你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Policy 安装和管理 Azure Monitor 代理

使用 Azure Policy,可以在现有和新的虚拟机上自动安装 Azure Monitor 代理,并自动将相应的 DCR 与这些虚拟机相关联。 本文介绍可将哪些内置策略和计划用于此 Azure Monitor 功能,以帮助管理虚拟机。

创建虚拟机、规模集或已启用 Azure Arc 的服务器时,可使用以下策略和策略计划自动安装代理并将其与数据收集规则关联。

注意

Azure Monitor 提供预览版数据收集规则 (DCR) 体验,可简化使用 DCR 的策略和计划的分配创建过程。 这包括安装 Azure Monitor 代理的计划。 你可以选择使用该体验来为本文中所述的计划创建分配。 有关详细信息,请参阅在 Azure Monitor 中管理数据收集规则 (DCR) 和关联

先决条件

在继续之前,请查看代理安装先决条件

注意

根据 Microsoft 标识最佳做法,有关在虚拟机和规模集上安装 Azure Monitor 代理的策略依赖于用户分配的托管标识。 对于这些资源而言,这是可缩放性和可复原性更强的托管标识选项。 对于已启用 Azure Arc 的服务器,策略依赖于系统分配的托管标识,因为目前这唯一受支持的选项。

内置策略

可以选择使用上述策略计划中的单个策略来大规模执行单个操作。 例如,如果你只想自动安装代理,请使用计划中的第二个代理安装策略,如下所示。

“Azure Policy 定义”页面的部分屏幕截图,其中显示了用于配置 Azure Monitor 代理的计划中包含的策略。

内置策略计划

有适用于 Windows 和 Linux 虚拟机规模集的内置策略计划,它们使用 Azure Monitor 代理端到端提供大规模加入功能

注意

策略定义仅包括 Microsoft 支持的 Windows 和 Linux 版本列表。 若要添加自定义映像,请使用 Additional Virtual Machine Images 参数。

这些计划包括具有以下用途的各项策略:

  • (可选)为每个区域的每个订阅创建并分配内置的用户分配托管标识。 了解详细信息

    • Bring Your Own User-Assigned Identity:如果设置为 false,它会在预定义的资源组中创建内置的用户分配托管标识,并将其分配到应用该策略的所有计算机。 可以在参数 Built-In-Identity-RG Location 中配置资源组的位置。 如果设置为 true,则可以改用自动分配给应用该策略的所有计算机的现有用户分配标识。
  • 在计算机上安装 Azure Monitor 代理扩展,并将其配置为使用由以下参数指定的用户分配标识。

    • Bring Your Own User-Assigned Managed Identity:如果设置为 false,则会将代理配置为使用由上述策略创建的内置的用户分配托管标识。 如果设置为 true,它会将代理配置为使用现有的用户分配标识。
    • User-Assigned Managed Identity Name:如果你使用自己的标识(选择了 true),请指定分配到计算机的标识的名称。
    • User-Assigned Managed Identity Resource Group:如果你使用自己的标识(选择了 true),请指定该标识所在的资源组。
    • Additional Virtual Machine Images:传递要将策略应用到的其他 VM 映像名称(如果尚未包含)。
    • Built-In-Identity-RG Location:如果使用内置的用户分配托管标识,请指定应创建标识和资源组的位置。 仅当 Bring Your Own User-Assigned Managed Identity 参数设置为 false 时,才使用此参数。
  • 创建并部署关联,以将计算机链接到指定的数据收集规则。

    • Data Collection Rule Resource Id:要通过此策略关联到应用该策略的所有计算机的规则的 Azure 资源管理器 resourceId。

    “Azure Policy 定义”页面的部分屏幕截图,其中显示了用于配置 Azure Monitor 代理的两个内置策略计划。

已知问题

  • 托管标识的默认行为。 了解详细信息
  • 使用内置用户分配标识创建策略可能会出现争用状况。 了解详细信息
  • 将策略分配给资源组。 如果策略的分配范围是资源组而不是订阅,则在分配/修正之前,必须手动为策略分配使用的标识(不同于代理使用的用户分配标识)授予这些角色。 若未能完成此步骤,则会导致部署失败。
  • 其他托管标识限制

补救

这些计划或策略将在创建时应用于每个虚拟机。 修正任务会将计划中的策略定义部署到现有资源,以便为任何已创建的资源配置 Azure Monitor 代理。

使用 Azure 门户创建分配时,可以选择同时创建修正任务。 有关修正的信息,请参阅使用 Azure Policy 修正不符合的资源

显示了 Azure Monitor 代理的计划修正的屏幕截图。

后续步骤

创建数据收集规则,通过代理收集数据并将其发送给 Azure Monitor。