Configuração de rede do Agente do Azure Monitor

O Agente do Azure Monitor dá suporte a conexões usando proxies diretos, um gateway do Log Analytics e links privados. Este artigo descreve como definir configurações de rede e habilitar o isolamento de rede para o Agente do Azure Monitor.

Marcas de serviço de rede virtual

As marcas de serviço de Rede Virtual do Azure devem estar habilitadas na rede virtual para a máquina virtual (VM). As marcas AzureMonitor e AzureResourceManager são necessárias.

Você pode usar as marcas de serviço de Rede Virtual do Azure para definir controles de acesso à rede em grupos de segurança de rede, Firewall do Azure e rotas definidas pelo usuário. Use marcas de serviço em vez de endereços IP específicos ao criar regras e rotas de segurança. Para cenários em que as marcas de serviço de Rede Virtual do Azure não podem ser usadas, os requisitos de firewall serão descritos posteriormente neste artigo.

Observação

Os endereços IP públicos do ponto de extremidade de coleta de dados (DCE) não estão incluídos nas mar as de serviço de rede que você pode usar para definir controles de acesso à rede para o Azure Monitor. Se você tiver logs personalizados ou regras de coleta de dados de log de Serviços de Informações da Internet (IIS) (DCRs), considere permitir os endereços IP públicos do DCE para que esses cenários funcionem até que esses cenários sejam suportados por meio de marcas de serviço de rede.

Pontos de extremidade de firewall

A tabela a seguir fornece os pontos de extremidade aos quais os firewalls devem fornecer acesso para diferentes nuvens. Cada ponto de extremidade é uma conexão de saída para a porta 443.

Importante

Para todos os pontos de extremidade, a inspeção HTTPS precisa ser desabilitada.

Ponto de extremidade	Finalidade	Exemplo
global.handler.control.monitor.azure.com	Acessar o serviço de controle	Não aplicável
<virtual-machine-region-name>.handler.control.monitor.azure.com	Buscar DCRs para um computador específico	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingerir dados de log	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Necessário apenas se você enviar dados de séries temporais (métricas) para um banco de dados de métricas personalizadas do Azure Monitor	Não aplicável
<virtual-machine-region-name>.monitoring.azure.com	Necessário apenas se você enviar dados de séries temporais (métricas) para um banco de dados de métricas personalizadas do Azure Monitor	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Necessário apenas se você enviar dados para uma tabela de logs personalizados do Log Analytics	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Substitua o sufixo nos pontos de extremidade pelo sufixo da tabela a seguir para as respectivas nuvens:

Nuvem	Sufixo
Azure Commercial	.com
Azure Governamental	.us
Microsoft Azure operado pela 21Vianet	.cn

Observação

• Se você usar links privados no agente, deverá adicionar somente DCEs privados. O agente não usa os pontos de extremidade não privados listados na tabela anterior quando você usa links privados ou DCEs privados.

• A visualização de métricas do Azure Monitor (métricas personalizadas) não está disponível nas nuvens do Azure Governamental e no Azure operado por 21Vianet.

• Quando você usa o Agente do Azure Monitor com Escopo de Link Privado do Azure Monitor, todas as suas DCRs devem usar DCEs. Os DCEs devem ser adicionados à configuração do Escopo de Link Privado do Azure Monitor por meio de um link privado.

Configuração de proxy

As extensões do Agente do Azure Monitor para Windows e Linux podem se comunicar por meio de um servidor proxy ou de um gateway do Log Analytics com o Azure Monitor usando o protocolo HTTPS. Use-o para VMs do Azure, conjuntos de dimensionamento e Azure Arc para servidores. Use as configurações das extensões para configuração, conforme descrito nas etapas a seguir. Há suporte tanto para a autenticação anônima quanto para a autenticação básica usando um nome de usuário e uma senha.

Importante

Não há suporte para a configuração de proxy para Métricas do Azure Monitor (versão prévia) como destino. Se você enviar métricas para este destino, ele usará a Internet pública sem qualquer proxy.

Observação

Só há suporte para a configuração do proxy do sistema Linux por meio de variáveis de ambiente como http_proxy e https_proxy quando você usa o Agente do Azure Monitor para Linux versão 1.24.2 ou posterior. Para o modelo do Azure Resource Manager (modelo do ARM), se você configurar um proxy, use o modelo do ARM mostrado aqui como exemplo de como declarar as configurações de proxy dentro do modelo do ARM. Além disso, um usuário pode definir variáveis de ambiente globais que são captadas por todos os serviços systemd via a variável DefaultEnvironment em /etc/systemd/system.conf.

Use os comandos do Azure PowerShell nos exemplos a seguir com base no seu ambiente e na sua configuração.

VM Windows

Nenhum proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sem autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy com autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

VM Linux

Nenhum proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sem autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy com autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Servidor habilitado para o Windows Arc

Nenhum proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sem autenticação

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy com autenticação

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Servidor habilitado para Linux Arc

Nenhum proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy sem autenticação

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy com autenticação

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuração do gateway do Log Analytics

1. Siga as diretrizes anteriores para definir as configurações de proxy no agente e fornecer o endereço IP e o número da porta que correspondem ao servidor de gateway. Se você implantou vários servidores de gateway atrás de um balanceador de cargar, para a configuração de proxy do agente, use o endereço IP virtual do balanceador de carga.

2. Adicione a URL do ponto de extremidade de configuração para buscar DCRs à lista de permitidos para o gateway:

   1. Execute Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Execute Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Se você usar links privados no agente, deverá adicionar também os DCEs.)

3. Adicione a URL do ponto de extremidade de ingestão de dados à lista de permitidos para o gateway:

   • Execute Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Para aplicar as alterações, reinicie o serviço de gateway do Log Analytics (Gateway do OMS):

   1. Execute Stop-Service -Name <gateway-name>.
   2. Execute Start-Service -Name <gateway-name>.

Conteúdo relacionado

• Saiba como adicionar um ponto de extremidade a um recurso de Escopo de Link Privado do Azure Monitor.