你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Monitor 代理网络配置

Azure Monitor 代理支持使用直接代理、Log Analytics 网关和专用链接进行连接。 本文介绍如何为 Azure Monitor 代理定义网络设置并启用网络隔离。

虚拟网络服务标记

必须在虚拟机 (VM) 的虚拟网络上启用 Azure 虚拟网络服务标记。 AzureMonitor 和 AzureResourceManager 标记都是必需的。

可以使用 Azure 虚拟网络服务标记来定义对网络安全组Azure 防火墙和用户定义的路由的网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 对于无法使用 Azure 虚拟网络服务标记的情况,本文稍后介绍了防火墙要求。

注意

数据收集终结点 (DCE) 公共 IP 地址不包括在可用于定义 Azure Monitor 的网络访问控制的网络服务标记中。 如果你有自定义日志或 Internet Information Services (IIS) 日志数据收集规则 (DCR),请考虑允许这些场景的 DCE 公共 IP 地址工作,直到这些场景通过网络服务标记受到支持为止。

防火墙终结点

下表提供了对于不同的云,防火墙必须提供访问权限的终结点。 每个终结点都是到端口 443 的出站连接。

重要

必须对所有终结点禁用 HTTPS 检查。

终结点 目的 示例
global.handler.control.monitor.azure.com 访问控制服务 不适用
<virtual-machine-region-name>.handler.control.monitor.azure.com 提取特定计算机的 DCR westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com 引入日志数据 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com 仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 不适用
<virtual-machine-region-name>.monitoring.azure.com 仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com 仅当将数据发送到 Log Analytics 自定义日志表时才需要 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

将终结点中的后缀替换为下表中相应云的后缀:

后缀
Azure 商业版 .com
Azure Government .us
由世纪互联运营的 Microsoft Azure .cn

注意

  • 如果在代理上使用专用链接,必须仅添加专用 DCE。 使用专用链接或专用 DCE 时,代理不使用上表中列出的非专用终结点。

  • Azure Monitor 指标(自定义指标)预览版在 Azure 政府和由世纪互联运营的 Azure 中不可用。

  • 将 Azure Monitor 代理与 Azure Monitor 专用链接范围配合使用时,所有 DCR 都必须使用 DCE。 必须通过专用链接将 DCE 添加到 Azure Monitor 专用链接范围配置。

代理配置

适用于 Windows 和 Linux 的 Azure Monitor 代理扩展可以通过代理服务器或通过 Log Analytics 网关使用 HTTPS 协议与 Azure Monitor 进行通信。 将其用于 Azure VM、规模集和 Azure Arc for servers。 将扩展设置用于配置,如以下步骤所述。 匿名身份验证和基本身份验证(使用用户名/密码)都受支持。

重要

Azure Monitor 指标(预览版)不支持代理配置作为目标。 如果将指标发送到此目标,则将使用没有任何代理的公共 Internet。

注意

仅当使用适用于 Linux 的 Azure Monitor 代理 1.24.2 或更高版本时,才支持通过环境变量(如 http_proxyhttps_proxy)设置 Linux 系统代理。 对于 Azure 资源管理器模板(ARM 模板),如果配置代理,请使用此处显示的 ARM 模板作为有关如何在 ARM 模板中声明代理设置的示例。 此外,用户还可以通过 /etc/systemd/system.conf 中的 DefaultEnvironment 变量设置所有系统服务选取的全局环境变量。

根据环境和配置使用以下示例中的 Azure PowerShell 命令。

无代理

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

不带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Log Analytics 网关配置

  1. 按照上述指导在代理上配置代理设置,并提供与网关服务器对应的 IP 地址和端口号。 如果在负载均衡器后面部署了多个网关服务器,对于代理程序代理配置,请改用负载均衡器的虚拟 IP 地址。

  2. 将用于提取 DCR 的配置终结点 URL 添加到网关的允许列表中:

    1. 运行 Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
    2. 运行 Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com

    (如果在代理上使用专用链接,还必须添加 DCE。)

  3. 将数据引入终结点 URL 添加到网关的允许列表中:

    • 运行 Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
  4. 要应用更改,请重启 Log Analytics 网关(OMS 网关)服务

    1. 运行 Stop-Service -Name <gateway-name>
    2. 运行 Start-Service -Name <gateway-name>