Шлюз OMS
Если вы развертываете OMS в локальной среде, обязательно будут виртуальные машины (и их будет довольно много), которые не имеют прямого доступа к Интернету из соображений безопасности. Но как может работать OMS? Одна из возможностей — развернуть шлюз OMS. Это один сервер Windows, который будет действовать как прокси. Ваша управляемая виртуальная машина будет использовать ее в качестве прокси-сервера для связи с OMS. В этом случае шлюзу OMS необходимо только иметь доступ к OMS, где, разумеется, создается зашифрованный туннель TLS.
Мы начнем установку ворот. Сначала перейдите к настройкам OMS, подключенных источников и серверов Windows.
Там вы найдете ссылку на агенты OMS и шлюз OMS. Итак, давайте выберем один сервер Windows, который станет шлюзом OMS. Сначала установим на него агент и подождем, пока он появится в OMS. Сделайте это с помощью классической процедуры, которую я уже описывал в этом блоге. В принципе, вы скачиваете установщик и запускаете его на сервере, вводите ID рабочей области и ключ для подключения.
Проверьте, успешно ли зарегистрирован агент.
Я рекомендую подождать несколько минут, прежде чем компьютер появится в вашем пространстве OMS.
Отлично. Теперь загрузите шлюз OMS (это крошечный файл MSI) и установите его на сервер.
Шлюз OMS использует порт 8080, но его можно изменить. Если этот сервер подключен к Интернету через прокси, установите его.
Убедитесь, что шлагбаум OMS закрыт.
Теперь давайте подключим некоторую виртуальную машину через шлюз OMS. Начните установку агента, как и раньше, но остановитесь на этой странице и нажмите «Дополнительно».
Введите адрес шлюза OMS и завершите установку.
Проверьте, успешно ли подключился агент.
Вы можете изменить настройки прокси даже после установки.
Это можно сделать с помощью агента Linux. При его установке введите данные OMS шлюза.
Если все прошло успешно, вы увидите свои системы в OMS.
Ограничение доступа в Интернет на шлюзе OMS
Шлюзу не нужно открывать какие-либо внутренние порты, поскольку вся связь инициируется клиентской стороной через классический HTTPS-порт 443. Если вы хотите максимально ограничить шлюз, вы можете использовать следующую меру.
Вы можете включить только порт 443.
Если ваш брандмауэр/NGFW поддерживает списки URL-адресов, вы можете специально разрешить исходящий трафик только на эти URL-адреса (отключить проверку HTTPS, выполняется проверка безопасного сертификата, иначе мы не примем его по соображениям безопасности):
Вы только что попробовали ограничительное подключение локальной системы к OMS. Только один из них (шлюз OMS) нуждается в переходе наружу, на единственный стандартный порт 443 с безопасностью TLS и без необходимости открытых портов внутрь. Кроме того, вы можете ограничить URL-адреса на NGFW только теми, которые необходимы для вашей OMS. Вам определенно не нужно подключаться к OMS через локальную систему!
Похожие треки
Native Azure Monitor и Microsoft Sentinel — это новые недорогие журналы и встроенная недорогая архивация — практика (Часть 2) Мониторинг
Собственный Azure Monitor и Microsoft Sentinel, новое недорогое ведение журнала и встроенное недорогое архивирование — анализ затрат (часть 1) Мониторинг
Исследуйте Azure Sentinel с помощью Fluent Bit, Blob и Azure Data Explorer Monitoring
Анализируйте поведение пользователей в Интернете с помощью Microsoft Clarity — всегда бесплатно Мониторинг
Распределенная трассировка с помощью OpenTelemetry, Python и Azure Monitor (2): дополнительные инструменты, визуализация и расширенный мониторинг запросов
Я работаю в Microsoft в качестве архитектора облачных решений Azure. Все на этом сайте выражает мое личное мнение, взято из общедоступных источников и никоим образом не выражает мнение Microsoft.