Azure Monitor エージェントのネットワーク構成

[アーティクル]
07/17/2024

Azure Monitor エージェントでは、直接プロキシ、Log Analytics ゲートウェイ、プライベートリンクを使用して接続をサポートしています。この記事では、ネットワーク設定を定義して、Azure Monitor エージェントのネットワークの分離を有効にする方法について説明します。

仮想ネットワークサービスタグ

仮想マシンの仮想ネットワークで Azure 仮想ネットワークサービスタグを有効にする必要があります。 AzureMonitor と AzureResourceManager の両方のタグが必要です。

Azure 仮想ネットワークのサービスタグを使用して、ネットワークセキュリティグループ、Azure Firewall、ユーザー定義ルートでネットワークアクセスの制御を定義できます。セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービスタグを使用します。 Azure 仮想ネットワークのサービスタグを使用できないシナリオについて、ファイアウォールの要件を以下に示します。

Note

データ収集エンドポイントのパブリック IP アドレスは、上記のネットワークサービスタグの一部ではありません。カスタムログまたは IIS ログデータ収集規則がある場合は、これらのシナリオがネットワークサービスタグでサポートされるまで、これらのシナリオに対してデータ収集エンドポイントのパブリック IP アドレスが機能することを許可することを検討してください。

ファイアウォールエンドポイント

次の表は、ファイアウォールで異なるクラウドに対してアクセスを提供する必要があるエンドポイントを示しています。それぞれポート 443 への送信接続です。

エンドポイント	目的	例
`global.handler.control.monitor.azure.com`	アクセス制御サービス -
`<virtual-machine-region-name>`.handler.control.monitor.azure.com	特定のマシンのデータ収集ルールをフェッチする	westus2.handler.control.monitor.azure.com
`<log-analytics-workspace-id>`.ods.opinsights.azure.com	ログデータの取り込み	1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com	Azure Monitor のカスタムメトリックデータベースに時系列データ (メトリック) を送信する場合にのみ必要です	-
`<virtual-machine-region-name>`.monitoring.azure.com	Azure Monitor のカスタムメトリックデータベースに時系列データ (メトリック) を送信する場合にのみ必要です	westus2.monitoring.azure.com

異なるクラウドの場合は、エンドポイントのサフィックスを次の表のサフィックスに置き換えます。

クラウド	敬称
Azure Commercial	.com
Azure Government	.us
21Vianet によって運営される Microsoft Azure	.cn

Note

エージェントでプライベートリンクを使用する場合は、プライベートデータ収集エンドポイント (DCE)のみを追加する必要があります。エージェントでは、プライベートリンクまたはデータ収集エンドポイントを使用する場合、上記の非プライベートエンドポイントを使用しません。 Azure Monitor メトリック (カスタムメトリック) プレビューは、Azure Government と 21Vianet によって運営される Microsoft Azure クラウドでは使用できません。

Note

AMA と AMPLS を使用する場合、すべてのデータ収集規則でデータ収集エンドポイントが多く使用されます。これらの DCE は、プライベートリンクを使用して AMPLS 構成に追加する必要があります

[プロキシ構成]

Windows と Linux 用の Azure Monitor エージェント拡張機能では、HTTPS プロトコルを使用することで、プロキシサーバーまたは Log Analytics ゲートウェイのいずれかを経由して、Azure Monitor と通信できます。 Azure 仮想マシン、Azure 仮想マシンスケールセット、Azure Arc for servers に使用します。次の手順で説明されているとおりに、その拡張機能の設定を構成に使用します。匿名認証と、ユーザー名とパスワードを使用する基本認証の両方がサポートされています。

重要

プロキシの構成は、宛先としては Azure Monitor メトリック (パブリックプレビュー) ではサポートされていません。この宛先にメトリックを送信する場合は、プロキシなしでパブリックインターネットが使用されます。

Note

http_proxy や https_proxy などの環境変数を使用した Linux システムプロキシの設定は、Azure Monitor Agent for Linux バージョン 1.24.2 以降の使用でのみサポートされます。 ARM テンプレートの場合、プロキシ構成がある場合は、次の ARM テンプレートの例に従って、ARM テンプレート内でプロキシ設定を宣言してください。さらに、ユーザーは、/etc/systemd/system.conf の DefaultEnvironment 変数を使用して、すべての systemd サービスによって取得される「グローバル」環境変数を設定できます。

次の例の PowerShell コマンドは、環境と構成に応じて使用します。

プロキシなし

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

認証なしのプロキシ

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

認証ありのプロキシ

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

プロキシなし

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

認証なしのプロキシ

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

認証ありのプロキシ

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

プロキシなし

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

認証なしのプロキシ

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

認証ありのプロキシ

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

プロキシなし

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

認証なしのプロキシ

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

認証ありのプロキシ

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy will install the extension if the OS and region are supported and system-assigned managed identity is enabled, and skip install otherwise. Learn more: https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
					            "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Log Analytics ゲートウェイ構成

上記のガイダンスに従って、エージェントでプロキシ設定を構成し、ゲートウェイサーバーに対応する IP アドレスとポート番号を指定します。ロードバランサーの背後に複数のゲートウェイサーバーをデプロイしている場合、エージェントのプロキシ構成は、ロードバランサーの仮想 IP アドレスとなります。
ゲートウェイの許可リストにデータ収集ルールをフェッチするための構成エンドポイント URL を追加しますAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com。 (エージェントでプライベートリンクを使用している場合は、データ収集エンドポイントも追加する必要があります)。
ゲートウェイの許可リストにデータインジェストエンドポイント URL を追加しますAdd-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com。
OMS ゲートウェイ サービスを再起動して、Stop-Service -Name <gateway-name> および Start-Service -Name <gateway-name> の変更を適用します。

次のステップ

AMPLS リソースにエンドポイントを追加します。

次の方法で共有

Azure Monitor エージェントのネットワーク構成

仮想ネットワークサービスタグ

ファイアウォールエンドポイント

[プロキシ構成]

Log Analytics ゲートウェイ構成

次のステップ

フィードバック

フィードバック

その他のリソース

次の方法で共有

Azure Monitor エージェントのネットワーク構成

仮想ネットワーク サービス タグ

ファイアウォール エンドポイント

[プロキシ構成]

Log Analytics ゲートウェイ構成

次のステップ

フィードバック

フィードバック

その他のリソース

仮想ネットワークサービスタグ

ファイアウォールエンドポイント