Конфигурация сети агента Azure Monitor

2025-06-19

Агент Azure Monitor поддерживает подключения с помощью прямых прокси-серверов, шлюза Log Analytics и частных ссылок. В этой статье описывается определение параметров сети и включение сетевой изоляции для агента Azure Monitor.

Теги службы виртуальной сети

Теги службы виртуальной сети Azure должны быть включены в виртуальной сети для виртуальной машины. Требуются теги AzureMonitor и AzureResourceManager.

Теги службы виртуальной сети Azure можно использовать для определения элементов управления доступом к сети в группах безопасности сети, брандмауэре Azure и определяемых пользователем маршрутах. Используйте теги служб вместо определенных IP-адресов при создании правил безопасности и маршрутов. В сценариях, когда теги службы виртуальной сети Azure не могут использоваться, требования к брандмауэру описаны далее в этой статье.

Замечание

Общедоступные IP-адреса конечной точки сбора данных (DCE) не включены в теги сетевой службы, которые можно использовать для определения элементов управления доступом к сети для Azure Monitor. Если у вас есть пользовательские журналы или правила сбора данных журналов служб IIS (DCR), рекомендуется разрешить общедоступным IP-адресам DCE для этих сценариев работать до тех пор, пока эти сценарии не будут поддерживаться с помощью тегов сетевой службы.

Конечные точки брандмауэра

В следующей таблице представлены конечные точки, к которым брандмауэры должны предоставлять доступ для разных облаков. Каждая конечная точка — это исходящее подключение к порту 443.

Это важно

Для всех конечных точек проверка HTTPS должна быть отключена.

Конечная точка	Цель	Пример
`global.handler.control.monitor.azure.com`	Доступ к службе управления	Неприменимо
`<virtual-machine-region-name>.handler.control.monitor.azure.com`	Получение DCR для конкретной машины	`westus2.handler.control.monitor.azure.com`
`<log-analytics-workspace-id>.ods.opinsights.azure.com`	Прием данных журнала	`1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com`
`management.azure.com`	Требуется только в том случае, если данные временных рядов (метрики) отправляются в базу данных пользовательских метрик Azure Monitor	Неприменимо
`<virtual-machine-region-name>.monitoring.azure.com`	Требуется только в том случае, если данные временных рядов (метрики) отправляются в базу данных пользовательских метрик Azure Monitor	`westus2.monitoring.azure.com`
`<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com`	Загрузка данных журнала	`275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com`

Замените суффикс в конечных точках суффиксом в следующей таблице для соответствующих облаков:

Облако	Суффикс
Azure для коммерческих организаций	`.com`
Azure для государственных организаций	`.us`
Microsoft Azure под управлением 21Vianet	`.cn`

Замечание

Если вы используете частные ссылки в агенте, необходимо добавить толькочастные DCE. Агент не использует неприватные конечные точки, перечисленные в предыдущей таблице, при использовании частных ссылок или частных DCE.
Предварительный просмотр метрик Azure Monitor (пользовательские метрики) недоступен в Azure для Государственных организаций и Azure, управляемых компанией 21Vianet.
При использовании агента Azure Monitor с областью действия частной ссылки Azure Monitor, все ваши DCR должны использовать DCE. Элементы DCE должны быть добавлены в конфигурацию области Azure Monitor Private Link с помощью частной ссылки.

Конфигурация прокси-сервера

Расширения агента Azure Monitor для Windows и Linux могут взаимодействовать через прокси-сервер или через шлюз Log Analytics в Azure Monitor с помощью протокола HTTPS. Используйте его для виртуальных машин Azure, масштабируемых наборов и Azure Arc для серверов. Используйте параметры расширений для конфигурации, как описано ниже. Поддерживаются как анонимная проверка подлинности, так и обычная проверка подлинности с помощью имени пользователя и пароля.

