Azure Monitor 에이전트 네트워크 설정 정의
Azure Monitor 에이전트는 직접 프록시, Log Analytics 게이트웨이 및 프라이빗 링크를 사용하여 연결을 지원합니다. 이 문서에서는 네트워크 설정을 정의하고 네트워크 격리를 Azure Monitor 에이전트에 사용하도록 설정하는 방법에 대해 설명합니다.
가상 네트워크 서비스 태그
Azure Monitor 에이전트는 Azure 가상 네트워크 서비스 태그를 지원합니다. AzureMonitor 및 AzureResourceManager 태그가 모두 필요합니다.
Azure Virtual Network 서비스 태그를 사용하여 네트워크 보안 그룹, Azure Firewall 및 사용자 정의 경로에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙 및 경로를 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. Azure 가상 네트워크 서비스 태그를 사용할 수 없는 시나리오의 경우 방화벽 요구 사항은 다음과 같습니다.
방화벽 요구 사항
| 클라우드 | 엔드포인트 | 목적 | 포트 | Direction | HTTPS 검사 안 함 | 예시 |
|---|---|---|---|---|---|---|
| Azure Commercial | global.handler.control.monitor.azure.com | 액세스 제어 서비스 | 포트 443 | 아웃바운드 | 예 | - |
| Azure Commercial | <virtual-machine-region-name>.handler.control.monitor.azure.com |
특정 머신에 대한 데이터 수집 규칙 가져오기 | 포트 443 | 아웃바운드 | 예 | westus2.handler.control.monitor.azure.com |
| Azure Commercial | <log-analytics-workspace-id>.ods.opinsights.azure.com |
로그 데이터 수집 | 포트 443 | 아웃바운드 | 예 | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| Azure Commercial | management.azure.com | 시계열 데이터(메트릭)를 Azure Monitor 사용자 지정 메트릭 데이터베이스로 보내는 경우에만 필요 | 포트 443 | 아웃바운드 | 예 | - |
| Azure Commercial | <virtual-machine-region-name>.monitoring.azure.com |
시계열 데이터(메트릭)를 Azure Monitor 사용자 지정 메트릭 데이터베이스로 보내는 경우에만 필요 | 포트 443 | 아웃바운드 | 예 | westus2.monitoring.azure.com |
| Azure Commercial | <data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com |
Log Analytics 사용자 지정 로그 테이블에 데이터를 보내는 경우에만 필요 | 포트 443 | 아웃바운드 | 예 | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
| Azure Government | 위의 '.com'을 '.us'로 바꿉니다. | 위와 동일 | 위와 동일 | 위와 동일 | 위와 동일 | |
| 21Vianet에서 운영하는 Microsoft Azure | 위의 '.com'을 '.cn'으로 바꿉니다. | 위와 동일 | 위와 동일 | 위와 동일 | 위와 동일 |
참고 항목
에이전트에서 프라이빗 링크를 사용하는 경우 DCE(프라이빗 데이터 수집 엔드포인트)만 추가해야 합니다. 에이전트는 프라이빗 링크/데이터 수집 엔드포인트를 사용할 때 위에 나열된 프라이빗이 아닌 엔드포인트를 사용하지 않습니다. Azure Monitor 메트릭(사용자 지정 메트릭) 미리 보기는 21Vianet 클라우드에서 운영하는 Azure Government 및 Azure에서 사용할 수 없습니다.
프록시 구성
머신이 인터넷을 통해 통신하기 위해 프록시 서버에 연결하는 경우, 다음의 요구 사항을 검토하여 필요한 네트워크 구성을 이해합니다.
Windows 및 Linux용 Azure Monitor 에이전트 확장은 HTTPS 프로토콜을 사용하여 프록시 서버 또는 Log Analytics 게이트웨이를 통해 Azure Monitor와 통신할 수 있습니다. Azure 가상 머신, Azure 가상 머신 확장 집합 및 서버용 Azure Arc에 사용합니다. 다음 단계에 설명된 대로 구성에 대한 확장 설정을 사용합니다. 사용자 이름과 암호를 사용하여 익명 및 기본 인증이 모두 지원됩니다.
Important
프록시 구성은 대상으로 Azure Monitor 메트릭(공개 미리 보기)에 대해 지원되지 않습니다. 이 대상으로 메트릭을 보내는 경우 프록시 없이 공용 인터넷을 사용합니다.
이 순서도를 사용하여 먼저
Settings및ProtectedSettings매개 변수의 값을 결정합니다.
참고 항목
Linux용 Azure Monitor 에이전트 버전 1.24.2 이상과 같은
http_proxyhttps_proxy환경 변수를 통해 Linux 시스템 프록시 설정만 지원됩니다. ARM 템플릿의 경우 프록시 구성이 있는 경우 ARM 템플릿 내에서 프록시 설정을 선언하는 아래 ARM 템플릿 예제를 따르세요. 또한 사용자는 /etc/systemd/system.conf의 DefaultEnvironment 변수를 통해 모든 시스템 서비스에서 포착되는 "전역" 환경 변수를 설정할 수 있습니다.Settings및ProtectedSettings매개 변수 값을 확인한 후 Azure Monitor 에이전트를 배포할 때 이러한 다른 매개 변수를 제공합니다. 다음 예제와 같이 PowerShell 명령을 사용합니다.
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Log Analytics 게이트웨이 구성
- 이전 지침에 따라 에이전트에서 프록시 설정을 구성하고 게이트웨이 서버에 해당하는 IP 주소와 포트 번호를 제공합니다. 부하 분산 장치 뒤에 여러 게이트웨이 서버를 배포한 경우 에이전트 프록시 구성은 대신 부하 분산 장치의 가상 IP 주소입니다.
- 게이트웨이
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com의 허용 목록에 데이터 수집 규칙을 가져오려면 구성 엔드포인트 URL을 추가합니다. (에이전트에서 프라이빗 링크를 사용하는 경우 데이터 수집 엔드포인트도 추가해야 합니다.) - 게이트웨이
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com의 허용 목록에 데이터 수집 엔드포인트 URL을 추가합니다. - 변경 내용
Stop-Service -Name <gateway-name>및Start-Service -Name <gateway-name>을 적용하려면 OMS 게이트웨이 서비스를 다시 시작합니다.
다음 단계
- 엔드포인트를 컴퓨터에 연결
- Private Link를 사용하여 Azure Monitor 에이전트에 대한 네트워크 격리를 사용하도록 설정합니다.