你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Monitor 中监视虚拟机的最佳做法

本文提供了使用 Azure Monitor 监视虚拟机及其客户端工作负载的架构最佳做法。 本指南基于 Azure 架构良好的框架中描述的卓越体系结构的五大支柱。

可靠性

在云端,我们承认故障总会发生。 我们的目标不是试图防止各种故障,而是最大程度地减轻单个组件故障造成的影响。 使用以下信息监视虚拟机及其客户端工作负载以发现故障。

设计清单

  • 创建适用于 Azure VM 的可用性警报规则。
  • 创建代理检测信号警报规则以验证代理健康状况。
  • 配置数据收集和警报以监视客户端工作流的可靠性。

配置建议

建议 说明
创建适用于 Azure VM 的可用性警报规则。 使用可用性指标(预览版)跟踪 Azure VM 何时运行。 虽然可以使用建议警报为单个计算器快速启用可用性警报规则,但面向资源组或订阅的单个警报规则可为特定区域该范围内所有 VM 启用可用性警报。 与为每台 VM 创建警报规则相比,这一操作更容易管理,并可确保自动监视在范围内创建的任何新 VM。 此警报规则不需要在 VM 上安装 Azure Monitor 代理,但它不适用于 Azure 外部的 VM。
创建代理检测信号警报规则以验证代理健康状况。 Azure Monitor 代理可每分钟向 Log Analytics 工作区发送一个检测信号。 通过使用代理检测信号的日志搜索警报规则在代理停止发送检测信号时收到警报,这指示 VM 已关闭或代理运行不正常,且未监视客户端工作负载。 此警报规则要求在 VM 上安装 Azure Monitor 代理,并同时适用于 Azure 和非 Azure VM。
配置数据收集和警报以监视客户端工作流的可靠性。 通过使用 Azure Monitor 监视虚拟机:收集数据使用监视虚拟机的信息,配置指示客户端工作负载潜在问题的客户端事件收集。 通过使用 Azure Monitor 监视虚拟机:警报使用监视虚拟机的信息,创建警报规则以主动接收有关任何客户端工作负载潜在操作问题的通知。

安全性

安全是体系结构的首要考虑因素之一。 Azure Monitor 提供了采用最低特权原则和深度防御原则的功能。 使用以下信息监视虚拟机的安全性。

设计清单

  • 使用其他服务对 VM 进行安全监视。
  • 请考虑对 VM 使用 Azure 专用链接,以使用专用终结点连接到 Azure Monitor。

配置建议

建议 说明
使用其他服务对 VM 进行安全监视。 虽然 Azure Monitor 可以从 VM 收集安全事件,但它不用于安全监视。 Azure 包括 Microsoft Defender for CloudMicrosoft SSentinel 等多项服务,可共同提供完整的安全监视解决方案。 要对这些服务进行比较,请参阅安全监视
请考虑对 VM 使用 Azure 专用链接,以使用专用终结点连接到 Azure Monitor。 与公共终结点的连接通过端到端加密进行保护。 如果需要使用专用终结点,可以使用 Azure 专用链接来支持 VM 通过授权专用网络连接到 Azure Monitor。 专用链接还可用于通过 ExpressRoute 或 VPN 强制引入工作区数据。 请参阅设计 Azure 专用链接设置,确定适合你的环境的最佳网络和 DNS 拓扑。

成本优化

成本优化是指可以减少不必要的费用以及提高运营效率的方法。 通过了解不同的配置选项和减少数据收集量的可能设置,可以显著降低 Azure Monitor 的成本。 查看 Azure Monitor 成本和使用情况,了解 Azure Monitor 的不同计费方式以及如何查看每月帐单。

注意

有关 Azure Monitor 的所有功能的成本优化建议,请参阅优化 Azure Monitor 中的成本

设计清单

  • 从 Log Analytics 代理迁移到 Azure Monitor 代理,以实现精细的数据筛选。
  • 筛选代理中不需要的数据。
  • 确定是否要使用 VM 见解以及要收集的数据。
  • 降低性能计数器的轮询频率。
  • 确保 VM 不会发送重复数据。
  • 使用 Log Analytics 工作区见解分析可计费成本,并确定节省成本的机会。
  • 将 SCOM 环境迁移到 Azure Monitor SCOM 托管实例。

