Partager via


Configuration réseau de l’agent Azure Monitor

L’agent Azure Monitor prend en charge la connexion avec des proxys directs, la passerelle Log Analytics et des liaisons privées. Cet article explique comment définir les paramètres réseau et activer l’isolation réseau pour l’agent Azure Monitor.

Balises de service du réseau virtuel

Les étiquettes du service de réseau virtuel Azure doivent être activées sur le réseau virtuel pour la machine virtuelle. Les étiquettes AzureMonitor et AzureResourceManager sont toutes les deux requises.

Vous pouvez utiliser des étiquettes de service du réseau virtuel Azure pour définir des contrôles d’accès au réseau sur des groupes de sécurité du réseau, Pare-feu Azure et des routes définies par l’utilisateur. Utilisez des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de sécurité et des routes. Pour découvrir des scénarios où les étiquettes de service du réseau virtuel Azure ne peuvent pas être utilisées, les exigences du pare-feu sont indiquées ci-dessous.

Remarque

Les adresses IP publiques du point de terminaison de collecte de données ne font pas partie des étiquettes de service réseau susmentionnées. Si vous avez des journaux personnalisés ou des règles de collecte de données de journal IIS, envisagez d’autoriser les adresses IP publiques du point de terminaison de collecte de données pour que ces scénarios fonctionnent jusqu’à leur prise en charge par les balises de service réseau.

Points de terminaison de pare-feu

Le tableau suivant fournit les points de terminaison auxquels les pare-feu doivent fournir l’accès pour les différents clouds. Chacun est une connexion sortante au port 443.

Important

Pour tous les points de terminaison, l’inspection HTTPS doit être désactivée.

Point de terminaison Objectif Exemple
global.handler.control.monitor.azure.com Access control service -
<virtual-machine-region-name>.handler.control.monitor.azure.com Récupérer les règles de collecte de données pour un ordinateur spécifique westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com Ingérer des données de journal 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor -
<virtual-machine-region-name>.monitoring.azure.com Nécessaire uniquement si vous envoyez des données de série chronologique (métriques) à la base de données deMétriques personnalisées Azure Monitor westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com Nécessaire uniquement si les données sont envoyées dans la table journaux personnalisés de Log Analytics 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Remplacez le suffixe dans les points de terminaison par le suffixe dans le tableau suivant pour les différents clouds.

Cloud Suffixe
Azure Commercial .com
Azure Government .us
Microsoft Azure géré par 21Vianet .cn

Remarque

Si vous utilisez des liaisons privées sur l’agent, vous devez uniquement ajouter les points de terminaison de collecte de données privées. L’agent n’utilise pas les points de terminaison non privés répertoriés ci-dessus lors de l’utilisation de liens privés/points de terminaison de collecte de données. La version préliminaire des métriques Azure Monitor (métriques personnalisées) n’est pas disponible dans les clouds Azure Government et Azure géré par 21Vianet.

Remarque

Lorsque vous utilisez AMA avec AMPLS, toutes vos règles de collecte de données doivent utiliser des points de terminaison de collecte de données. Ces DCE doivent être ajoutés à la configuration AMPLS à l’aide d’une liaison privée

Configuration du proxy

Les extensions de l’agent Azure Monitor pour Windows et Linux peuvent communiquer via un serveur proxy ou une passerelle Log Analytics avec Azure Monitor en utilisant le protocole HTTPS. Utilisez-le pour les machines virtuelles Azure, les groupes de machines virtuelles identiques Azure et Azure Arc pour serveurs. Utilisez les paramètres d’extension pour la configuration, comme décrit dans les étapes suivantes. L’authentification anonyme et l’authentification de base à l’aide d’un nom d’utilisateur et d’un mot de passe sont toutes les deux prises en charge.

Important

La configuration du proxy n’est pas prise en charge pour les métriques Azure Monitor (préversion publique) comme destination. Si vous envoyez des métriques à cette destination, elle utilisera l’Internet public sans proxy.

Remarque

La définition du proxy système Linux via des variables d’environnement telles que http_proxy et https_proxy est uniquement prise en charge avec l’agent Azure Monitor pour Linux version 1.24.2 et ultérieures. Pour le modèle ARM, si vous avez une configuration de proxy, veuillez suivre l’exemple de modèle ARM ci-dessous déclarant le paramètre de proxy à l’intérieur du modèle ARM. En outre, un utilisateur peut définir des variables d’environnement « globales » qui sont récupérées par tous les services système via la variable DefaultEnvironment dans /etc/systemd/systemd/system.conf.

Utilisez des commandes PowerShell dans les exemples suivants en fonction de votre environnement et de votre configuration :

Aucun proxy

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy sans authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Proxy avec authentification

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Configuration de la passerelle Log Analytics

  1. Suivez les conseils ci-dessus pour configurer les paramètres de proxy sur l’agent, et spécifiez l’adresse IP et le numéro de port correspondant au serveur de passerelle. Si vous avez déployé plusieurs serveurs de passerelle derrière un équilibreur de charge, la configuration du proxy sur l’agent doit indiquer l’adresse IP virtuelle de l’équilibreur de charge à la place.
  2. Ajoutez l’URL du point de terminaison de configuration pour récupérer les règles de collecte de données dans la liste d’autorisation de la passerelleAdd-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Si vous utilisez des liaisons privées sur l’agent, vous devez également ajouter les points de terminaison de collecte de données.)
  3. Ajoutez l’URL du point de terminaison d’ingestion de données à la liste d’autorisation de la passerelle Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
  4. Redémarrez le service de passerelle OMS pour appliquer les modifications Stop-Service -Name <gateway-name> et Start-Service -Name <gateway-name>.

Étapes suivantes