Configuração de rede do agente do Azure Monitor
O Azure Monitor Agent dá suporte à conexão usando proxies diretos, gateway do Log Analytics e links privados. Este artigo explica como definir configurações de rede e habilitar o isolamento de rede para o Azure Monitor Agent.
Etiquetas de serviço da rede virtual
As marcas de serviço de rede virtual do Azure devem ser habilitadas na rede virtual para a máquina virtual. As tags AzureMonitor e AzureResourceManager são necessárias.
As tags de serviço de rede virtual do Azure podem ser usadas para definir controles de acesso à rede em grupos de segurança de rede, Firewall do Azure e rotas definidas pelo usuário. Use tags de serviço no lugar de endereços IP específicos ao criar regras de segurança e rotas. Para cenários em que as tags de serviço de rede virtual do Azure não podem ser usadas, os requisitos de Firewall são fornecidos abaixo.
Nota
Os endereços IP públicos do ponto de extremidade de coleta de dados não fazem parte das tags de serviço de rede mencionadas acima. Se você tiver logs personalizados ou regras de coleta de dados de log do IIS, considere permitir que os endereços IP públicos do ponto de extremidade de coleta de dados para esses cenários funcionem até que esses cenários sejam suportados por marcas de serviço de rede.
Pontos de extremidade de firewall
A tabela a seguir fornece os pontos de extremidade aos quais os firewalls precisam fornecer acesso para nuvens diferentes. Cada um é uma conexão de saída para a porta 443.
Importante
Para todos os pontos de extremidade, a inspeção HTTPS deve ser desabilitada.
| Ponto final | Objetivo | Exemplo |
|---|---|---|
global.handler.control.monitor.azure.com |
Serviço de controlo de acessos - | |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
Obter regras de recolha de dados para uma máquina específica | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Ingerir dados de registos | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| management.azure.com | Necessário apenas se enviar dados de séries cronológicas (métricas) para a base de dados de métricas personalizadas do Azure Monitor | - |
<virtual-machine-region-name>.monitoring.azure.com |
Necessário apenas se enviar dados de séries cronológicas (métricas) para a base de dados de métricas personalizadas do Azure Monitor | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
Necessário apenas se enviar dados para a tabela de logs personalizada do Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Substitua o sufixo nos pontos de extremidade pelo sufixo na tabela a seguir para nuvens diferentes.
| Cloud | Sufixo |
|---|---|
| Azure Commercial | com. |
| Azure Government | .pt |
| Microsoft Azure operado pela 21Vianet | .cn |
Nota
Se você usar links privados no agente, deverá adicionar apenas os pontos de extremidade de coleta de dados privados (DCEs). O agente não usa os pontos de extremidade não privados listados acima ao usar links privados/pontos de extremidade de coleta de dados. A visualização do Azure Monitor Metrics (métricas personalizadas) não está disponível no Azure Government e no Azure operado pelas nuvens 21Vianet.
Nota
Ao usar o AMA com AMPLS, todas as suas Regras de Coleta de Dados devem usar Pontos de Extremidade de Coleta de Dados. Esses DCE's devem ser adicionados à configuração AMPLS usando link privado
Configuração do proxy
As extensões do Agente do Azure Monitor para Windows e Linux podem se comunicar por meio de um servidor proxy ou de um gateway do Log Analytics para o Azure Monitor usando o protocolo HTTPS. Utilize-o para máquinas virtuais do Azure, conjuntos de dimensionamento de máquinas virtuais do Azure e Azure Arc para servidores. Use as definições de extensões para configuração conforme descrito nas etapas a seguir. Há suporte para autenticação anônima e básica usando um nome de usuário e senha.
Importante
Não há suporte para a configuração de proxy para o Azure Monitor Metrics (visualização pública) como destino. Se você estiver enviando métricas para esse destino, ele usará a internet pública sem qualquer proxy.
Nota
Definir o proxy do sistema Linux por meio de variáveis de ambiente, como http_proxy e https_proxy só é suportado usando o Azure Monitor Agent para Linux versão 1.24.2 e superior. Para o modelo ARM, se você tiver configuração de proxy, siga o exemplo de modelo ARM abaixo declarando a configuração de proxy dentro do modelo ARM. Além disso, um usuário pode definir variáveis de ambiente "globais" que são captadas por todos os serviços systemd através da variável DefaultEnvironment em /etc/systemd/system.conf.
Use comandos do PowerShell nos exemplos a seguir, dependendo do seu ambiente e configuração.:
- VM do Windows
- VM do Linux
- Servidor habilitado para Windows Arc
- Servidor habilitado para Linux Arc
- Exemplo de modelo de política ARM
Sem proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy sem autenticação
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy com autenticação
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configuração do gateway do Log Analytics
- Siga as orientações acima para definir as configurações de proxy no agente e fornecer o endereço IP e o número da porta que correspondem ao servidor gateway. Se você implantou vários servidores gateway atrás de um balanceador de carga, a configuração de proxy do agente é o endereço IP virtual do balanceador de carga.
- Adicione a URL do ponto de extremidade de configuração para buscar regras de coleta de dados à lista de permissões do gateway
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com. (Se você estiver usando links privados no agente, também deverá adicionar os pontos de extremidade de coleta de dados.) - Adicione a URL do ponto de extremidade de ingestão de dados à lista de permissões do gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com. - Reinicie o serviço OMS Gateway para aplicar as alterações
Stop-Service -Name <gateway-name>eStart-Service -Name <gateway-name>.