配置建议

建议 说明
从 Log Analytics 代理迁移到 Azure Monitor 代理,以实现精细的数据筛选。 如果仍拥有具有 Log Analytics 代理的虚拟机,请将它们迁移到 Azure Monitor 代理,以便可以利用更好的数据筛选,并对不同的虚拟机集使用唯一配置。 Log Analytics 代理的数据收集配置是在工作区上完成的,因此所有代理会收到相同的配置。 可以调整 Azure Monitor 代理使用的数据收集规则,以满足不同虚拟机集的特定监视要求。 Azure Monitor 代理还允许使用转换来筛选收集的数据。
筛选代理中不需要的数据。 通过筛选不会用于警报或分析的数据,降低数据引入成本。 请参阅使用 Azure Monitor 监视虚拟机:收集数据以获得对不同监视案例收集数据的指导,以及控制成本以获得有关筛选数据以降低成本的具体指导。
确定要使用 VM 见解收集的数据。 VM 见解是很好的功能,可以快速开始监视虚拟机,并提供强大的功能,如映射和性能趋势视图。 如果不使用映射功能或它收集的数据,则应在 VM 见解配置中禁用进程和依赖项数据的收集,以节省数据引入成本。
降低性能计数器的轮询频率。 如果使用数据收集规则将性能数据发送到 Log Analytics 工作区,则可以降低其轮询频率以减少收集的数据量。
确保 VM 不会发送重复数据。 如果具有多宿主代理或创建了类似的数据收集规则,请确保向每个工作区发送唯一的数据。 有关分析收集的数据以确保没有收集重复数据的指导,请参阅分析 Log Analytics 工作区中的使用情况。 如果要在代理之间迁移,请在迁移到 Azure Monitor 代理之前继续使用 Log Analytics 代理,而不是同时使用这两种代理,除非可以确保每个代理都收集唯一的数据。
使用 Log Analytics 工作区见解分析可计费成本,并确定节省成本的机会。 Log Analytics 工作区见解可显示在每个表中以及从每个 VM 收集的可计费数据。 使用此信息来识别排名靠前的计算机和表,因为它们是通过筛选数据来降低成本的最佳机会。 使用此见解并记录在 Log Analytics 工作区中分析使用情况中的查询,以进一步分析配置更改的影响。
将 SCOM 环境迁移到 Azure Monitor SCOM 托管实例。 将现有 SCOM 环境迁移到 Azure Monitor SCOM 托管实例,以支持 Azure Monitor 无法替换的任何管理包。 SCOM 托管实例无需维护本地管理服务器和数据库服务器,从而降低了维护 SCOM 基础架构的总体成本。

卓越运营

卓越运营是指使服务在生产环境中可靠运行所需的操作流程。 使用以下信息将监视虚拟机的操作要求降到最低。

设计清单

  • 从旧版代理程序迁移到 Azure Monitor 代理。
  • 使用 Azure Arc 在 Azure 外部监视 VM。
  • 使用 Azure Policy 部署代理并分配数据收集规则。
  • 建立适用于数据收集规则结构的策略。
  • 考虑将 System Center Operations Manager (SCOM) 客户端管理包迁移到 Azure Monitor。

配置建议

建议 说明
从旧版代理程序迁移到 Azure Monitor 代理。 与旧版 Log Analytics 代理相比,Azure Monitor 代理更易于管理,并允许更加灵活地进行 Log Analytics 工作区设计。 Windows 和 Linux 代理允许多宿主,这意味着它们可以连接到多个工作区。 数据收集规则支持大规模管理数据收集设置,并为计算机的子集定义限定范围的唯一配置。 有关考虑事项和迁移方法,请参阅从 Log Analytics 代理迁移到 Azure Monitor 代理
使用 Azure Arc 在 Azure 外部监视 VM。 使用适用于服务器的 Azure Arc,可以管理托管在 Azure 以外、公司网络或其他云提供商的物理服务器和虚拟计算机。 通过 Azure 连接计算机代理,可以使用适用于 Azure VM 的同一方法将 Azure Monitor 代理部署到这些 VM,然后使用相同的 Azure Monitor 工具监视整个 VM 集合。
使用 Azure Policy 部署代理并分配数据收集规则。 借助 Azure Policy,可以将代理自动部署到现有 VM 集和所创建的任何新 VM。 此操作可确保在管理员干预最少的情况下监视所有 VM。 如果使用 VM 见解,请参阅通过使用 Azure Policy 启用 VM 见解。 如果要在没有 VM 见解的情况下管理 Azure Monitor 代理,请参阅使用 Azure Policy 启用 Azure Monitor 代理。 有关创建数据收集规则关联的模板,请参阅请参阅[在 Azure Monitor 中管理数据收集规则关联](../essentials/data-collection-rule-associations.md#create-new-association)。
建立适用于数据收集规则结构的策略。 数据收集规则使用 Azure Monitor 代理定义要从虚拟机收集的数据以及将数据发送到何处。 每个 DCR 可以包含多个收集方案,并与任意数量的 VM 相关联。 建立配置 DCR 的策略,以仅为不同 VM 组收集所需数据,同时在最大程度上减少需要管理的 DCR 数。
考虑将 SCOM 客户端管理包迁移到 Azure Monitor。 如果具有用于监视客户端工作负载的现有 SCOM 环境,则可以将足够的管理包逻辑迁移到 Azure Monitor,以便停用 SCOM 环境,或至少停用某些管理包。 请参阅从 System Center Operations Manager (SCOM) 迁移到 Azure Monitor

性能效率

性能效率是指工作负载能够以高效的方式扩展以满足用户对它的需求。 使用以下信息监视虚拟机的性能。

设计清单

  • 配置数据收集和警报以监视客户端工作流的性能。

配置建议

建议 说明
配置数据收集和警报以监视客户端工作流的性能。 通过使用 Azure Monitor 监视虚拟机:收集数据使用监视虚拟机的信息来配置客户端数据收集,从而度量客户端工作负载的性能。 通过使用 Azure Monitor 监视虚拟机:警报使用监视虚拟机的信息,创建警报规则以主动接收有关任何客户端工作负载潜在性能问题的通知。

后续步骤