Configuração de rede do Agente do Azure Monitor

O agente do Azure Monitor dá suporte à conexão usando proxies diretos, gateway do Log Analytics e links privados. Este artigo explica como definir as configurações de rede e habilitar o isolamento de rede para o agente do Azure Monitor.

Marcas de serviço de rede virtual

As marcas de serviço de rede virtual do Azure devem ser habilitadas na rede virtual da máquina virtual. As marcas AzureMonitor e AzureResourceManager são necessárias.

É possível usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede, no Firewall do Azure e em rotas definidas pelo usuário. Use marcas de serviço em vez de endereços IP específicos ao criar regras e rotas de segurança. Para os cenários em que as marcas de serviço de rede virtual do Azure não podem ser usadas, os requisitos de firewall são fornecidos abaixo.

Observação

Os endereços IP públicos do ponto de extremidade de coleta de dados não fazem parte das marcas de serviço de rede acima mencionadas. Se você tiver logs personalizados ou regras de coleta de dados de log do IIS, considere permitir que os endereços IP públicos do ponto de extremidade de coleta de dados para esses cenários funcionem até que esses cenários tenham suporte por marcas de serviço de rede.

Pontos de extremidade de firewall

A tabela a seguir fornece os pontos de extremidade aos quais os firewalls precisam fornecer acesso para nuvens diferentes. Cada uma é uma conexão de saída com a porta 443.

Importante

Para todos os pontos de extremidade, a inspeção HTTPS precisa ser desabilitada.

Ponto de extremidade Finalidade Exemplo
global.handler.control.monitor.azure.com Serviço de controle de acesso -
<virtual-machine-region-name>.handler.control.monitor.azure.com Busca regras de coleta de dados de um computador específico westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com Ingere dados de logs 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com Necessário somente se enviar dados de série temporal (métricas) para o banco de dados de métricas personalizadas do Azure Monitor -
<virtual-machine-region-name>.monitoring.azure.com Necessário somente se enviar dados de série temporal (métricas) para o banco de dados de métricas personalizadas do Azure Monitor westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com Necessário somente se os dados forem enviados para a tabela Logs personalizados do Log Analytics 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Substitua o sufixo nos pontos de extremidade pelo sufixo na tabela a seguir para nuvens diferentes.

Nuvem Sufixo
Azure Commercial .com
Azure Governamental .us
Microsoft Azure operado pela 21Vianet .cn

Observação

Se você usa links privados no agente, você deve somente adicionar os pontos de extremidade privados de coleta de dados (DCEs). O agente não utiliza os pontos de extremidade não privados listados acima ao usar links privados/pontos de extremidade de coleta de dados. A visualização das Métricas do Azure Monitor (métricas personalizadas) não está disponível nas nuvens do Azure Governamental e do Azure operado pela 21Vianet.

Observação

Ao usar AMA com AMPLS, todas as suas regras de coleta de dados devem usar pontos de extremidade de coleta de dados. Esses DCE devem ser adicionados à configuração do AMPLS usando o link privado

Configuração de proxy

As extensões do Agente do Azure Monitor para Windows e Linux é compatível com a comunicação por meio de um servidor proxy ou de um gateway do Log Analytics para o Azure Monitor usando o protocolo HTTPS. Use-as para máquinas virtuais do Azure, conjuntos de dimensionamento de máquinas virtuais do Azure e Azure Arc para servidores. Use as configurações de extensões para configuração, conforme descrito nas etapas a seguir. Há suporte para a autenticação anônima e básica através do uso de um nome de usuário e senha.

Importante

Não há suporte para a configuração de proxy das Métricas do Azure Monitor (visualização pública) como um destino. Se você estiver enviando métricas para esse destino, ele usará a Internet pública sem nenhum proxy.

Observação

A configuração do proxy do sistema Linux por meio de variáveis de ambiente como http_proxy e https_proxy só tem suporte usando o Agente do Azure Monitor para Linux versão 1.24.2 e superior. Para o modelo do ARM, se você tiver configuração de proxy, siga o exemplo de modelo do ARM abaixo declarando a configuração de proxy no modelo do ARM. Além disso, um usuário pode definir as variáveis de ambiente "globais" que são coletadas por todos os serviços do systemd por meio da variável DefaultEnvironment em /etc/systemd/system.conf.

Use comandos do PowerShell nos seguintes exemplos, dependendo do ambiente e da configuração.:

Nenhum proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sem autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy com autenticação

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Configuração do gateway do Log Analytics

  1. Siga as diretrizes acima para definir as configurações de proxy no agente e fornecer o endereço IP e o número da porta que correspondem ao servidor de gateway. Se você implantou vários servidores de gateway por trás de um balanceador de carga, a configuração de proxy do agente é o endereço IP virtual do balanceador de carga.
  2. Adicione a URL do ponto de extremidade de configuração para buscar regras de coleta de dados na lista de permitidos do gateway Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Se estiver usando links privados no agente, adicione também os pontos de extremidade de coleta de dados.)
  3. Adicione a URL do ponto de extremidade de ingestão de dados à lista de permitidos do gateway Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
  4. Reinicie o serviço do Gateway do OMS para aplicar as alterações Stop-Service -Name <gateway-name> e Start-Service -Name <gateway-name>.

Próximas etapas