Udostępnij za pośrednictwem

Instalowanie agenta usługi Azure Monitor i zarządzanie nim za pomocą usługi Azure Policy

  • Artykuł

Za pomocą usługi Azure Policy możesz automatycznie zainstalować agenta usługi Azure Monitor na istniejących i nowych maszynach wirtualnych oraz automatycznie skojarzyć z nimi odpowiednie kontrolery domeny. W tym artykule opisano wbudowane zasady i inicjatywy, które można wykorzystać dla tej funkcji i funkcji usługi Azure Monitor, aby pomóc w zarządzaniu nimi.

Użyj następujących zasad i inicjatyw zasad, aby automatycznie zainstalować agenta i skojarzyć go z regułą zbierania danych za każdym razem, gdy tworzysz maszynę wirtualną, zestaw skalowania lub serwer z obsługą usługi Azure Arc.

Uwaga

Usługa Azure Monitor ma środowisko DCR reguły zbierania danych w wersji zapoznawczej, które upraszcza tworzenie przypisań dla zasad i inicjatyw korzystających z kontrolerów domeny. Obejmuje to inicjatywy, które instalują agenta usługi Azure Monitor. Możesz użyć tego środowiska do tworzenia przypisań dla inicjatyw opisanych w tym artykule. Aby uzyskać więcej informacji, zobacz Zarządzanie regułami zbierania danych (DCR) i skojarzeniami w usłudze Azure Monitor .

Wymagania wstępne

Przed kontynuowaniem zapoznaj się z wymaganiami wstępnymi dotyczącymi instalacji agenta.

Uwaga

Zgodnie z najlepszymi rozwiązaniami dotyczącymi tożsamości firmy Microsoft zasady instalowania agenta usługi Azure Monitor na maszynach wirtualnych i zestawach skalowania zależą od tożsamości zarządzanej przypisanej przez użytkownika. Ta opcja to bardziej skalowalna i odporna tożsamość zarządzana dla tych zasobów. W przypadku serwerów z obsługą usługi Azure Arc zasady korzystają z tożsamości zarządzanej przypisanej przez system jako jedynej obsługiwanej obecnie opcji.

Wbudowane zasady

Możesz użyć poszczególnych zasad z poprzedniej inicjatywy zasad, aby wykonać pojedynczą akcję na dużą skalę. Jeśli na przykład chcesz automatycznie zainstalować agenta, użyj drugich zasad instalacji agenta z inicjatywy, jak pokazano poniżej.

Zrzut ekranu przedstawiający częściowe zrzuty ekranu ze strony Definicje usługi Azure Policy zawierające zasady zawarte w ramach inicjatywy konfigurowania agenta usługi Azure Monitor.

Wbudowane inicjatywy zasad

Istnieją wbudowane inicjatywy zasad dla maszyn wirtualnych z systemami Windows i Linux, zestawy skalowania, które zapewniają dołączanie na dużą skalę przy użyciu agentów usługi Azure Monitor— kompleksowe

Uwaga

Definicje zasad zawierają tylko listę wersji systemów Windows i Linux, które obsługuje firma Microsoft. Aby dodać obraz niestandardowy, użyj parametru Additional Virtual Machine Images .

Powyższe inicjatywy obejmują poszczególne zasady, które:

  • (Opcjonalnie) Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika na subskrypcję na region. Dowiedz się więcej.

    • Bring Your Own User-Assigned Identity: Jeśli ustawiono falsewartość , tworzy wbudowaną tożsamość zarządzaną przypisaną przez użytkownika w wstępnie zdefiniowanej grupie zasobów i przypisuje ją do wszystkich maszyn, do których są stosowane zasady. Lokalizację grupy zasobów można skonfigurować w parametrze Built-In-Identity-RG Location . Jeśli ustawiono wartość true, możesz zamiast tego użyć istniejącej tożsamości przypisanej przez użytkownika, która jest automatycznie przypisywana do wszystkich maszyn, do których są stosowane zasady.

  • Zainstaluj rozszerzenie agenta usługi Azure Monitor na maszynie i skonfiguruj je do używania tożsamości przypisanej przez użytkownika zgodnie z poniższymi parametrami.

    • Bring Your Own User-Assigned Managed Identity: Jeśli ustawiono wartość false, konfiguruje agenta tak, aby używał wbudowanej tożsamości zarządzanej przypisanej przez użytkownika utworzonej przez poprzednie zasady. Jeśli jest ustawiona wartość true, konfiguruje agenta tak, aby używał istniejącej tożsamości przypisanej przez użytkownika.
    • User-Assigned Managed Identity Name: Jeśli używasz własnej tożsamości (wybranej true), określ nazwę tożsamości przypisanej do maszyn.
    • User-Assigned Managed Identity Resource Group: Jeśli używasz własnej tożsamości (wybranej true), określ grupę zasobów, w której istnieje tożsamość.
    • Additional Virtual Machine Images: Przekaż dodatkowe nazwy obrazów maszyny wirtualnej, do których chcesz zastosować zasady, jeśli nie zostały jeszcze uwzględnione.
    • Built-In-Identity-RG Location: Jeśli używasz wbudowanej tożsamości zarządzanej przypisanej przez użytkownika, określ lokalizację, w której ma zostać utworzona tożsamość i grupa zasobów. Ten parametr jest używany tylko wtedy, gdy Bring Your Own User-Assigned Managed Identity parametr jest ustawiony na falsewartość .

  • Utwórz i wdróż skojarzenie, aby połączyć maszynę z określoną regułą zbierania danych.

    • Data Collection Rule Resource Id: identyfikator resourceId reguły, którą chcesz skojarzyć za pomocą tych zasad, do wszystkich maszyn, do których są stosowane zasady.

    Częściowy zrzut ekranu ze strony Definicje usługi Azure Policy przedstawiający dwie wbudowane inicjatywy zasad służące do konfigurowania agenta usługi Azure Monitor.

Znane problemy

  • Domyślne zachowanie tożsamości zarządzanej. Dowiedz się więcej.
  • Możliwy stan wyścigu z użyciem wbudowanych zasad tworzenia tożsamości przypisanych przez użytkownika. Dowiedz się więcej.
  • Przypisywanie zasad do grup zasobów. Jeśli zakres przypisania zasad jest grupą zasobów, a nie subskrypcją, tożsamość używana przez przypisanie zasad (inna niż tożsamość przypisana przez użytkownika używana przez agenta) musi zostać ręcznie nadany tym role przed przypisaniem/korygowaniem. Nie można wykonać tego kroku, co spowoduje niepowodzenia wdrażania.
  • Inne ograniczenia tożsamości zarządzanej.

Korekty

Inicjatywy lub zasady będą stosowane do każdej maszyny wirtualnej podczas jej tworzenia. Zadanie korygowania wdraża definicje zasad w inicjatywie dla istniejących zasobów, dzięki czemu można skonfigurować agenta usługi Azure Monitor dla wszystkich zasobów, które zostały już utworzone.

Podczas tworzenia przypisania przy użyciu witryny Azure Portal możesz jednocześnie utworzyć zadanie korygowania. Aby uzyskać informacje na temat korygowania, zobacz Korygowanie niezgodnych zasobów za pomocą usługi Azure Policy.

Zrzut ekranu przedstawiający korygowanie inicjatywy dla agenta usługi Azure Monitor.

Następne kroki

Utwórz regułę zbierania danych w celu zbierania danych z agenta i wysyłania ich do usługi Azure Monitor.