Konfiguracja sieci agenta usługi Azure Monitor

Agent usługi Azure Monitor obsługuje połączenia przy użyciu bezpośrednich serwerów proxy, bramy usługi Log Analytics i łączy prywatnych. W tym artykule opisano sposób definiowania ustawień sieci i włączania izolacji sieci dla agenta usługi Azure Monitor.

Tagi usługi sieci wirtualnej

Tagi usługi Azure Virtual Network muszą być włączone w sieci wirtualnej dla maszyny wirtualnej. Wymagane są zarówno tagi AzureMonitor, jak i AzureResourceManager .

Tagi usługi Azure Virtual Network umożliwiają definiowanie mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras. W przypadku scenariuszy, w których nie można używać tagów usługi Azure Virtual Network, wymagania dotyczące zapory zostały opisane w dalszej części tego artykułu.

Uwaga

Publiczne adresy IP punktu końcowego zbierania danych (DCE) nie są uwzględniane w tagach usługi sieciowej, których można użyć do definiowania mechanizmów kontroli dostępu do sieci dla usługi Azure Monitor. Jeśli masz niestandardowe dzienniki lub reguły zbierania danych dzienników internetowych usług informacyjnych (IIS), rozważ zezwolenie na publiczne adresy IP dcE dla tych scenariuszy, dopóki te scenariusze nie będą obsługiwane za pośrednictwem tagów usługi sieciowej.

Punkty końcowe zapory

Poniższa tabela zawiera punkty końcowe, do których zapory muszą zapewnić dostęp dla różnych chmur. Każdy punkt końcowy jest połączeniem wychodzącym z portem 443.

Ważne

W przypadku wszystkich punktów końcowych inspekcja HTTPS musi być wyłączona.

Punkt końcowy	Purpose	Przykład
global.handler.control.monitor.azure.com	Uzyskiwanie dostępu do usługi kontroli	Nie dotyczy
<virtual-machine-region-name>.handler.control.monitor.azure.com	Pobieranie kontrolerów domeny dla określonej maszyny	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Pozyskiwanie danych dziennika	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	Nie dotyczy
<virtual-machine-region-name>.monitoring.azure.com	Wymagane tylko w przypadku wysyłania danych szeregów czasowych (metryk) do niestandardowej bazy danych metryk usługi Azure Monitor	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Wymagane tylko w przypadku wysyłania danych do niestandardowej tabeli dzienników usługi Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Zastąp sufiks w punktach końcowych sufiksem w poniższej tabeli dla odpowiednich chmur:

Chmura	Przyrostek
Azure Commercial	.com
Azure Government	.us
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	.cn

Uwaga

• Jeśli używasz linków prywatnych na agencie, musisz dodać tylko prywatne kontrolery domeny. Agent nie używa punktów końcowych innych niżprivate wymienionych w poprzedniej tabeli podczas korzystania z linków prywatnych lub prywatnych kontrolerów domeny.

• Metryki usługi Azure Monitor (metryki niestandardowe) w wersji zapoznawczej nie są dostępne w usługach Azure Government i Azure obsługiwanych przez chmury 21Vianet.

• W przypadku korzystania z agenta usługi Azure Monitor z zakresem usługi Azure Monitor Private Link wszystkie kontrolery domeny muszą używać kontrolerów domeny. Kontrolery domeny należy dodać do konfiguracji zakresu usługi Private Link usługi Azure Monitor za pośrednictwem łącza prywatnego.

Konfiguracja serwera proxy

Rozszerzenia agenta usługi Azure Monitor dla systemów Windows i Linux mogą komunikować się za pośrednictwem serwera proxy lub bramy usługi Log Analytics do usługi Azure Monitor przy użyciu protokołu HTTPS. Użyj jej dla maszyn wirtualnych platformy Azure, zestawów skalowania i usługi Azure Arc dla serwerów. Użyj ustawień rozszerzeń dla konfiguracji zgodnie z opisem w poniższych krokach. Obsługiwane są zarówno uwierzytelnianie anonimowe, jak i uwierzytelnianie podstawowe przy użyciu nazwy użytkownika i hasła.

Ważne

Konfiguracja serwera proxy nie jest obsługiwana dla metryk usługi Azure Monitor (wersja zapoznawcza) jako miejsca docelowego. Jeśli wyślesz metryki do tego miejsca docelowego, użyje publicznego Internetu bez żadnego serwera proxy.

Uwaga

Ustawianie serwera proxy systemu Linux za pomocą zmiennych środowiskowych, takich jak http_proxy i https_proxy jest obsługiwane tylko wtedy, gdy używasz agenta usługi Azure Monitor dla systemu Linux w wersji 1.24.2 lub nowszej. W przypadku szablonu usługi Azure Resource Manager (szablonu usługi ARM) w przypadku skonfigurowania serwera proxy użyj szablonu usługi ARM pokazanego tutaj jako przykład sposobu deklarowania ustawień serwera proxy wewnątrz szablonu usługi ARM. Ponadto użytkownik może ustawić globalne zmienne środowiskowe, które są pobierane przez wszystkie usługi systemd za pośrednictwem zmiennej DefaultEnvironment w /etc/systemd/system.conf.

Użyj poleceń programu Azure PowerShell w poniższych przykładach na podstawie środowiska i konfiguracji.

Maszyna wirtualna z systemem Windows

Brak serwera proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Maszyna wirtualna z systemem Linux

Brak serwera proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Serwer proxy bez uwierzytelniania

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Serwer proxy z uwierzytelnianiem

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serwer z obsługą usługi Windows Arc

Brak serwera proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Serwer proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Serwer z obsługą usługi Linux Arc

Brak serwera proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Serwer proxy bez uwierzytelniania

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Serwer proxy z uwierzytelnianiem

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Przykład szablonu zasad usługi ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguracja bramy usługi Log Analytics

1. Postępuj zgodnie z poprzednimi wskazówkami, aby skonfigurować ustawienia serwera proxy na agencie i podać adres IP i numer portu odpowiadający serwerowi bramy. Jeśli wdrożono wiele serwerów bramy za modułem równoważenia obciążenia, zamiast tego użyj wirtualnego adresu IP modułu równoważenia obciążenia.

2. Dodaj adres URL punktu końcowego konfiguracji, aby pobrać kontrolery domeny do listy dozwolonych dla bramy:

   1. Uruchom polecenie Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Uruchom polecenie Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Jeśli używasz linków prywatnych na agencie, musisz również dodać DCE.)

3. Dodaj adres URL punktu końcowego pozyskiwania danych do listy dozwolonych bramy:

   • Uruchom program Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Aby zastosować zmiany, uruchom ponownie usługę bramy usługi Log Analytics (OMS Gateway):

   1. Uruchom polecenie Stop-Service -Name <gateway-name>.
   2. Uruchom polecenie Start-Service -Name <gateway-name>.

Powiązana zawartość

• Dowiedz się, jak dodać punkt końcowy do zasobu zakresu usługi Private Link usługi Azure Monitor.