Configuração de rede do Azure Monitor Agent
O Agente do Azure Monitor dá suporte a conexões usando proxies diretos, um gateway do Log Analytics e links privados. Este artigo descreve como definir configurações de rede e habilitar o isolamento de rede para o Azure Monitor Agent.
Etiquetas de serviço da rede virtual
As tags de serviço da Rede Virtual do Azure devem ser habilitadas na rede virtual para a máquina virtual (VM). As tags AzureMonitor e AzureResourceManager são necessárias.
Você pode usar marcas de serviço de Rede Virtual do Azure para definir controles de acesso à rede em grupos de segurança de rede, Firewall do Azure e rotas definidas pelo usuário. Use tags de serviço no lugar de endereços IP específicos ao criar regras de segurança e rotas. Para cenários em que as tags de serviço da Rede Virtual do Azure não podem ser usadas, os requisitos de firewall são descritos posteriormente neste artigo.
Nota
Os endereços IP públicos do ponto de extremidade de coleta de dados (DCE) não estão incluídos nas marcas de serviço de rede que você pode usar para definir controles de acesso à rede para o Azure Monitor. Se você tiver logs personalizados ou regras de coleta de dados de log (DCRs) do IIS (Serviços de Informações da Internet), considere permitir que os endereços IP públicos do DCE para esses cenários funcionem até que esses cenários sejam suportados por meio de tags de serviço de rede.
Pontos finais da firewall
A tabela a seguir fornece os pontos de extremidade aos quais os firewalls devem fornecer acesso para nuvens diferentes. Cada ponto de extremidade é uma conexão de saída com a porta 443.
Importante
Para todos os pontos de extremidade, a inspeção HTTPS deve ser desabilitada.
| Ponto final | Objetivo | Exemplo |
|---|---|---|
global.handler.control.monitor.azure.com |
Aceda ao serviço de controlo | Não aplicável |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
Buscar DCRs para uma máquina específica | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Ingerir dados de log | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
Necessário somente se você enviar dados de séries cronológicas (métricas) para um banco de dados de métricas personalizadas do Azure Monitor | Não aplicável |
<virtual-machine-region-name>.monitoring.azure.com |
Necessário somente se você enviar dados de séries cronológicas (métricas) para um banco de dados de métricas personalizadas do Azure Monitor | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Necessário somente se você enviar dados para uma tabela de logs personalizada do Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Substitua o sufixo nos pontos de extremidade pelo sufixo na tabela a seguir para as respetivas nuvens:
| Cloud | Sufixo |
|---|---|
| Azure Commercial | .com |
| Azure Government | .us |
| Microsoft Azure operado pela 21Vianet | .cn |
Nota
Se você usar links privados no agente, deverá adicionar apenas DCEs privados. O agente não usa os pontos de extremidade não privados listados na tabela anterior quando você usa links privados ou DCEs privados.
A visualização de métricas do Azure Monitor (métricas personalizadas) não está disponível no Azure Government e no Azure operado por nuvens 21Vianet.
Quando você usa o Agente do Azure Monitor com o Escopo de Link Privado do Azure Monitor, todos os DCRs devem usar DCEs. Os DCEs devem ser adicionados à configuração do Escopo de Link Privado do Azure Monitor por meio de um link privado.
Configuração do proxy
As extensões do Agente do Azure Monitor para Windows e Linux podem se comunicar por meio de um servidor proxy ou por meio de um gateway do Log Analytics para o Azure Monitor usando o protocolo HTTPS. Use-o para VMs do Azure, conjuntos de escala e Azure Arc para servidores. Use as definições de extensões para configuração conforme descrito nas etapas a seguir. Há suporte para autenticação anônima e autenticação básica usando um nome de usuário e senha.
Importante
Não há suporte para a configuração de proxy para o Azure Monitor Metrics (visualização) como destino. Se você enviar métricas para esse destino, ele usará a internet pública sem qualquer proxy.
Nota
A configuração do proxy do sistema Linux por meio de variáveis de ambiente como http_proxy e https_proxy é suportada somente quando você usa o Agente do Azure Monitor para Linux versão 1.24.2 ou posterior. Para o modelo do Azure Resource Manager (modelo ARM), se você configurar um proxy, use o modelo ARM mostrado aqui como um exemplo de como declarar as configurações de proxy dentro do modelo ARM. Além disso, um usuário pode definir variáveis de ambiente global que são captadas por todos os serviços systemd através da variável DefaultEnvironment em /etc/systemd/system.conf.
Use os comandos do Azure PowerShell nos exemplos a seguir com base em seu ambiente e configuração.
- VM do Windows
- VM do Linux
- Servidor habilitado para Windows Arc
- Servidor habilitado para Linux Arc
- Exemplo de modelo de política ARM
Sem proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy sem autenticação
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy com autenticação
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuração do gateway do Log Analytics
Siga as orientações anteriores para definir as configurações de proxy no agente e fornecer o endereço IP e o número da porta que correspondem ao servidor gateway. Se você implantou vários servidores gateway atrás de um balanceador de carga, para a configuração de proxy do agente, use o endereço IP virtual do balanceador de carga.
Adicione a URL do ponto de extremidade de configuração para buscar DCRs à lista de permissões do gateway:
- Execute
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com. - Execute
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.
(Se você usar links privados no agente, você também deve adicionar o DCEs.)
- Execute
Adicione a URL do ponto de extremidade de ingestão de dados à lista de permissões do gateway:
- Execute o
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
- Execute o
Para aplicar as alterações, reinicie o serviço de gateway do Log Analytics (OMS Gateway):
- Execute
Stop-Service -Name <gateway-name>. - Execute
Start-Service -Name <gateway-name>.
- Execute
Conteúdos relacionados
- Saiba como adicionar um ponto de extremidade a um recurso do Escopo de Link Privado do Azure Monitor.