你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 代理网络配置
Azure Monitor 代理支持使用直接代理、Log Analytics 网关和专用链接进行连接。 本文介绍如何为 Azure Monitor 代理定义网络设置并启用网络隔离。
虚拟网络服务标记
必须在虚拟机 (VM) 的虚拟网络上启用 Azure 虚拟网络服务标记。 AzureMonitor 和 AzureResourceManager 标记都是必需的。
可以使用 Azure 虚拟网络服务标记来定义对网络安全组、Azure 防火墙和用户定义的路由的网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 对于无法使用 Azure 虚拟网络服务标记的情况,本文稍后介绍了防火墙要求。
注意
数据收集终结点 (DCE) 公共 IP 地址不包括在可用于定义 Azure Monitor 的网络访问控制的网络服务标记中。 如果你有自定义日志或 Internet Information Services (IIS) 日志数据收集规则 (DCR),请考虑允许这些场景的 DCE 公共 IP 地址工作,直到这些场景通过网络服务标记受到支持为止。
防火墙终结点
下表提供了对于不同的云,防火墙必须提供访问权限的终结点。 每个终结点都是到端口 443 的出站连接。
重要
必须对所有终结点禁用 HTTPS 检查。
终结点 | 目的 | 示例 |
---|---|---|
global.handler.control.monitor.azure.com |
访问控制服务 | 不适用 |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
提取特定计算机的 DCR | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
引入日志数据 | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | 不适用 |
<virtual-machine-region-name>.monitoring.azure.com |
仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
仅当将数据发送到 Log Analytics 自定义日志表时才需要 | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
将终结点中的后缀替换为下表中相应云的后缀:
云 | 后缀 |
---|---|
Azure 商业版 | .com |
Azure Government | .us |
由世纪互联运营的 Microsoft Azure | .cn |
注意
代理配置
适用于 Windows 和 Linux 的 Azure Monitor 代理扩展可以通过代理服务器或通过 Log Analytics 网关使用 HTTPS 协议与 Azure Monitor 进行通信。 将其用于 Azure VM、规模集和 Azure Arc for servers。 将扩展设置用于配置,如以下步骤所述。 匿名身份验证和基本身份验证(使用用户名/密码)都受支持。
重要
Azure Monitor 指标(预览版)不支持代理配置作为目标。 如果将指标发送到此目标,则将使用没有任何代理的公共 Internet。
注意
仅当使用适用于 Linux 的 Azure Monitor 代理 1.24.2 或更高版本时,才支持通过环境变量(如 http_proxy
和 https_proxy
)设置 Linux 系统代理。 对于 Azure 资源管理器模板(ARM 模板),如果配置代理,请使用此处显示的 ARM 模板作为有关如何在 ARM 模板中声明代理设置的示例。 此外,用户还可以通过 /etc/systemd/system.conf 中的 DefaultEnvironment 变量设置所有系统服务选取的全局环境变量。
根据环境和配置使用以下示例中的 Azure PowerShell 命令。
无代理
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
不带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics 网关配置
按照上述指导在代理上配置代理设置,并提供与网关服务器对应的 IP 地址和端口号。 如果在负载均衡器后面部署了多个网关服务器,对于代理程序代理配置,请改用负载均衡器的虚拟 IP 地址。
将用于提取 DCR 的配置终结点 URL 添加到网关的允许列表中:
- 运行
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com
。 - 运行
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com
。
(如果在代理上使用专用链接,还必须添加 DCE。)
- 运行
将数据引入终结点 URL 添加到网关的允许列表中:
- 运行
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com
。
- 运行
要应用更改,请重启 Log Analytics 网关(OMS 网关)服务:
- 运行
Stop-Service -Name <gateway-name>
。 - 运行
Start-Service -Name <gateway-name>
。
- 运行