Netwerkconfiguratie van Azure Monitor Agent
De Azure Monitor-agent ondersteunt verbindingen met behulp van directe proxy's, een Log Analytics-gateway en privékoppelingen. In dit artikel wordt beschreven hoe u netwerkinstellingen definieert en netwerkisolatie inschakelt voor de Azure Monitor-agent.
Servicetags voor virtueel netwerk
Servicetags van Azure Virtual Network moeten zijn ingeschakeld in het virtuele netwerk voor de virtuele machine (VM). Zowel AzureMonitor - als AzureResourceManager-tags zijn vereist.
U kunt servicetags van Azure Virtual Network gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Voor scenario's waarin azure Virtual Network-servicetags niet kunnen worden gebruikt, worden de firewallvereisten verderop in dit artikel beschreven.
Notitie
Openbare IP-adressen (DCE) voor gegevensverzameling zijn niet opgenomen in de netwerkservicetags die u kunt gebruiken om netwerktoegangsbeheer voor Azure Monitor te definiëren. Als u aangepaste logboeken of IIS-regels (Internet Information Services) voor logboekgegevensverzameling (DCR's) hebt, kunt u overwegen de openbare IP-adressen van de DCE voor deze scenario's te laten werken totdat deze scenario's worden ondersteund via netwerkservicetags.
Firewall-eindpunten
De volgende tabel bevat de eindpunten waartoe firewalls toegang moeten bieden voor verschillende clouds. Elk eindpunt is een uitgaande verbinding met poort 443.
Belangrijk
Voor alle eindpunten moet HTTPS-inspectie worden uitgeschakeld.
| Eindpunt | Doel | Opmerking |
|---|---|---|
global.handler.control.monitor.azure.com |
Toegang tot de beheerservice | Niet van toepassing |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
DCR's ophalen voor een specifieke computer | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Logboekgegevens opnemen | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
Alleen nodig als u tijdreeksgegevens (metrische gegevens) naar een aangepaste metrische gegevensdatabase van Azure Monitor verzendt | Niet van toepassing |
<virtual-machine-region-name>.monitoring.azure.com |
Alleen nodig als u tijdreeksgegevens (metrische gegevens) naar een aangepaste metrische gegevensdatabase van Azure Monitor verzendt | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Alleen nodig als u gegevens naar een aangepaste logboektabel van Log Analytics verzendt | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Vervang het achtervoegsel in de eindpunten door het achtervoegsel in de volgende tabel voor respectieve clouds:
| Cloud | Achtervoegsel |
|---|---|
| Azure Commercial | .com |
| Azure Government | .us |
| Microsoft Azure beheerd door 21Vianet | .cn |
Notitie
Als u privékoppelingen op de agent gebruikt, moet u alleen privé-DCE's toevoegen. De agent gebruikt niet de niet-private-eindpunten die worden vermeld in de voorgaande tabel wanneer u privékoppelingen of privé-DCE's gebruikt.
De preview van metrische gegevens van Azure Monitor (aangepaste metrische gegevens) is niet beschikbaar in Azure Government en Azure beheerd door 21Vianet-clouds.
Wanneer u de Azure Monitor-agent gebruikt met Azure Monitor Private Link Scope, moeten al uw DCR's DCE's gebruiken. De DCE's moeten via een private link worden toegevoegd aan de azure Monitor Private Link-bereikconfiguratie.
Proxyconfiguratie
De Azure Monitor Agent-extensies voor Windows en Linux kunnen communiceren via een proxyserver of via een Log Analytics-gateway naar Azure Monitor met behulp van het HTTPS-protocol. Gebruik deze voor Azure-VM's, schaalsets en Azure Arc voor servers. Gebruik de instellingen voor extensies voor configuratie, zoals beschreven in de volgende stappen. Zowel anonieme verificatie als basisverificatie met behulp van een gebruikersnaam en wachtwoord worden ondersteund.
Belangrijk
Proxyconfiguratie wordt niet ondersteund voor metrische gegevens van Azure Monitor (preview) als bestemming. Als u metrische gegevens naar deze bestemming verzendt, wordt het openbare internet zonder proxy gebruikt.
Notitie
Het instellen van de Linux-systeemproxy via omgevingsvariabelen zoals http_proxy en https_proxy wordt alleen ondersteund wanneer u de Azure Monitor-agent voor Linux-versie 1.24.2 of hoger gebruikt. Als u een proxy configureert voor de Azure Resource Manager-sjabloon (ARM-sjabloon), gebruikt u de ARM-sjabloon die hier wordt weergegeven als voorbeeld van het declareren van de proxy-instellingen in de ARM-sjabloon. Een gebruiker kan ook globale omgevingsvariabelen instellen die door alle systeemservices worden opgehaald via de variabele DefaultEnvironment in /etc/systemd/system.conf.
Gebruik Azure PowerShell-opdrachten in de volgende voorbeelden op basis van uw omgeving en configuratie.
Geen proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy zonder verificatie
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy met verificatie
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuratie van Log Analytics-gateway
Volg de voorgaande richtlijnen voor het configureren van proxy-instellingen op de agent en geef het IP-adres en poortnummer op dat overeenkomt met de gatewayserver. Als u meerdere gatewayservers achter een load balancer hebt geïmplementeerd, gebruikt u voor de configuratie van de agentproxy in plaats daarvan het virtuele IP-adres van de load balancer.
Voeg de URL van het configuratie-eindpunt toe om DCR's op te halen in de acceptatielijst voor de gateway:
- Voer
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comuit. - Voer
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comuit.
(Als u privékoppelingen op de agent gebruikt, moet u ook de DCE's.)
- Voer
Voeg de eindpunt-URL voor gegevensopname toe aan de acceptatielijst voor de gateway:
- Voer
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.comuit.
- Voer
Als u de wijzigingen wilt toepassen, start u de Log Analytics-gatewayservice (OMS Gateway) opnieuw op:
- Voer
Stop-Service -Name <gateway-name>uit. - Voer
Start-Service -Name <gateway-name>uit.
- Voer
Gerelateerde inhoud
- Meer informatie over het toevoegen van een eindpunt aan een Azure Monitor Private Link-bereikresource.