Azure Policy を使用して Azure Monitor エージェントをインストールして管理する
Azure Policy を使用して、既存および新しい仮想マシンに Azure Monitor エージェントを自動的にインストールし、それらに関連するデータ収集ルール (DCR) を自動的に関連付けることができます。 この記事では、この機能と、それらの管理を支援する Azure Monitor の機能に使用できる組み込みのポリシーとイニシアティブについて説明します。
仮想マシン、仮想マシン スケール セット、または Azure Arc 対応サーバーを作成するたびに、次のポリシーとポリシー イニシアティブを使用して、エージェントを自動的にインストールし、DCR に関連付けます。
Note
Azure Monitor には、DCR を使用するポリシーとイニシアティブの割り当ての作成を簡略化するプレビューの DCR エクスペリエンスがあります。 エクスペリエンスには、Azure Monitor エージェントをインストールするイニシアティブが含まれます。 そのエクスペリエンスを利用して、この記事で説明されているイニシアティブの割り当てを作成することもできます。 詳細については、Azure Monitor での DCR と関連付けの管理に関する記事を参照してください。
前提条件
続行する前に、エージェントのインストールの前提条件を確認してください。
Note
Microsoft ID プラットフォームのベスト プラクティスに従うと、仮想マシンと仮想マシン スケール セットに Azure Monitor エージェントをインストールするためのポリシーは、ユーザー割り当てマネージド ID に依存します。 このオプションは、これらのリソースのよりスケーラブルで回復性があるマネージド ID です。
Azure Arc 対応サーバーの場合、ポリシーは、現在サポートされている唯一のオプションであるシステム割り当てマネージド ID に依存します。
組み込みのポリシー
次のセクションで説明するポリシー イニシアティブの個々のポリシーを使用して、大規模に 1 つのアクションを実行することもできます。 たとえば、エージェントのみを自動的にインストールする場合、イニシアティブの 2 番めのエージェント インストール ポリシーを使用します。
組み込みのポリシー イニシアチブ
Windows と Linux の仮想マシンとスケール セット用の組み込みポリシー イニシアティブは、Azure Monitor エージェントを使用して、エンドツーエンドの大規模なオンボーディングを提供します。
- ユーザー割り当てマネージド ID ベースの認証を使用する Windows Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける
- ユーザー割り当てマネージド ID ベースの認証を使用する Linux Azure Monitor エージェントをデプロイし、データ収集ルールを関連付ける
Note
ポリシー定義には、Microsoft がサポートする Windows と Linux のバージョンの一覧のみが含まれます。 カスタム イメージを追加するには、Additional Virtual Machine Images パラメーターを使用します。
これらのイニシアティブには、次を実行する個々のポリシーが含まれています。
(オプション) サブスクリプションごと、リージョンごとに、組み込みのユーザー割り当てマネージド ID を 1 つ作成して割り当てます。 詳細情報。
Bring Your Own User-Assigned Identity:
- false に設定すると、定義済みのリソース グループに組み込みのユーザー割り当てマネージド ID が作成され、ポリシーが適用されているすべてのマシンに割り当てられます。 リソース グループの場所は、Built-In-Identity-RG Location パラメーターで構成できます。
- true に設定すると、代わりに既存のユーザー割り当て ID を使用でき、その ID が、ポリシーが適用されているすべてのマシンに自動的に割り当てられます。
Azure Monitor エージェント拡張機能をマシンにインストールし、次のパラメーターを指定して、このエージェントがユーザー割り当て ID を使用するように構成します。
Bring Your Own User-Assigned Identity:
- false に設定すると、前述のポリシーによって作成された組み込みのユーザー割り当てマネージド ID を使用するようにエージェントが構成されます。
- true に設定すると、既存のユーザー割り当て ID を使用するようにエージェントが構成されます。
User-Assigned Managed Identity Name: 独自の ID を使用する (true を選んだ) 場合は、マシンに割り当てられる ID の名前を指定します。
User-Assigned Managed Identity Resource Group: 独自の ID を使用する (true を選んだ) 場合は、ID が存在するリソース グループを指定します。
Additional Virtual Machine Images: ポリシーの適用先の仮想マシン イメージ名がまだ含まれていない場合は、追加の仮想マシン イメージ名を渡します。
Built-In-Identity-RG Location: 組み込みのユーザー割り当てマネージド ID を使用する場合は、ID とリソース グループを作成する場所を指定します。 このパラメーターは、Bring Your Own User-Assigned Managed Identity パラメーターが false のときにのみ使用されます。
関連付けを作成して展開し、マシンを指定した DCR にリンクします。
既知の問題
- マネージド ID の既定の動作。 詳細情報。
- 組み込みのユーザー割り当て ID 作成ポリシーを使用するときに競合状態が発生する可能性。 詳細情報。
- リソース グループへのポリシーの割り当て。 ポリシーの割り当てスコープがサブスクリプションではなくリソース グループである場合、ポリシーの割り当てで使用される ID (エージェントで使用されるユーザー割り当て ID とは異なる) には、割り当てまたは修復の前に特定のロールを手動で付与する必要があります。 この手順を行わないと、"展開エラー" が発生します。
- その他のマネージド ID の制限事項。
修正
イニシアチブやポリシーは、作成時に、各仮想マシンに適用されます。 修復タスクは、イニシアチブ内のポリシー定義を既存のリソースに展開します。 既に作成されているどのリソースにも Azure Monitor エージェントを構成できます。
Azure portal を使用して割り当てを作成するときに、修復タスクを同時に作成することができます。 修復について詳しくは、「Azure Policy を使って準拠していないリソースを修復する」を参照してください。
関連するコンテンツ
DCR を作成して、エージェントからデータを収集し、Azure Monitor に送信します。