Azure Policy を使用して Azure Monitor エージェントをインストールして管理する
Azure Policy を使用すると、既存および新しい仮想マシンに Azure Monitor エージェントを自動的にインストールし、それらに適切な DCR を自動的に関連付けることができます。 この記事では、この機能と、それらの管理を支援する Azure Monitor の機能に利用できる組み込みのポリシーとイニシアティブについて説明します。
仮想マシン、スケール セット、または Azure Arc 対応サーバーを作成するたびに、次のポリシーとポリシー イニシアティブを使用して、エージェントを自動的にインストールし、データ収集ルールに関連付けます。
Note
Azure Monitor には、DCR を使用するポリシーとイニシアティブの割り当ての作成を簡略化するプレビューのデータ収集ルール DCR エクスペリエンスがあります。 これには、Azure Monitor エージェントをインストールするイニシアティブが含まれます。 そのエクスペリエンスを利用して、この記事で説明されているイニシアティブの割り当てを作成することもできます。 詳細については、「Azure Monitor でのデータ収集ルール (DCR) と関連付けの管理」を参照してください。
前提条件
続行する前に、エージェントのインストールの前提条件を確認してください。
Note
Microsoft Identity のベスト プラクティスにより、仮想マシンとスケール セットに Azure Monitor エージェントをインストールするためのポリシーは、ユーザー割り当てマネージド ID に依存します。 このオプションは、これらのリソースのよりスケーラブルで回復性があるマネージド ID です。 Azure Arc 対応サーバーの場合、ポリシーは、現在サポートされている唯一のオプションとして、システム割り当てマネージド ID に依存します。
組み込みのポリシー
上記のポリシー イニシアティブの個々のポリシーを使用して、大規模な 1 つのアクションを実行することを選択できます。 たとえば、エージェントを自動でインストールする "だけ" であれば、次に示すように、イニシアティブの 2 番目のエージェント インストール ポリシーを使用します。
組み込みのポリシー イニシアチブ
Windows および Linux 仮想マシン用の組み込みポリシー イニシアティブ、Azure Monitor エージェントをエンドツーエンドで使用して大規模なオンボーディングを提供するスケール セットがあります
- ユーザー割り当てマネージド ID ベースの認証を使用する Windows Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける
- ユーザー割り当てマネージド ID ベースの認証を使用する Linux Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける
Note
ポリシー定義には、Microsoft がサポートする Windows と Linux のバージョンの一覧のみが含まれます。 カスタム イメージを追加するには、Additional Virtual Machine Images
パラメーターを使用します。
これらのイニシアティブは、次に示す個別のポリシーで構成されています。
(省略可能) サブスクリプションごと、リージョンごとに、組み込みのユーザー割り当てマネージド ID を作成して割り当てます。 詳細情報。
Bring Your Own User-Assigned Identity
:false
に設定すると、定義済みのリソース グループに組み込みのユーザー割り当てマネージド ID が作成され、ポリシーが適用されているすべてのマシンに割り当てられます。 リソース グループの場所は、Built-In-Identity-RG Location
パラメーターで構成できます。true
に設定すると、代わりに既存のユーザー割り当て ID を使用でき、その ID が、ポリシーが適用されているすべてのマシンに自動的に割り当てられます。
Azure Monitor エージェント拡張機能をマシンにインストールし、次のパラメーターを指定して、このエージェントがユーザー割り当て ID を使用するように構成します。
Bring Your Own User-Assigned Managed Identity
:false
に設定すると、上記のポリシーによって作成された組み込みのユーザー割り当てマネージド ID を使用するようにエージェントが構成されます。true
に設定すると、既存のユーザー割り当て ID を使用するようにエージェントが構成されます。User-Assigned Managed Identity Name
: 独自の ID を使用する (true
を選んだ) 場合は、マシンに割り当てられている ID の名前を指定します。User-Assigned Managed Identity Resource Group
: 独自の ID を使用する (true
を選んだ) 場合は、ID が存在するリソース グループを指定します。Additional Virtual Machine Images
: ポリシーを適用する追加の VM イメージ名を渡します (まだ含まれていない場合)。Built-In-Identity-RG Location
: 組み込みのユーザー割り当てマネージド ID を使用する場合は、ID とリソース グループを作成する必要がある場所を指定します。Bring Your Own User-Assigned Managed Identity
パラメーターがfalse
に設定されているときにのみ、このパラメーターは使用されます。
関連付けを作成してデプロイし、マシンを指定されたデータ収集ルールにリンクします。
Data Collection Rule Resource Id
: ポリシーが適用されているすべてのマシンに、このポリシーを使用して関連付けるルールの Azure Resource Manager resourceId。
既知の問題
- マネージド ID の既定の動作。 詳細情報。
- 組み込みのユーザー割り当て ID 作成ポリシーを使用した場合に競合状態が発生する可能性があります。 詳細情報。
- リソース グループへのポリシーの割り当て。 ポリシーの割り当てスコープがサブスクリプションではなくリソース グループである場合、ポリシーの割り当てで使用される ID (エージェントで使用されるユーザー割り当て ID とは異なる) は、割り当てまたは修復の前にこれらのロールを手動で付与する必要があります。 この手順を行わないと、"デプロイ エラー" が発生します。
- その他の マネージド ID の制限事項。
Remediation
イニシアチブとポリシーは、作成時に、各仮想マシンに適用されます。 修復タスクにより、イニシアティブのポリシー定義が既存のリソースにデプロイされます。このため、既に作成されているすべてのリソースに対して Azure Monitor エージェントを構成できます。
Azure portal を使用して割り当てを作成するときに、修復タスクを同時に作成することができます。 修復の詳細については、「Azure Policy を使って準拠していないリソースを修復する」を参照してください。
次のステップ
データ収集ルールを作成し、エージェントからデータを収集して Azure Monitor に送信します。