Azure Monitor 代理支持使用直接代理、Log Analytics 网关和专用链接进行连接。 本文介绍如何为 Azure Monitor 代理定义网络设置并启用网络隔离。
虚拟网络服务标记
必须在虚拟机 (VM) 的虚拟网络上启用 Azure 虚拟网络服务标记。 AzureMonitor 和 AzureResourceManager 标记都是必需的。
可以使用 Azure 虚拟网络服务标记来定义对网络安全组、Azure 防火墙和用户定义的路由的网络访问控制。 创建安全规则和路由时,请使用服务标记代替特定 IP 地址。 对于无法使用 Azure 虚拟网络服务标记的情况,本文稍后介绍了防火墙要求。
注意
数据收集终结点 (DCE) 公共 IP 地址不包括在可用于定义 Azure Monitor 的网络访问控制的网络服务标记中。 如果你有自定义日志或 Internet Information Services (IIS) 日志数据收集规则 (DCR),请考虑允许这些方案的 DCE 公共 IP 地址工作,直到这些方案通过网络服务标记受到支持为止。
防火墙终结点
下表提供了防火墙必须提供访问权限的不同云环境终结点。 每个终结点都是到端口 443 的出站连接。
重要
必须对所有终结点禁用 HTTPS 检查。
| 终结点 | 目的 | 示例 |
|---|---|---|
global.handler.control.monitor.azure.cn |
访问控制服务 | 不適用 |
<virtual-machine-region-name>.handler.control.monitor.azure.cn |
提取特定计算机的 DCR | chinanorth2.handler.control.monitor.azure.cn |
<log-analytics-workspace-id>.ods.opinsights.azure.cn |
引入日志数据 | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.cn |
management.chinacloudapi.cn |
仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | 不適用 |
<virtual-machine-region-name>.monitoring.azure.cn |
仅当将时序数据(指标)发送到 Azure Monitor 自定义指标数据库时才需要 | chinanorth2.monitoring.azure.cn |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.cn |
引入日志数据 | 275test-01li.chinanorth2-1.canary.ingest.monitor.azure.cn |
将终结点中的后缀替换为下表中相应云的后缀:
| 云 | 后缀 |
|---|---|
| Azure 商业版 | .com |
| Azure 政府 | .us |
| 由世纪互联运营的 Microsoft Azure | .cn |
注意
如果在代理上使用专用链接,必须仅添加专用 DCE。 使用专用链接或专用 DCE 时,代理不使用上表中列出的非专用终结点。
Azure Monitor 指标(自定义指标)预览版在 Azure 政府云和由世纪互联运营的 Azure 云中不可用。
将 Azure Monitor 代理与 Azure Monitor 专用链接范围配合使用时,所有 DCR 都必须使用 DCE。 必须通过专用链接将 DCE 添加到 Azure Monitor 专用链接范围配置。
代理配置
适用于 Windows 和 Linux 的 Azure Monitor 代理扩展可以通过代理服务器或通过 Log Analytics 网关使用 HTTPS 协议与 Azure Monitor 进行通信。 将其用于 Azure VM、规模集和 Azure Arc for servers。 将扩展设置用于配置,如以下步骤所述。 匿名身份验证和基本身份验证(使用用户名/密码)都受支持。
重要
已启用 Azure Arc 的服务器不支持 OMS 网关用于代理连接、专用链接连接和公共终结点连接选项。
重要
Azure Monitor 指标(预览版)不支持代理配置作为目标。 如果将指标发送到此目标,则将使用没有任何代理的公共 Internet。
注意
仅当使用适用于 Linux 的 Azure Monitor 代理 1.24.2 或更高版本时,才支持通过环境变量(如 http_proxy 和 https_proxy)设置 Linux 系统代理。 对于 Azure 资源管理器模板(ARM 模板),如果配置代理,请使用此处显示的 ARM 模板作为有关如何在 ARM 模板中声明代理设置的示例。 此外,用户还可以通过 /etc/systemd/system.conf 中的 DefaultEnvironment 变量设置所有系统服务选取的全局环境变量。
根据环境和配置使用以下示例中的 Azure PowerShell 命令。
无代理
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
不带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
带身份验证的代理
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
将代理配置还原为默认值
若要将代理配置还原为默认值,可以定义 $settingsString = ''{};如以下示例所示:
$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location chinanorth -> > SettingString $settingsString
Log Analytics 网关配置
按照上述指导在代理上配置代理设置,并提供与网关服务器对应的 IP 地址和端口号。 如果在负载均衡器后面安装了多个网关服务器,对于代理配置,请改用负载均衡器的虚拟 IP 地址。
将用于提取 DCR 的配置终结点 URL 添加到网关的允许列表中:
- 运行
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.cn。 - 运行
Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.cn。
(如果在代理上使用专用链接,还必须添加 DCE。)
- 运行
将数据引入终结点 URL 添加到网关的允许列表中:
- 运行
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.cn。
- 运行
要应用更改,请重启 Log Analytics 网关(OMS 网关)服务:
- 运行
Stop-Service -Name <gateway-name>。 - 运行
Start-Service -Name <gateway-name>。
- 运行