Azure 監視器代理程式網路設定
Azure 監視器代理程序支援使用直接 Proxy、Log Analytics 閘道和私人連結的連線。 本文說明如何定義網路設定,並啟用 Azure 監視器代理程式的網路隔離。
虛擬網路服務標籤
必須在虛擬機 (VM) 的虛擬網路上啟用 Azure 虛擬網絡 服務標籤。 AzureMonitor 和 AzureResourceManager 標籤都是必要項目。
您可以使用 Azure 虛擬網絡 服務標籤,在網路安全組、Azure 防火牆 和使用者定義的路由上定義網路存取控制。 建立安全性規則和路由時,請以服務標籤取代特定的 IP 位址。 針對無法使用 Azure 虛擬網絡 服務標籤的案例,本文稍後會說明防火牆需求。
注意
數據收集端點 (DCE) 公用 IP 位址不包含在網路服務標籤中,您可以用來定義 Azure 監視器的網路存取控制。 如果您有自定義記錄或 網際網路資訊服務 (IIS) 記錄資料收集規則 (DCR),請考慮允許 DCE 的公用 IP 位址在這些案例中運作,直到透過網路服務標籤支援這些案例為止。
防火牆端點
下表提供防火牆必須針對不同雲端提供存取權的端點。 每個端點都是埠 443 的輸出連線。
重要
針對所有端點,必須停用 HTTPS 檢查。
| 端點 | 目標 | 範例 |
|---|---|---|
global.handler.control.monitor.azure.com |
訪問控制服務 | 不適用 |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
擷取特定電腦的 DCR | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
內嵌記錄數據 | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
management.azure.com |
只有在您將時間序列資料 (計量) 傳送至 Azure 監視器 自定義計量 資料庫時才需要 | 不適用 |
<virtual-machine-region-name>.monitoring.azure.com |
只有在您將時間序列資料 (計量) 傳送至 Azure 監視器 自定義計量 資料庫時才需要 | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
只有在將數據傳送至 Log Analytics 自定義記錄 數據表時才需要 | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
將端點中的後綴取代為下表中個別雲端的後綴:
| Cloud | 尾碼 |
|---|---|
| Azure Commercial | .com |
| Azure Government | .us |
| 由 21Vianet 營運的 Microsoft Azure | .cn |
注意
Proxy 組態
適用於 Windows 和 Linux 的 Azure 監視器代理程式延伸模組可以透過 Proxy 伺服器或 透過 Log Analytics 閘道 透過 HTTPS 通訊協定來與 Azure 監視器通訊。 將它用於適用於伺服器的 Azure VM、擴展集和 Azure Arc。 使用設定的擴充功能設定,如下列步驟所述。 支援使用使用者名稱和密碼進行匿名驗證和基本身份驗證。
重要
Azure 監視器計量 (預覽) 不支援 Proxy 設定作為目的地。 如果您將計量傳送至此目的地,它會使用公用因特網,而不需要任何 Proxy。
注意
只有在您使用適用於Linux 1.24.2版或更新版本的 Azure 監視器代理程式時,才支援透過和 https_proxy 等http_proxy環境變數設定 Linux 系統 Proxy。 針對 Azure Resource Manager 範本 (ARM 範本),如果您設定 Proxy,請使用此處顯示的 ARM 範本作為如何在 ARM 範本內宣告 Proxy 設定的範例。 此外,使用者可以透過 /etc/systemd/system.conf 中的 DefaultEnvironment 變數,設定所有 systemd 服務所挑選的全域環境變數。
根據您的環境和設定,在下列範例中使用 Azure PowerShell 命令。
沒有 Proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
沒有驗證的 Proxy
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
有驗證的 Proxy
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics 閘道設定
請遵循上述指引,在代理程式上設定 Proxy 設定,並提供對應至閘道伺服器的 IP 位址和埠號碼。 如果您在負載平衡器後方部署了多個閘道伺服器,請改用負載平衡器的虛擬IP位址進行代理程式 Proxy 設定。
將組態端點 URL 新增至網關的 allowlist 以擷取 DCR:
- 執行
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com。 - 執行
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com。
(如果您在代理程式上使用私人連結,您也必須新增 DCEs.)
- 執行
將數據擷取端點 URL 新增至閘道的 allowlist:
- 執行
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com。
- 執行
若要套用變更,請重新啟動Log Analytics 閘道 (OMS 閘道) 服務:
- 執行
Stop-Service -Name <gateway-name>。 - 執行
Start-Service -Name <gateway-name>。
- 執行