Nätverkskonfiguration för Azure Monitor Agent

Azure Monitor-agenten stöder anslutningar med hjälp av direkta proxyservrar, en Log Analytics-gateway och privata länkar. I den här artikeln beskrivs hur du definierar nätverksinställningar och aktiverar nätverksisolering för Azure Monitor-agenten.

Tjänsttaggar för virtuellt nätverk

Azure Virtual Network-tjänsttaggar måste vara aktiverade i det virtuella nätverket för den virtuella datorn (VM). Både AzureMonitor - och AzureResourceManager-taggar krävs.

Du kan använda azure virtual network-tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper, Azure Firewall och användardefinierade vägar. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler och vägar. För scenarier där Azure Virtual Network-tjänsttaggar inte kan användas beskrivs brandväggskraven senare i den här artikeln.

Kommentar

Offentliga IP-adresser för datainsamling (DCE) ingår inte i de nätverkstjänsttaggar som du kan använda för att definiera nätverksåtkomstkontroller för Azure Monitor. Om du har anpassade loggar eller IIS-regler för loggdatainsamling (DCR) kan du överväga att tillåta att DCE:s offentliga IP-adresser för dessa scenarier fungerar tills dessa scenarier stöds via nätverkstjänsttaggar.

Brandväggsslutpunkter

Följande tabell innehåller de slutpunkter som brandväggar måste ge åtkomst till för olika moln. Varje slutpunkt är en utgående anslutning till port 443.

Viktigt!

För alla slutpunkter måste HTTPS-inspektionen vara inaktiverad.

Slutpunkt	Syfte	Exempel
global.handler.control.monitor.azure.com	Få åtkomst till kontrolltjänsten	Inte tillämpligt
<virtual-machine-region-name>.handler.control.monitor.azure.com	Hämta domänkontrollanter för en specifik dator	westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com	Mata in loggdata	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Behövs endast om du skickar tidsseriedata (mått) till en anpassad Azure Monitor-måttdatabas	Inte tillämpligt
<virtual-machine-region-name>.monitoring.azure.com	Behövs endast om du skickar tidsseriedata (mått) till en anpassad Azure Monitor-måttdatabas	westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Behövs endast om du skickar data till en log analytics-tabell med anpassade loggar	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Ersätt suffixet i slutpunkterna med suffixet i följande tabell för respektive moln:

Moln	Suffix
Azure Commercial	.com
Azure Government	.us
Microsoft Azure drivs av 21Vianet	.cn

Kommentar

• Om du använder privata länkar på agenten måste du bara lägga till privata domänkontrollanter. Agenten använder inte de icke-privata slutpunkter som anges i föregående tabell när du använder privata länkar eller privata domänkontrollanter.

• Förhandsversionen av Azure Monitor-mått (anpassade mått) är inte tillgänglig i Azure Government och Azure som drivs av 21Vianet-moln.

• När du använder Azure Monitor-agenten med Azure Monitor Private Link-omfånget måste alla domänkontrollanter använda domänkontrollanter. Domänkontrollanterna måste läggas till i Azure Monitor Private Link-omfångskonfigurationen via en privat länk.

Proxykonfiguration

Azure Monitor Agent-tilläggen för Windows och Linux kan kommunicera antingen via en proxyserver eller via en Log Analytics-gateway till Azure Monitor med hjälp av HTTPS-protokollet. Använd den för virtuella Azure-datorer, skalningsuppsättningar och Azure Arc för servrar. Använd tilläggsinställningarna för konfiguration enligt beskrivningen i följande steg. Både anonym autentisering och grundläggande autentisering med hjälp av ett användarnamn och lösenord stöds.

Viktigt!

Proxykonfiguration stöds inte för Azure Monitor Metrics (förhandsversion) som mål. Om du skickar mått till det här målet använder det offentliga Internet utan proxy.

Kommentar

Ställa in Linux-systemproxy via miljövariabler som http_proxy och https_proxy stöds endast när du använder Azure Monitor-agenten för Linux version 1.24.2 eller senare. Om du konfigurerar en proxy för Azure Resource Manager-mallen (ARM-mall) använder du ARM-mallen som visas här som ett exempel på hur du deklarerar proxyinställningarna i ARM-mallen. Dessutom kan en användare ange globala miljövariabler som hämtas av alla systembaserade tjänster via variabeln DefaultEnvironment i /etc/systemd/system.conf.

Använd Azure PowerShell-kommandon i följande exempel baserat på din miljö och konfiguration.

Virtuell Windows-dator

Ingen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy utan autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy med autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuell Linux-dator

Ingen proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy utan autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Proxy med autentisering

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-aktiverad server

Ingen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy utan autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy med autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc-aktiverad server

Ingen proxy

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Proxy utan autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings 

Proxy med autentisering

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exempel på ARM-principmall

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration av Log Analytics-gateway

1. Följ föregående vägledning för att konfigurera proxyinställningar för agenten och ange IP-adressen och portnumret som motsvarar gatewayservern. Om du har distribuerat flera gateway-servrar bakom en lastbalanserare använder du i stället lastbalanserarens virtuella IP-adress för agentproxykonfigurationen.

2. Lägg till url:en för konfigurationsslutpunkten för att hämta DCR:er till listan över tillåtna för gatewayen:

   1. Kör Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
   2. Kör Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.

   (Om du använder privata länkar på agenten måste du också lägga till Domänkontrollanter.)

3. Lägg till url:en för datainmatningsslutpunkten i listan över tillåtna för gatewayen:

   • Kör Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.

4. Om du vill tillämpa ändringarna startar du om OmS Gateway-tjänsten (Log Analytics Gateway):

   1. Kör Stop-Service -Name <gateway-name>.
   2. Kör Start-Service -Name <gateway-name>.

Relaterat innehåll

• Lär dig hur du lägger till en slutpunkt i en Azure Monitor Private Link-omfångsresurs.