Définir les paramètres réseau de l’agent Azure Monitor

L’agent Azure Monitor prend en charge la connexion avec des proxys directs, la passerelle Log Analytics et des liaisons privées. Cet article explique comment définir les paramètres réseau et activer l’isolation réseau pour l’agent Azure Monitor.

Balises de service du réseau virtuel

L’agent Azure Monitor prend en charge les étiquettes de service de réseau virtuel Azure. Les étiquettes AzureMonitor et AzureResourceManager sont toutes les deux requises.

Vous pouvez utiliser des étiquettes de service du réseau virtuel Azure pour définir des contrôles d’accès au réseau sur des groupes de sécurité du réseau, Pare-feu Azure et des routes définies par l’utilisateur. Utilisez des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de sécurité et des routes. Pour découvrir des scénarios où les étiquettes de service du réseau virtuel Azure ne peuvent pas être utilisées, les exigences du pare-feu sont indiquées ci-dessous.

Configuration requise du pare-feu

Cloud	Point de terminaison	Objectif	Port	Direction	Ignorer l’inspection HTTPS	Exemple
Azure Commercial	global.handler.control.monitor.azure.com	Service de contrôle d'accès	Port 443	Règle de trafic sortant	Oui	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Récupérer les règles de collecte de données pour un ordinateur spécifique	Port 443	Règle de trafic sortant	Oui	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Ingérer des données de journal	Port 443	Règle de trafic sortant	Oui	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor	Port 443	Règle de trafic sortant	Oui	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor	Port 443	Règle de trafic sortant	Oui	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com	Uniquement nécessaire en cas d’envoi de données vers une table Journaux personnalisés Log Analytics	Port 443	Règle de trafic sortant	Oui	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Remplacez « .com » ci-dessus par « .us »	Identique à ce qui précède	Identique à ce qui précède	Identique à ce qui précède	Identique à ce qui précède
Microsoft Azure géré par 21Vianet	Remplacez « .com » ci-dessus par « .cn »	Identique à ce qui précède	Identique à ce qui précède	Identique à ce qui précède	Identique à ce qui précède

Remarque

Si vous utilisez des liaisons privées sur l’agent, vous devez uniquement ajouter les points de terminaison de collecte de données privées. L’agent n’utilise pas les points de terminaison non privés répertoriés ci-dessus lors de l’utilisation de liens privés/points de terminaison de collecte de données. La version préliminaire des métriques Azure Monitor (métriques personnalisées) n’est pas disponible dans les clouds Azure Government et Azure géré par 21Vianet.

Configuration proxy

Si la machine se connecte via un serveur proxy pour communiquer sur Internet, passez en revue les exigences ci-dessous pour comprendre la configuration réseau requise.

Les extensions de l’agent Azure Monitor pour Windows et Linux peuvent communiquer via un serveur proxy ou une passerelle Log Analytics avec Azure Monitor en utilisant le protocole HTTPS. Utilisez-le pour les machines virtuelles Azure, les groupes de machines virtuelles identiques Azure et Azure Arc pour serveurs. Utilisez les paramètres d’extension pour la configuration, comme décrit dans les étapes suivantes. L’authentification anonyme et l’authentification de base à l’aide d’un nom d’utilisateur et d’un mot de passe sont toutes les deux prises en charge.

Important

La configuration du proxy n’est pas prise en charge pour les métriques Azure Monitor (préversion publique) comme destination. Si vous envoyez des métriques à cette destination, elle utilisera l’Internet public sans proxy.

1. Utilisez cet organigramme pour déterminer en premier lieu les valeurs des paramètres Settings et ProtectedSettings.

   

   Remarque

   La définition du proxy système Linux via des variables d’environnement telles que http_proxy et https_proxy est uniquement prise en charge avec l’agent Azure Monitor pour Linux version 1.24.2 et ultérieures. Pour le modèle ARM, si vous avez une configuration de proxy, veuillez suivre l’exemple de modèle ARM ci-dessous déclarant le paramètre de proxy à l’intérieur du modèle ARM. En outre, un utilisateur peut définir des variables d’environnement « globales » qui sont récupérées par tous les services système via la variable DefaultEnvironment dans /etc/systemd/systemd/system.conf.

2. Après avoir déterminé les valeurs des paramètres Settings et ProtectedSettings, fournissez ces autres paramètres quand vous déployez l’agent Azure Monitor. Utilisez des commandes PowerShell, comme illustré dans les exemples suivants :

Machine virtuelle Windows

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Machine virtuelle Linux

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Serveur avec Windows Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Serveur avec Linux Arc

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exemple de modèle de stratégie ARM

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Configuration de la passerelle Log Analytics

1. Suivez les instructions précédentes pour configurer les paramètres de proxy sur l’agent, et spécifiez l’adresse IP et le numéro de port correspondant au serveur de passerelle. Si vous avez déployé plusieurs serveurs de passerelle derrière un équilibreur de charge, la configuration du proxy sur l’agent doit indiquer l’adresse IP virtuelle de l’équilibreur de charge à la place.
2. Ajoutez l’URL du point de terminaison de configuration pour récupérer les règles de collecte de données dans la liste d’autorisation de la passerelleAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Si vous utilisez des liaisons privées sur l’agent, vous devez également ajouter les points de terminaison de collecte de données.)
3. Ajoutez l’URL du point de terminaison d’ingestion de données à la liste d’autorisation de la passerelle Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Redémarrez le service de passerelle OMS pour appliquer les modifications Stop-Service -Name <gateway-name> et Start-Service -Name <gateway-name>.

Étapes suivantes

• Associer un point de terminaison à des machines
• Activer l’isolation réseau pour l’agent Azure Monitor à l’aide de Private Link.