Compartilhar via

Utilize o Azure Policy para instalar e gerir o Agente do Azure Monitor

  • Artigo

Você pode usar o Azure Policy para instalar automaticamente o Agente do Azure Monitor em máquinas virtuais existentes e novas e ter DCRs (regras de coleta de dados) relevantes automaticamente associadas a elas. Este artigo descreve as políticas internas e as iniciativas que você pode usar para essa funcionalidade e os recursos do Azure Monitor que podem ajudá-lo a gerenciá-las.

Use as políticas e as iniciativas de política a seguir para instalar automaticamente o agente e associá-lo a um DCR sempre que você criar uma máquina virtual, um conjunto de dimensionamento de máquinas virtuais ou um servidor habilitado para Azure Arc.

Observação

O Azure Monitor tem uma experiência de DCR de visualização que simplifica a criação de atribuições para políticas e iniciativas que usam DCRs. A experiência inclui iniciativas que instalam o Agente do Azure Monitor. Você pode optar por usar essa experiência para criar atribuições para as iniciativas descritas neste artigo. Para obter mais informações, consulte Gerenciar DCRs e associações no Azure Monitor.

Pré-requisitos

Antes de começar, examine os pré-requisitos para a instalação do agente.

Observação

De acordo com as práticas recomendadas da plataforma de identidade da Microsoft, as políticas para instalar o Agente do Azure Monitor em máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais dependem de uma identidade gerenciada atribuída pelo usuário. Essa opção de identidade gerenciada é a mais escalonável e resiliente para esses recursos.

Para servidores habilitados para Azure Arc, as políticas dependem de uma identidade gerenciada atribuída pelo sistema como atualmente a única opção com suporte.

Políticas internas

Você pode optar por usar as políticas individuais das iniciativas de política descritas na próxima seção para executar uma única ação em escala. Por exemplo, se você quiser instalar automaticamente apenas o agente, use a segunda política de instalação do agente na iniciativa.

Captura de tela da página Definições de Política do Azure que mostra as políticas contidas na iniciativa para configurar o Agente do Azure Monitor.

Iniciativas de políticas integradas

Iniciativas de política internas para máquinas virtuais Windows e Linux e conjuntos de dimensionamento fornecem integração de ponta a ponta em escala usando o Agente do Azure Monitor:

Observação

As definições de política incluem apenas a lista de versões do Windows e Linux compatíveis com a Microsoft. Para adicionar uma imagem personalizada, use o parâmetro Imagens de Máquina Virtual Adicionais.

Essas iniciativas contêm políticas individuais que:

  • (Opcional) Crie e atribua uma identidade gerenciada interna atribuída pelo usuário por assinatura e por região. Saiba mais.

    • Traga sua Própria Identidade Atribuída pelo Usuário:

      • Se definido como false, ele cria a identidade gerenciada atribuída pelo usuário interna no grupo de recursos predefinido e a atribui a todos os computadores aos quais a política é aplicada. O local do grupo de recursos pode ser configurado no parâmetro Built-In-Identity-RG Location.
      • Se definido como true, você poderá usar uma identidade atribuída pelo usuário existente que é atribuída automaticamente a todos os computadores aos quais a política é aplicada.

  • Instale a extensão do Agente do Azure Monitor no computador e configure-a para usar a identidade atribuída pelo usuário, conforme especificado pelos seguintes parâmetros:

    • Traga sua Própria Identidade Atribuída pelo Usuário:

      • Se definido como false, ele configura o agente para usar a identidade gerenciada atribuída pelo usuário interna criada pela política anterior.
      • Se definido como true, ele configura o agente para usar uma identidade atribuída pelo usuário existente.

    • Nome de identidade gerenciada atribuído pelo usuário: se você usar sua própria identidade (true está selecionado), especifique o nome da identidade atribuída aos computadores.

    • Grupo de Recursos de Identidade Gerenciada Atribuído ao Usuário: se você usar sua própria identidade (true está selecionado), especifique o grupo de recursos no qual a identidade existe.

    • Imagens adicionais de máquina virtual: passe nomes de imagem de máquina virtual adicionais aos quais você deseja aplicar a política, caso ainda não estejam incluídas.

    • Built-In-Identity-RG Location: se você usar uma identidade gerenciada atribuída pelo usuário interna, especifique o local para criar a identidade e o grupo de recursos. Esse parâmetro é usado somente quando o parâmetro Traga sua própria identidade gerenciada atribuída pelo usuário é definido como false.

  • Crie e implante a associação para vincular o computador ao DCR especificado.

    • ID de Recurso de Regra de Coleta de Dados: o valor resourceId do Azure Resource Manager da regra à qual você deseja associar por meio dessa política a todos os computadores aos quais a política é aplicada.

      Captura de tela que mostra a página Definições do Azure Policy com duas iniciativas de política internas para configurar o Agente do Azure Monitor.

Problemas conhecidos

  • Comportamento padrão da identidade gerenciada. Saiba mais.
  • Possível condição de corrida ao usar uma política interna de criação de identidade atribuída pelo usuário. Saiba mais.
  • Atribuição de política a grupos de recursos. Se o escopo de atribuição da política for um grupo de recursos e não uma assinatura, a identidade usada pela atribuição de política (que é diferente da identidade atribuída pelo usuário usada pelo agente) deverá receber manualmente funções específicas antes da atribuição ou correção. Falha ao executar essa etapa resulta em falhas de implantação.
  • Outras limitações da identidade gerenciada.

Remediação

As iniciativas ou políticas se aplicam a cada máquina virtual conforme ela é criada. Uma tarefa de correção implanta as definições de política na iniciativa para recursos existentes. Você pode configurar o Agente do Azure Monitor para todos os recursos que já foram criados.

Ao criar a atribuição usando o portal do Azure, você tem a opção de criar uma tarefa de correção ao mesmo tempo. Para obter informações sobre a correção, consulte Corrigir recursos não compatíveis usando o Azure Policy.

Captura de tela que mostra a correção da iniciativa para o Agente do Azure Monitor.

Conteúdo relacionado

Crie um DCR para coletar dados do agente e enviá-los para o Azure Monitor.