Partager via

Utiliser Azure Policy pour installer et gérer l’agent Azure Monitor

  • Article

Vous pouvez utiliser Azure Policy pour installer automatiquement l’agent Azure Monitor sur les nouvelles machines virtuelles ou celles qui existent déjà, et leur associer automatiquement les règles de collecte de données (DCR) appropriées. Cet article décrit les stratégies et initiatives intégrées que vous pouvez utiliser pour cette fonctionnalité ainsi que les fonctionnalités d’Azure Monitor qui peuvent vous aider à les gérer.

Utilisez les stratégies et initiatives de stratégie suivantes pour installer automatiquement l’agent, et l’associer à une règle DCR chaque fois que vous créez une machine virtuelle, un groupe de machines virtuelles identiques ou un serveur avec Azure Arc.

Remarque

Azure Monitor propose une préversion de l’expérience d’utilisation des règles DCR, qui simplifie la création d’affectations pour les stratégies et les initiatives qui utilisent les règles DCR. L’expérience inclut les initiatives qui installent l’agent Azure Monitor. Vous pouvez choisir d’utiliser cette expérience afin de créer des affectations pour les initiatives décrites dans cet article. Pour plus d’informations, consultez Gérer les règles DCR et les associations dans Azure Monitor.

Prérequis

Avant de commencer, passez en revue les prérequis pour l’installation de l’agent.

Remarque

Conformément aux meilleures pratiques relatives à la Plateforme d’identités Microsoft, les stratégies d’installation de l’agent Azure Monitor sur les machines virtuelles et les groupes de machines virtuelles identiques reposent sur une identité managée affectée par l’utilisateur. Cette option d’identité managée est plus évolutive et résiliente pour ces ressources.

Pour les serveurs avec Azure Arc, les stratégies reposent sur une identité managée affectée par le système, qui est la seule option prise en charge.

Stratégies prédéfinies

Vous pouvez choisir d’utiliser les stratégies individuelles des initiatives de stratégie décrites dans la section suivante pour effectuer une seule action à grande échelle. Par exemple, si vous souhaitez installer automatiquement uniquement l’agent, utilisez la deuxième stratégie d’installation d’agent dans l’initiative.

Capture d’écran de la page Définitions d’Azure Policy, qui montre les stratégies contenues dans l’initiative pour la configuration de l’agent Azure Monitor.

Initiatives de stratégie intégrées

Les initiatives de stratégie intégrées pour les machines virtuelles et les groupes identiques Windows et Linux fournissent une intégration de bout en bout à grande échelle à l’aide de l’agent Azure Monitor :

Remarque

Les définitions de stratégie incluent uniquement la liste des versions de Windows et de Linux prises en charge par Microsoft. Pour ajouter une image personnalisée, utilisez le paramètre Images de machine virtuelle supplémentaires.

Ces initiatives comportent des stratégies individuelles qui vous permettent d’effectuer les opérations suivantes :

  • (Facultatif) Créer et attribuer une identité managée affectée par l’utilisateur (intégrée) par abonnement et par région. Plus d’informations

    • Apportez votre propre identité affectée par l’utilisateur :

      • Si la valeur est false, l’identité managée affectée par l’utilisateur (intégrée) est créée dans le groupe de ressources prédéfini, puis affectée à toutes les machines auxquelles la stratégie est appliquée. L’emplacement du groupe de ressources peut être configuré dans le paramètre Emplacement de Built-In-Identity-RG.
      • Si la valeur est true, vous pouvez utiliser à la place une identité affectée par l’utilisateur qui existe déjà, et qui est automatiquement affectée à toutes les machines auxquelles la stratégie est appliquée.

  • Installez l’extension de l’agent Azure Monitor sur la machine, puis configurez-la pour utiliser l’identité affectée par l’utilisateur, comme spécifié par les paramètres suivants :

    • Apportez votre propre identité affectée par l’utilisateur :

      • Si la valeur est false, l’agent est configuré pour utiliser l’identité managée affectée par l’utilisateur (intégrée), créée par la stratégie précédente.
      • Si la valeur est true, l’agent est configuré pour utiliser une identité affectée par l’utilisateur qui existe déjà.

    • Nom de l’identité managée affectée par l’utilisateur : si vous utilisez votre propre identité (true est sélectionné), spécifiez le nom de l’identité affectée aux machines.

    • Groupe de ressources de l’identité managée affectée par l’utilisateur : si vous utilisez votre propre identité (true est sélectionné), spécifiez le groupe de ressources où l’identité existe.

    • Images de machine virtuelle supplémentaires : indiquez les noms d’images de machine virtuelle supplémentaires auxquels vous souhaitez appliquer la stratégie, s’ils ne sont pas déjà inclus.

    • Emplacement de Built-In-Identity-RG : si vous utilisez une identité managée affectée par l’utilisateur (intégrée), spécifiez l’emplacement où créer l’identité et le groupe de ressources. Ce paramètre est utilisé uniquement quand le paramètre Apportez votre propre identité managée affectée par l’utilisateur a la valeur false.

  • Créez et déployez l’association pour lier la machine à la règle DCR spécifiée.

    • ID de la ressource de règle de collecte de données : valeur resourceId d’Azure Resource Manager correspondant à la règle que vous souhaitez associer via cette stratégie à toutes les machines auxquelles la stratégie est appliquée.

      Capture d’écran montrant la page Définitions de Azure Policy avec deux initiatives de stratégie intégrées pour la configuration de l’agent Azure Monitor.

Problèmes connus

  • Comportement par défaut de l’identité managée. Plus d’informations
  • Condition de concurrence possible quand vous utilisez une stratégie intégrée de création d’identité affectée par l’utilisateur. Plus d’informations
  • Affectation de stratégie à des groupes de ressources. Si l’étendue d’affectation de la stratégie est un groupe de ressources et non un abonnement, l’identité utilisée par l’affectation de stratégie (qui est différente de l’identité affectée par l’utilisateur et utilisée par l’agent) doit se voir octroyer manuellement des rôles spécifiques avant l’affectation ou la correction. Le non-respect de cette étape entraîne des échecs de déploiement.
  • Autres limitations de l’identité managée.

Correction

Les initiatives ou stratégies s’appliquent à chaque machine virtuelle au moment de sa création. Une tâche de correction déploie les définitions de stratégie de l’initiative sur les ressources existantes. Vous pouvez configurer l’agent Azure Monitor pour toutes les ressources déjà créées.

Quand vous créez l’affectation à partir du portail Azure, vous avez la possibilité de créer une tâche de correction simultanément. Pour plus d’informations sur la correction, consultez Corriger les ressources non conformes avec Azure Policy.

Capture d’écran montrant la correction associée à l’initiative pour l’agent Azure Monitor.

Contenu connexe

Créer une règle DCR pour collecter des données auprès de l’agent, et les envoyer à Azure Monitor.