Azure Monitor 代理网络配置

项目
11/04/2024

Azure Monitor 代理支持使用直接代理、Log Analytics 网关和专用链接进行连接。本文介绍如何为 Azure Monitor 代理定义网络设置并启用网络隔离。

虚拟网络服务标记

必须在虚拟机的虚拟网络上启用 Azure 虚拟网络服务标记。 AzureMonitor 和 AzureResourceManager 标记都是必需的。

Azure 虚拟网络服务标记可用于定义对网络安全组、Azure 防火墙和用户定义的路由的网络访问控制。创建安全规则和路由时，请使用服务标记代替特定 IP 地址。对于无法使用 Azure 虚拟网络服务标记的场景，防火墙要求如下。

注意

数据收集终结点公共 IP 地址不是上述网络服务标记的一部分。如果你有自定义日志或 IIS 日志数据收集规则，请考虑允许这些场景的数据收集终结点公共 IP 地址工作，直到这些场景受网络服务标记支持为止。

防火墙终结点

对于不同的云，下表提供了防火墙需要提供访问权限的终结点。每个都是到端口 443 的出站连接。

重要

必须对所有终结点禁用 HTTPS 检查。

终结点	目的	示例
`global.handler.control.monitor.azure.cn`	访问控制服务 -
`<virtual-machine-region-name>`.handler.control.monitor.azure.cn	提取特定计算机的数据收集规则	chinanorth2.handler.control.monitor.azure.cn
`<log-analytics-workspace-id>`.ods.opinsights.azure.cn	引入日志数据	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.cn
`<data-collection-endpoint>.<virtual-machine-region-name>`.ingest.monitor.azure.cn	仅当将数据发送到 Log Analytics 自定义日志表时才需要	275test-01li.chinanorth2-1.canary.ingest.monitor.azure.cn

对于不同的云，请将终结点中的后缀替换为下表中的后缀。

云	后缀
Azure 商业版	.com
Azure 政府	.us
由世纪互联运营的 Microsoft Azure	.cn

注意

如果在代理上使用专用链接，必须仅添加专用数据收集终结点 (DCE)。使用专用链接/数据收集终结点时，代理不使用上面列出的非专用终结点。 Azure Monitor 指标（自定义指标）预览版在世纪互联云运营的 Azure 中不可用。

注意

将 AMA 与 AMPLS 配合使用时，所有数据收集规则都必须使用数据收集终结点。必须使用专用链接将这些 DCE 添加到 AMPLS 配置

代理配置

适用于 Windows 和 Linux 的 Azure Monitor 代理扩展可以使用 HTTPS 协议通过代理服务器或 Log Analytics 网关与 Azure Monitor 进行通信。请将其用于 Azure 虚拟机、Azure 虚拟机规模集和 Azure Arc for servers。将扩展设置用于配置，如以下步骤所述。匿名身份验证和基本身份验证（使用用户名/密码）都受支持。

重要

Azure Monitor 指标（公共预览版）不支持将代理配置作为目标。如果将指标发送到此目标，则将使用没有任何代理的公共 Internet。

注意

仅支持使用适用于 Linux 的 Azure Monitor 代理 1.24.2 及更高版本通过环境变量（如 http_proxy 和 https_proxy）设置 Linux 系统代理。对于 ARM 模板，如果有代理配置，请按照下面的 ARM 模板示例在 ARM 模板中声明代理设置。此外，用户还可以通过 /etc/systemd/system.conf 中的 DefaultEnvironment 变量设置所有系统服务选取的“全局”环境变量。

在以下示例中使用 PowerShell 命令，具体取决于你的环境和配置：

无代理

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

不带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

无代理

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

不带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

带身份验证的代理

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

无代理

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

不带身份验证的代理

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

带身份验证的代理

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

无代理

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

不带身份验证的代理

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

带身份验证的代理

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "chinaeast",
              "chinaeast2",
              "chinanorth",
              "chinanorth2",
              "chinanorth3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics 网关配置

按照上述指导在代理上配置代理设置，并提供与网关服务器对应的 IP 地址和端口号。如果已经在负载均衡器后面部署了多个网关服务器，代理配置会改为该负载均衡器的虚拟 IP 地址。
将“配置终结点 URL”添加到网关 Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.cnAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.cn 的允许列表中，以提取数据收集规则。（如果在代理上使用专用链接，还必须添加数据收集终结点。）
将数据引入终结点 URL 添加到网关 Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.cn 的允许列表中。
重启“OMS 网关”服务以应用更改 Stop-Service -Name <gateway-name> 和 Start-Service -Name <gateway-name>。

后续步骤

将终结点添加到 AMPLS 资源。

通过

Azure Monitor 代理网络配置

虚拟网络服务标记

防火墙终结点

代理配置

Log Analytics 网关配置

后续步骤

其他资源