Это важно

Шлюз OMS не поддерживается с серверами с поддержкой Azure Arc для прокси-подключения, подключения по частной связи и подключения по общедоступной конечной точке.

Это важно

Конфигурация прокси-сервера не поддерживается для Azure Monitor Metrics (предварительная версия) в качестве конечной точки. Если вы отправляете метрики в это место назначения, он использует общедоступный Интернет без прокси-сервера.

Замечание

Настройка прокси-сервера системы Linux с помощью переменных среды, таких как http_proxy и https_proxy, поддерживается только при использовании агента Azure Monitor для Linux версии 1.24.2 или выше. Для шаблона Azure Resource Manager (ARM шаблон), если вы настроите прокси-сервер, используйте приведённый здесь ARM шаблон в качестве примера того, как объявить параметры прокси-сервера внутри ARM шаблона. Кроме того, пользователь может задать глобальные переменные среды, которые собираются всеми системными службами с помощью переменной DefaultEnvironment в /etc/systemd/systemd/system.conf.

Используйте команды Azure PowerShell в следующих примерах на основе среды и конфигурации.

Нет прокси-сервера

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Прокси-сервер без проверки подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Прокси-сервер с проверкой подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Возврат конфигурации прокси-сервера по умолчанию

Чтобы восстановить конфигурацию прокси-сервера по умолчанию, можно определить $settingsString = '{}; как показано в следующем примере:

$settingsString = '{}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName RESOURCE GROUP HERE -VMName VM NAME HERE -Location westeurope -> > SettingString $settingsString

Нет прокси-сервера

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Прокси-сервер без проверки подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString

Прокси-сервер с проверкой подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Нет прокси-сервера

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Прокси-сервер без проверки подлинности

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Прокси-сервер с проверкой подлинности

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

Возврат конфигурации прокси-сервера по умолчанию

$settings = '{}';
New-AzConnectedMachineExtension -Name AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Нет прокси-сервера

$settings = @{"proxy" = @{mode = "none"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Прокси-сервер без проверки подлинности

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "false"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings

Прокси-сервер с проверкой подлинности

$settings = @{"proxy" = @{mode = "application"; address = "http://[address]:[port]"; auth = "true"}}
$protectedSettings = @{"proxy" = @{username = "[username]"; password = "[password]"}}
New-AzConnectedMachineExtension -Name AzureMonitorLinuxAgent -ExtensionType AzureMonitorLinuxAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -ProtectedSetting $protectedSettings

