通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Policy 安装和管理 Azure Monitor 代理

  • 项目

可以使用 Azure Policy 在现有和新的虚拟机上自动安装 Azure Monitor 代理,并让相关数据收集规则 (DCR) 自动与这些虚拟机关联。 本文介绍可将哪些内置策略和计划用于此功能和可帮助管理它们的 Azure Monitor 功能。

每次创建虚拟机、虚拟机规模集或已启用 Azure Arc 的服务器时,可使用以下策略和策略计划自动安装代理并将其与 DCR 关联。

注意

Azure Monitor 提供预览版 DCR 体验,可简化使用 DCR 的策略和计划的分配创建过程。 该体验包括安装 Azure Monitor 代理的计划。 可以选择使用该体验来为本文中所述的计划创建分配。 有关详细信息,请参阅在 Azure Monitor 中管理 DCR 和关联

先决条件

在开始之前,请查看代理安装先决条件

注意

根据 Microsoft 标识平台最佳做法,用于在虚拟机和虚拟机规模集上安装 Azure Monitor 代理的策略依赖于用户分配的托管标识。 对于这些资源而言,这是可缩放性和可复原性更强的托管标识选项。

对于已启用 Azure Arc 的服务器,策略依赖于系统分配的托管标识,这是目前唯一支持的选项。

内置策略

可以选择使用下一节中所述策略计划中的单个策略来大规模执行单个操作。 例如,如果只想自动安装代理,请使用计划中的第二个代理安装策略。

“Azure Policy 定义”页的屏幕截图,其中显示了用于配置 Azure Monitor 代理的计划中包含的策略。

内置策略计划

适用于 Windows 和 Linux 虚拟机和规模集的内置策略计划使用 Azure Monitor 代理提供端到端大规模加入:

注意

策略定义仅包括 Microsoft 支持的 Windows 和 Linux 版本列表。 要添加自定义映像,请使用其他虚拟机映像参数

这些计划包含用于以下方面的各项策略:

  • (可选)为每个订阅和每个区域创建并分配一个内置的用户分配的托管标识。 了解详细信息

    • 自带用户分配的标识

      • 如果设置为 false,它会在预定义的资源组中创建内置的用户分配的托管标识,并将其分配到应用该策略的所有计算机。 可以在 Built-In-Identity-RG Location 参数中配置资源组的位置
      • 如果设置为 true,则可以改用自动分配给应用该策略的所有计算机的现有用户分配标识

  • 在计算机上安装 Azure Monitor 代理扩展,并将其配置为使用由以下参数指定的用户分配标识:

    • 自带用户分配的标识

      • 如果设置为 false,则会将代理配置为使用由上述策略创建的内置的用户分配的托管标识
      • 如果设置为 true,它会将代理配置为使用现有的用户分配标识

    • 用户分配的托管标识名称:如果使用自己的标识(选择了 true),请指定分配给计算机的标识的名称

    • 用户分配的托管标识资源组:如果使用自己的标识(选择了 true),请指定该标识所在的资源组

    • 其他虚拟机映像:传递要应用策略的其他虚拟机映像名称(如果尚未包含)

    • Built-In-Identity-RG Location:如果使用内置的用户分配的托管标识,请指定创建标识和资源组的位置。 仅当“自带用户分配的托管标识”参数设置为 false 时,才使用此参数

  • 创建并部署关联,以将计算机链接到指定的 DCR。

    • 数据收集规则资源 ID:要通过此策略关联到应用该策略的所有计算机的规则的 Azure 资源管理器 resourceId 值

      显示“Azure Policy 定义”页面的屏幕截图,其中包含用于配置 Azure Monitor 代理的两个内置策略计划。

已知问题

  • 托管标识的默认行为。 了解详细信息
  • 使用内置用户分配标识创建策略时可能会出现争用状况。 了解详细信息
  • 将策略分配给资源组。 如果策略的分配范围是资源组而不是订阅,则在分配或修正之前,必须手动为策略分配使用的标识(不同于代理使用的用户分配标识)授予特定角色。 若未能完成此步骤,则会导致部署失败
  • 其他托管标识限制

修正

这些计划或策略在创建时应用于每个虚拟机。 修正任务将计划中的策略定义部署到现有资源。 可以为已创建的任何资源配置 Azure Monitor 代理。

使用 Azure 门户创建分配时,可以选择同时创建修正任务。 有关修正的信息,请参阅使用 Azure Policy 修正不合规的资源

显示 Azure Monitor 代理的计划修正的屏幕截图。

相关内容

创建 DCR,通过代理收集数据并将其发送给 Azure Monitor。