如果受监视的应用程序或基础结构位于防火墙后面,则需要配置网络访问,以允许与 Azure Monitor 服务进行通信。
Azure Monitor 使用 服务标记,提供一种动态方法来管理网络访问,尤其是在使用 Azure 网络安全组、Azure 防火墙或下一代防火墙(NGFW)可以实现服务标记时。 对于不支持服务标记的混合或本地资源或网络外围控件,请以编程方式检索等效的 IP 地址列表,或将其下载为 JSON 文件。 有关详细信息,请参阅 本地服务标记。
若要涵盖所有必要的异常,请使用服务标记 ActionGroup、ApplicationInsightsAvailability和 AzureMonitor。 服务标记不会替换客户 Azure 资源和其他服务标记资源之间跨租户通信所需的验证和身份验证检查。
出站流量
以下每个 Azure Monitor 服务部分都需要出站流量规则(目标),除非另有说明。 例如,可用性监视和作组 Webhook 需要入站防火墙规则(源)。
Application Insights 引入
需要在防火墙中打开以下出站端口,以允许 Application Insights SDK 或 Application Insights 代理将数据发送到门户。
Note
这些终结点支持 IPv4 和 IPv6。
| Purpose | Hostname | 类型 | Ports |
|---|---|---|---|
| Telemetry | dc.applicationinsights.azure.cndc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.cn |
Global Global Global Regional |
443 |
| 实时指标 | live.applicationinsights.azure.cnrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.cn例如 {region}chinanorth2 |
Global Global Global Regional |
443 |
Application Insights 代理配置
只有在进行更改时,才需要 Application Insights 代理配置。
| Purpose | Hostname | Ports |
|---|---|---|
| Configuration | management.core.chinacloudapi.cn |
443 |
| Configuration | management.chinacloudapi.cn |
443 |
| Configuration | login.chinacloudapi.cn |
443 |
| Configuration | login.partner.microsoftonline.cn |
443 |
| Configuration | secure.aadcdn.partner.microsoftonline-p.cn |
443 |
| Configuration | auth.gfx.ms |
443 |
| Configuration | login.live.com |
443 |
| Installation |
globalcdn.nuget.org、、packages.nuget.orgapi.nuget.org/v3/index.jsonnuget.org、、 api.nuget.orgdc.services.vsallin.net |
443 |
可用性测试
可用性测试需要入站防火墙访问,并且最好使用服务标记和自定义标头进行配置。 有关详细信息,请参阅 防火墙后面的可用性测试。
日志查询 API 终结点
从 2025 年 7 月 1 日起,Log Analytics 会强制实施 TLS 1.2 或更高版本进行安全通信。 有关详细信息,请参阅 传输中的安全日志数据。
| Purpose | Hostname | Ports |
|---|---|---|
| Application Insights | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.ioapi.applicationinsights.azure.cn*.api.applicationinsights.azure.cn |
443 |
| Log Analytics | api.loganalytics.io*.api.loganalytics.ioapi.loganalytics.azure.cnapi.monitor.azure.cn*.api.monitor.azure.cn |
443 |
| Azure 数据资源管理器 | ade.loganalytics.ioade.applicationinsights.ioadx.monitor.azure.cn*.adx.monitor.azure.cn*.adx.applicationinsights.azure.cnadx.applicationinsights.azure.cnadx.loganalytics.azure.com*.adx.loganalytics.azure.com |
443 |
记录引入 API 终结点
从 2026 年 3 月 1 日开始,日志引入会强制实施 TLS 1.2 或更高版本的安全通信。 有关详细信息,请参阅 传输中的安全日志数据。
| Purpose | Hostname | Ports |
|---|---|---|
| 日志引入 API | *.ingest.monitor.azure.cnprod.la.ingest.monitor.core.windows.NET*.prod.la.ingestion.msftcloudes.comprod.la.ingestion.msftcloudes.com*.prod.la.ingest.monitor.core.windows.NET |
443 |
Application Insights 分析
| Purpose | Hostname | Ports |
|---|---|---|
| CDN (内容分发网络) | applicationanalytics.azureedge.net |
80,443 |
| 媒体 CDN | applicationanalyticsmedia.azureedge.net |
80,443 |
Log Analytics 门户
| Purpose | Hostname | Ports |
|---|---|---|
| Portal | portal.loganalytics.io |
443 |
Application Insights Azure 门户扩展
| Purpose | Hostname | Ports |
|---|---|---|
| Application Insights 扩展 | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| Application Insights 扩展 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Application Insights SDK (软件开发工具包)
| Purpose | Hostname | Ports |
|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
操作组 Webhook
Webhook 需要入站网络访问。 无需使用 ActionGroup 服务标记更新防火墙和网络配置。 或者,可以使用 Get-AzNetworkServiceTag PowerShell 命令 或其他 服务标记本地 方法查询作组使用的当前 IP 地址列表。
下面是包含 ActionGroup 服务标记的入站安全规则的示例:
Application Insights Profiler (.NET)
| Purpose | Hostname | Ports |
|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.cn |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 存储 | *.core.chinacloudapi.cn |
443 |
Snapshot Debugger
Note
用于 .NET 的 Application Insights Profiler 和 Snapshot Debugger 共享同一组 IP 地址。
| Purpose | Hostname | Ports |
|---|---|---|
| Agent | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.cn |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| 存储 | *.core.chinacloudapi.cn |
443 |
常见问题
本部分提供常见问题的解答。
是否可以监视 Intranet Web 服务器?
是的,但你需要允许防火墙例外或代理重定向到我们的服务的流量。
请参阅 Azure Monitor 使用的 IP 地址,以查看服务和 IP 地址的完整列表。
如何将流量从我的服务器重新路由到我 Intranet 上的网关?
通过重写配置中的终结点,将流量从服务器路由到 Intranet 上的网关。 如果配置中不存在 Endpoint 属性,则这些类使用 azure Monitor 使用的IP 地址中记录的默认值。
你的网关应将流量路由到我们的终结点的基址。 在你的配置中,将默认值替换为 http://<your.gateway.address>/<relative path>。