{
  "properties": {
    "displayName": "Configure Windows Arc-enabled machines to run the Azure Monitor Agent",
    "policyType": "BuiltIn",
    "mode": "Indexed",
    "description": "Automate the deployment of the Azure Monitor Agent extension on your Windows Arc-enabled machines for collecting telemetry data from the guest OS. This policy installs the extension if the OS and region are supported and system-assigned managed identity is enabled, and skips install otherwise. Learn more at https://aka.ms/AMAOverview.",
    "metadata": {
      "version": "2.3.0",
      "category": "Monitoring"
    },
    "parameters": {
      "effect": {
        "type": "String",
        "metadata": {
          "displayName": "Effect",
          "description": "Enable or disable the execution of the policy."
        },
        "allowedValues": [
          "DeployIfNotExists",
          "Disabled"
        ],
        "defaultValue": "DeployIfNotExists"
      }
    },
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.HybridCompute/machines"
          },
          {
            "field": "Microsoft.HybridCompute/machines/osName",
            "equals": "Windows"
          },
          {
            "field": "location",
            "in": [
              "australiacentral",
              "australiaeast",
              "australiasoutheast",
              "brazilsouth",
              "canadacentral",
              "canadaeast",
              "centralindia",
              "centralus",
              "eastasia",
              "eastus",
              "eastus2",
              "eastus2euap",
              "francecentral",
              "germanywestcentral",
              "japaneast",
              "japanwest",
              "jioindiawest",
              "koreacentral",
              "koreasouth",
              "northcentralus",
              "northeurope",
              "norwayeast",
              "southafricanorth",
              "southcentralus",
              "southeastasia",
              "southindia",
              "swedencentral",
              "switzerlandnorth",
              "uaenorth",
              "uksouth",
              "ukwest",
              "westcentralus",
              "westeurope",
              "westindia",
              "westus",
              "westus2",
              "westus3"
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]",
        "details": {
          "type": "Microsoft.HybridCompute/machines/extensions",
          "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/cd570a14-e51a-42ad-bac8-bafd67325302"
          ],
          "existenceCondition": {
            "allOf": [
              {
                "field": "Microsoft.HybridCompute/machines/extensions/type",
                "equals": "AzureMonitorWindowsAgent"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/publisher",
                "equals": "Microsoft.Azure.Monitor"
              },
              {
                "field": "Microsoft.HybridCompute/machines/extensions/provisioningState",
                "equals": "Succeeded"
              }
            ]
          },
          "deployment": {
            "properties": {
              "mode": "incremental",
              "template": {
                "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                "contentVersion": "1.0.0.0",
                "parameters": {
                  "vmName": {
                    "type": "string"
                  },
                  "location": {
                    "type": "string"
                  }
                },
                "variables": {
                  "extensionName": "AzureMonitorWindowsAgent",
                  "extensionPublisher": "Microsoft.Azure.Monitor",
                  "extensionType": "AzureMonitorWindowsAgent"
                },
                "resources": [
                  {
                    "name": "[concat(parameters('vmName'), '/', variables('extensionName'))]",
                    "type": "Microsoft.HybridCompute/machines/extensions",
                    "location": "[parameters('location')]",
                    "apiVersion": "2021-05-20",
                    "properties": {
                      "publisher": "[variables('extensionPublisher')]",
                      "type": "[variables('extensionType')]",
                      "autoUpgradeMinorVersion": true,
                      "enableAutomaticUpgrade": true,
                      "settings": {
                      "proxy": {
                        "auth": "false",
                        "mode": "application",
                        "address": "http://XXX.XXX.XXX.XXX"
                        }
                      },
                 "protectedsettings": { }
                    }
                  }
                ]
              },
              "parameters": {
                "vmName": {
                  "value": "[field('name')]"
                },
                "location": {
                  "value": "[field('location')]"
                }
              }
            }
          }
        }
      }
    }
  },
  "id": "/providers/Microsoft.Authorization/policyDefinitions/94f686d6-9a24-4e19-91f1-de937dc171a4",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "94f686d6-9a24-4e19-91f1-de937dc171a4"
}

Конфигурация шлюза Log Analytics

Следуйте приведенным выше инструкциям, чтобы настроить параметры прокси-сервера в агенте и указать IP-адрес и номер порта, соответствующие серверу шлюза. Если вы развернули несколько шлюзовых серверов за балансировщиком нагрузки, для настройки прокси-агента лучше использовать виртуальный IP-адрес балансировщика нагрузки.
Добавьте URL-адрес конечной точки конфигурации для получения DCR в список разрешений для шлюза.
1. Выполните Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.com.
2. Выполните Add-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com.
(Если вы используете закрытые ссылки в агенте, необходимо также добавить DCEs.)
Добавьте URL-адрес конечной точки приема данных в список разрешений для шлюза:
- Выполните Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
Чтобы применить изменения, перезапустите службу шлюза Log Analytics (шлюз OMS):
1. Выполните Stop-Service -Name <gateway-name>.
2. Выполните Start-Service -Name <gateway-name>.

Узнайте, как добавить конечную точку в ресурс области приватного канала Azure Monitor.

Поделиться через

Конфигурация сети агента Azure Monitor

Теги службы виртуальной сети

Конечные точки брандмауэра

Конфигурация прокси-сервера

Конфигурация шлюза Log Analytics

Связанный контент

Обратная связь

Дополнительные ресурсы