Definiera nätverksinställningar för Azure Monitor Agent

Azure Monitor Agent stöder anslutning med hjälp av direkta proxyservrar, Log Analytics-gateway och privata länkar. Den här artikeln beskriver hur du definierar nätverksinställningar och aktiverar nätverksisolering för Azure Monitor Agent.

Tjänsttaggar för virtuellt nätverk

Azure Monitor Agent har stöd för tjänsttaggar för virtuella Azure-nätverk. Både AzureMonitor - och AzureResourceManager-taggar krävs.

Azure Virtual Network-tjänsttaggar kan användas för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper, Azure Firewall och användardefinierade vägar. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler och vägar. För scenarier där tjänsttaggar för virtuella Azure-nätverk inte kan användas anges brandväggskraven nedan.

Brandväggskrav

Moln	Slutpunkt	Syfte	Port	Riktning	Förbikoppling HTTPS-inspektion	Exempel
Azure Commercial	global.handler.control.monitor.azure.com	Åtkomstkontrolltjänst	Port 443	Utgående	Ja	-
Azure Commercial	<virtual-machine-region-name>.handler.control.monitor.azure.com	Hämta datainsamlingsregler för en viss dator	Port 443	Utgående	Ja	westus2.handler.control.monitor.azure.com
Azure Commercial	<log-analytics-workspace-id>.ods.opinsights.azure.com	Mata in loggdata	Port 443	Utgående	Ja	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
Azure Commercial	management.azure.com	Behövs endast om du skickar tidsseriedata (mått) till azure monitor custom metrics database	Port 443	Utgående	Ja	-
Azure Commercial	<virtual-machine-region-name>.monitoring.azure.com	Behövs endast om du skickar tidsseriedata (mått) till azure monitor custom metrics database	Port 443	Utgående	Ja	westus2.monitoring.azure.com
Azure Commercial	<data-collection-endpoint>.<virtual-machine-region-name>. ingest.monitor.azure.com	Behövs endast om du skickar data till log analytics-tabellen anpassade loggar	Port 443	Utgående	Ja	275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com
Azure Government	Ersätt ".com" ovan med ".us"	Samma som ovan	Samma som ovan	Samma som ovan	Samma som ovan
Microsoft Azure drivs av 21Vianet	Ersätt ".com" ovan med ".cn"	Samma som ovan	Samma som ovan	Samma som ovan	Samma som ovan

Kommentar

Om du använder privata länkar på agenten får du bara lägga till slutpunkterna för privat datainsamling (DCE). Agenten använder inte de icke-privata slutpunkter som anges ovan när du använder privata länkar/slutpunkter för datainsamling. Förhandsversionen av Azure Monitor Metrics (anpassade mått) är inte tillgänglig i Azure Government och Azure som drivs av 21Vianet-moln.

Proxykonfiguration

Om datorn ansluter via en proxyserver för att kommunicera via Internet granskar du följande krav för att förstå vilken nätverkskonfiguration som krävs.

Azure Monitor-agenttilläggen för Windows och Linux kan kommunicera antingen via en proxyserver eller en Log Analytics-gateway till Azure Monitor med hjälp av HTTPS-protokollet. Använd den för virtuella Azure-datorer, Skalningsuppsättningar för virtuella Azure-datorer och Azure Arc för servrar. Använd tilläggsinställningarna för konfiguration enligt beskrivningen i följande steg. Både anonym och grundläggande autentisering med hjälp av ett användarnamn och lösenord stöds.

Viktigt!

Proxykonfiguration stöds inte för Azure Monitor Metrics (offentlig förhandsversion) som mål. Om du skickar mått till det här målet använder det offentliga Internet utan proxy.

1. Använd det här flödesschemat för att fastställa värdena för parametrarna Settings och ProtectedSettings först.

   

   Kommentar

   Ställa in Linux-systemproxy via miljövariabler som http_proxy och https_proxy stöds endast med Hjälp av Azure Monitor Agent för Linux version 1.24.2 och senare. Om du har proxykonfiguration för ARM-mallen följer du arm-mallexemplet nedan och deklarerar proxyinställningen i ARM-mallen. Dessutom kan en användare ange "globala" miljövariabler som hämtas av alla systembaserade tjänster via variabeln DefaultEnvironment i /etc/systemd/system.conf.

2. När du har fastställt parametervärdena Settings och ProtectedSettings anger du dessa andra parametrar när du distribuerar Azure Monitor Agent. Använd PowerShell-kommandon, som du ser i följande exempel:

Virtuell Windows-dator

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Virtuell Linux-dator

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion <type-handler-version> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Windows Arc-aktiverad server

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Linux Arc-aktiverad server

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}

New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Exempel på ARM-principmall

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Konfiguration av Log Analytics-gateway

1. Följ anvisningarna ovan för att konfigurera proxyinställningar för agenten och ange DEN IP-adress och det portnummer som motsvarar gatewayservern. Om du har distribuerat flera gatewayservrar bakom en lastbalanserare är agentproxykonfigurationen den virtuella IP-adressen för lastbalanseraren i stället.
2. Lägg till url:en för konfigurationsslutpunkten för att hämta datainsamlingsregler till listan över tillåtna för gatewayenAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com . (Om du använder privata länkar i agenten måste du också lägga till slutpunkterna för datainsamlingen.)
3. Lägg till url:en för datainmatningsslutpunkten i listan över tillåtna för gatewayen Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
4. Starta om OMS Gateway-tjänsten för att tillämpa ändringarna Stop-Service -Name <gateway-name> och Start-Service -Name <gateway-name>.

Nästa steg

• Associera slutpunkt till datorer
• Aktivera nätverksisolering för Azure Monitor-agenten med hjälp av Private Link.