Установка агента Azure Monitor и управление ими с помощью Политика Azure

Вы можете использовать Политика Azure для автоматической установки агента Azure Monitor на существующих и новых виртуальных машинах и автоматического подключения к ним соответствующих правил сбора данных (DCR). В этой статье описаны встроенные политики и инициативы, которые можно использовать для этих функций и функций Azure Monitor, которые помогут вам управлять ими.

Используйте следующие политики и инициативы политики для автоматической установки агента и связывания его с DCR при каждом создании виртуальной машины, масштабируемого набора виртуальных машин или сервера с поддержкой Azure Arc.

Примечание.

В Azure Monitor есть предварительный интерфейс DCR , упрощающий создание назначений для политик и инициатив, использующих контроллеры домена. Этот интерфейс включает инициативы, которые устанавливают агент Azure Monitor. Этот интерфейс можно использовать для создания назначений для инициатив, описанных в этой статье. Дополнительные сведения см. в разделе "Управление контроллерами домена и связями" в Azure Monitor.

Необходимые компоненты

Перед началом работы просмотрите предварительные требования для установки агента.

Примечание.

По платформа удостоверений Майкрософт рекомендациям политики установки агента Azure Monitor на виртуальных машинах и масштабируемых наборах виртуальных машин используют управляемое удостоверение, назначаемое пользователем. Этот вариант обеспечивает более широкие возможности масштабирования и устойчивости управляемых удостоверений для таких ресурсов.

Для серверов с поддержкой Azure Arc политики используют управляемое удостоверение, назначаемое системой, в настоящее время единственным поддерживаемым вариантом.

Встроенные политики

Вы можете использовать отдельные политики из инициатив политики, описанных в следующем разделе, чтобы выполнить одно действие в масштабе. Например, если вы хотите автоматически установить только агент, используйте в инициативе политику установки второго агента.

Встроенные инициативы политик

Встроенные инициативы политики для виртуальных машин Windows и Linux и масштабируемых наборов обеспечивают сквозное подключение с помощью агента Azure Monitor:

• Развертывание агента Azure Monitor для клиентских компьютеров Windows с помощью управляемой проверки подлинности на основе управляемых удостоверений, назначаемого пользователем, и свяжите его с DCR
• Развертывание агента Azure Monitor для клиентских компьютеров Linux с помощью проверки подлинности на основе управляемых удостоверений, назначаемого пользователем, и свяжите его с DCR

Примечание.

Определения политик включают только список версий Windows и Linux, поддерживаемых корпорацией Майкрософт. Чтобы добавить пользовательский образ, используйте параметр "Дополнительные образы виртуальных машин".

Эти инициативы содержат отдельные политики, которые:

• (Необязательно) Создайте и назначьте одно встроенное управляемое удостоверение, назначаемое пользователем, на подписку и в каждом регионе. Подробнее.

  • Приведите собственное удостоверение, назначаемое пользователем:

    • Если задано значение false, он создает встроенное управляемое удостоверение, назначаемое пользователем, в предопределенной группе ресурсов и назначает его всем компьютерам, к которым применяется политика. Расположение группы ресурсов можно настроить в параметре Встроенного удостоверения-RG Location .
    • Если задано значение true, вместо этого можно использовать существующее удостоверение, назначаемое пользователем, которое автоматически назначается всем компьютерам, к которым применяется политика.

• Установите расширение агента Azure Monitor на компьютере и настройте его для использования удостоверения, назначаемого пользователем, как указано в следующих параметрах:

  • Приведите собственное удостоверение, назначаемое пользователем:

    • Если задано значение false, агент настраивает для использования встроенного управляемого удостоверения, назначаемого пользователем, созданного предыдущей политикой.
    • Если задано значение true, он настраивает агент для использования существующего удостоверения, назначаемого пользователем.

  • Имя управляемого удостоверения, назначаемое пользователем: если вы используете собственное удостоверение (true выбрано), укажите имя удостоверения, назначенного компьютерам.

  • Группа ресурсов управляемого удостоверения, назначаемая пользователем: если вы используете собственное удостоверение (true выбрано), укажите группу ресурсов, в которой существует удостоверение.

  • Дополнительные образы виртуальных машин. Передайте дополнительные имена образов виртуальных машин, к которым вы хотите применить политику, если они еще не включены.

  • Встроенное расположение Identity-RG: если вы используете встроенное управляемое удостоверение, назначаемое пользователем, укажите расположение для создания удостоверения и группы ресурсов. Этот параметр используется только в том случае, если параметр "Принести собственное управляемое удостоверение, назначаемое пользователем", имеет значение false.

• Создайте и разверните связь, чтобы связать компьютер с указанным DCR.

  • Идентификатор ресурса правила сбора данных: значение ресурса Azure Resource Manager правила, к которому необходимо связать эту политику, со всеми компьютерами, к которым применяется политика.

    

Известные проблемы

• Поведение управляемого удостоверения по умолчанию. Подробнее.
• Возможное состояние гонки при использовании встроенной политики создания удостоверения, назначаемого пользователем. Подробнее.
• Назначение политики группам ресурсов. Если область назначения политики является группой ресурсов, а не подпиской, удостоверение, используемое назначением политики (которое отличается от удостоверения, назначаемого пользователем, которое используется агентом), необходимо вручную предоставить определенные роли перед назначением или исправлением. Не удалось выполнить этот шаг, это приведет к сбоям развертывания.
• Другие ограничения управляемого удостоверения.

Серверы

Инициативы или политики применяются к каждой виртуальной машине по мере ее создания. Задача исправления развертывает определения политики в инициативе в существующих ресурсах. Агент Azure Monitor можно настроить для всех уже созданных ресурсов.

При создании назначения с помощью портала Azure можно сразу же создать задачу исправления. Сведения об исправлении см. в разделе "Исправление несоответствующих ресурсов" с помощью Политика Azure.

Связанный контент

Создайте DCR для сбора данных из агента и отправки его в Azure Monitor.