Configurazione di rete dell'agente di Monitoraggio di Azure
L'agente di Monitoraggio di Azure supporta la connessione tramite proxy diretti, gateway di Log Analytics e collegamenti privati. Questo articolo illustra come definire le impostazioni di rete e abilitare l'isolamento di rete per l'agente di Monitoraggio di Azure.
Tag del servizio di rete virtuale
I tag del servizio di rete virtuale di Azure devono essere abilitati nella rete virtuale per la macchina virtuale. Sono necessari sia i tag AzureMonitor che AzureResourceManager.
I tag del servizio di rete virtuale di Azure possono essere usati per definire i controlli di accesso alla rete in gruppi di sicurezza di rete, Firewall di Azure e route definite dall'utente. Quando si creano regole di sicurezza e percorsi, usare i tag del servizio anziché gli indirizzi IP specifici. Per scenari in cui non fosse possibile usare tag del servizio di rete virtuale di Azure, i requisiti del firewall sono indicati di seguito.
Nota
Gli indirizzi IP pubblici dell'endpoint di raccolta dati non fanno parte dei tag del servizio di rete indicati in precedenza. Se si dispone di log personalizzati o regole di raccolta dei dati di log IIS, è consigliabile consentire il funzionamento degli indirizzi IP pubblici dell'endpoint di raccolta dati per questi scenari fino a quando tali scenari non saranno supportati dai tag del servizio di rete.
Endpoint firewall
La tabella seguente fornisce gli endpoint a cui i firewall devono fornire l'accesso a diversi cloud. Ognuno di essi è una connessione in uscita alla porta 443.
Importante
L'analisi HTTPS deve essere disabilitata per tutti gli endpoint.
| Endpoint | Scopo | Esempio |
|---|---|---|
global.handler.control.monitor.azure.com |
Servizio di controllo di accesso - | |
<virtual-machine-region-name>.handler.control.monitor.azure.com |
Recuperare le regole di raccolta dati per un computer specifico | westus2.handler.control.monitor.azure.com |
<log-analytics-workspace-id>.ods.opinsights.azure.com |
Inserire dati dei log | 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com |
| management.azure.com | È necessario solo se si stanno inviando dati di serie temporali (metriche) al database delle metriche personalizzate di Monitoraggio di Azure | - |
<virtual-machine-region-name>.monitoring.azure.com |
È necessario solo se si stanno inviando dati di serie temporali (metriche) al database delle metriche personalizzate di Monitoraggio di Azure | westus2.monitoring.azure.com |
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com |
È necessario solo se si inviano dati alla tabella dei log personalizzati di Log Analytics | 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com |
Sostituire il suffisso negli endpoint con il suffisso nella tabella seguente per cloud diversi.
| Cloud | Suffisso |
|---|---|
| Azure Commercial | com. |
| Azure Government | .us |
| Microsoft Azure gestito da 21Vianet | .cn |
Nota
Se si usano collegamenti privati nell'agente, è necessario aggiungi solo gli endpoint di raccolta dati privati (DCE). L'agente non usa gli endpoint non privati elencati in precedenza quando fa uso di collegamenti privati/endpoint di raccolta dati. L'anteprima delle metriche di Monitoraggio di Azure (metriche personalizzate) non è disponibile in Azure per enti pubblici e in Azure gestito da cloud 21Vianet.
Nota
Quando si usa AMA con AMPLS, tutte le regole di raccolta dati devono usare endpoint di raccolta dati. Tali controller di dominio devono essere aggiunti alla configurazione AMPLS usando il collegamento privato
Configurazione proxy
Le estensioni dell'agente di Monitoraggio di Azure per Windows e Linux possono comunicare tramite un server proxy o un gateway di Log Analytics con Monitoraggio di Azure usando il protocollo HTTPS. Usarlo per macchine virtuali di Azure, set di scalabilità di macchine virtuali di Azure e Azure Arc per server. Usare le impostazioni delle estensioni per la configurazione come descritto nei passaggi seguenti. Sono supportate sia l'autenticazione anonima che l'autenticazione di base tramite nome utente e password.
Importante
La configurazione del proxy non è supportata per Metriche di Monitoraggio di Azure (anteprima pubblica) come destinazione. Se si inviano metriche a questa destinazione, verrà usata la rete Internet pubblica senza alcun proxy.
Nota
L'impostazione del proxy di sistema Linux tramite variabili di ambiente come http_proxy e https_proxy è supportata solo tramite l'agente di Monitoraggio di Azure per Linux versione 1.24.2 e successive. Per il modello di Resource Manager, se si dispone di una configurazione proxy, seguire l'esempio di modello di ARM seguente dichiarando l'impostazione proxy all'interno del modello di ARM. Inoltre, un utente può impostare variabili di ambiente "globali" che vengono prelevate da tutti i servizi di sistema tramite la variabile DefaultEnvironment in /etc/systemd/system.conf.
Usare comandi di PowerShell negli esempi seguenti a seconda dell'ambiente e della configurazione.
- VM Windows
- VM Linux
- Server abilitato per Windows Arc
- Server abilitato per Linux Arc
- Esempio di modello di criteri ARM
Nessun proxy
$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy senza autenticazione
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString
Proxy con autenticazione
$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString
Configurazione del gateway di Log Analytics
- Seguire le indicazioni riportate sopra per configurare le impostazioni proxy nell'agente e specificare l'indirizzo IP e il numero di porta corrispondenti al server gateway. Se sono stati distribuiti più server gateway dietro un servizio di bilanciamento del carico, la configurazione proxy agente è invece l'indirizzo IP virtuale del servizio di bilanciamento del carico.
- Aggiungere l'URL dell'endpoint di configurazione per recuperare le regole di raccolta dati all'elenco elementi consentiti per il gateway
Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Se si usano collegamenti privati all'agente, è necessario aggiungere anche gli endpoint di raccolta dati.) - Aggiungere l'URL dell'endpoint di inserimento dati all'elenco elementi consentiti per il gateway
Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com. - Riavviare il servizio gateway OMS per applicare le modifiche
Stop-Service -Name <gateway-name>eStart-Service -Name <gateway-name>.