegevens ophalen voor een specifieke computer | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id> .ods.opinsights.azure.com |
Logboekgegevens opnemen | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com | Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor | - |
<virtual-machine-region-name> .monitoring.azure.com |
Alleen nodig als tijdreeksgegevens (metrische gegevens) worden verzonden naar de aangepaste database met metrische gegevens van Azure Monitor | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name> .ingest.monitor.azure.com |
Alleen nodig als gegevens worden verzonden naar de aangepaste logboektabel van Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Vervang het achtervoegsel in de eindpunten door het achtervoegsel in de volgende tabel voor verschillende clouds.
Cloud | Achtervoegsel |
---|---|
Azure Commercial | com. |
Azure Government | .ons |
Microsoft Azure beheerd door 21Vianet | .Cn |
Notitie
Als u privékoppelingen op de agent gebruikt, moet u alleen de eindpunten voor het verzamelen van persoonlijke gegevens (DCE's) toevoegen. De agent maakt geen gebruik van de niet-privé-eindpunten die hierboven worden vermeld bij het gebruik van privékoppelingen/eindpunten voor gegevensverzameling. De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.
Notitie
Wanneer u AMA met AMPLS gebruikt, moeten al uw gegevensverzamelingsregels eindpunten voor gegevensverzameling gebruiken. Die DCE's moeten worden toegevoegd aan de AMPLS-configuratie met behulp van private link
Proxyconfiguratie
De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor virtuele Azure-machines, Azure Virtual Machine Scale Sets en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.
Belangrijk
Proxyconfiguratie wordt niet ondersteund voor metrische gegevens van Azure Monitor (openbare preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.
Notitie
Het instellen van een Linux-systeemproxy via omgevingsvariabelen zoals http_proxy
en https_proxy
wordt alleen ondersteund met behulp van Azure Monitor Agent voor Linux versie 1.24.2 en hoger. Als u een proxyconfiguratie hebt voor de ARM-sjabloon, volgt u het voorbeeld van de ARM-sjabloon hieronder met de declaratie van de proxy-instelling in de ARM-sjabloon. Daarnaast kan een gebruiker globale omgevingsvariabelen instellen die worden opgehaald door alle systeemservices via de Variabele DefaultEnvironment in /etc/systemd/system.conf.
Gebruik PowerShell-opdrachten in de volgende voorbeelden, afhankelijk van uw omgeving en configuratie.:
Geen proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy zonder verificatie
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy met verificatie
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuratie van Log Analytics-gateway
- Volg de bovenstaande richtlijnen voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, is de proxyconfiguratie van de agent het virtuele IP-adres van de load balancer.
- Voeg de URL van het configuratie-eindpunt toe om regels voor gegevensverzameling op te halen naar de acceptatielijst voor de gateway
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
. (Als u privékoppelingen op de agent gebruikt, moet u ook de eindpunten voor gegevensverzameling toevoegen.) - Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
. - Start de OMS Gateway-service opnieuw op om de wijzigingen
Stop-Service -Name <gateway-name>
toe te passen enStart-Service -Name <gateway-name>
.