描述 Azure Arc 与 Azure Policy 和 Azure Monitor 的集成

  • 5 分钟

使用 Azure Arc,Contoso 之类的组织可以将 Azure 功能扩展到位于本地数据中心或其他云提供商托管的计算机操作系统。 例如,Azure Policy 可用于审核操作系统、应用程序和环境设置的合规性。 Contoso IT 员工还可使用 Azure Policy 来管理和评估已启用 Azure Arc 的 Kubernetes 群集的合规性。

同样,Contoso 可以使用 Azure Monitor 来帮助监视和管理通过 Azure Arc 连接的现有本地服务器资源。Contoso 可以使用 Azure Monitor 容器见解收集其已启用 Azure Arc 的 Kubernetes 群集的运行状况和资源利用率数据。

描述 Azure 中 VM 的“见解”页上“映射”选项卡的屏幕截图。显示了 ContosoVM1,以及打开的 TCP 端口的详细信息。还显示了 VM 摘要。

如何使用 Azure Policy?

Azure Policy 是一项服务,可帮助组织管理和评估其 Azure 环境的组织标准的合规性。 Azure Policy 根据目标 Azure 资源类型的属性使用声明性规则。 这些规则构成了策略定义,管理员可通过策略分配将这些定义应用于资源组或订阅。

适用于已启用 Arc 的服务器的 Azure Policy 功能包括:

  • 预配新 Azure 资源时强制实施合规性。
  • 审核现有 Azure 资源的合规性。
  • 审核 Azure VM 内 OS、应用程序配置和环境设置的合规性。

若要为计算机管理和分配 Azure Arc 策略,请在 Azure 门户中浏览至 Azure Arc。 在返回的托管服务器列表中,选择适当的服务器,然后向其分配策略。 需要配置以下设置:

  • 策略范围以及策略范围内的任何排除项
  • 策略定义
  • 分配名称
  • 说明
  • 策略强制实施(启用或禁用)

屏幕截图描述了 Azure 门户中的“分配策略”页。管理员正在从可用策略列表中选择。

分配策略后,可从 Azure Arc 查看所选服务器上的策略设置。

屏幕截图描述了 ContosoVM1 上应用的策略。已应用两个策略,而 VM 符合其中一个策略,但不符合另一个。

如何使用 Azure Monitor?

可以使用 Monitor 来优化现有部署的管理,并预测将来部署的容量需求。 Monitor 通过以下方式提供集中的深度监视功能:

  • 监视和指标可视化。
  • 查询和分析日志。
  • 警报和修正。

可以收集和监视已启用 Arc 的服务器的指标、活动和诊断日志以及事件。 Azure Monitor 可以直接将数据从已连接的计算机收集到 Log Analytics 工作区中,以进行详细的分析和关联。

通过将 Azure Monitor 代理部署到已启用 Arc 的服务器,你可以执行以下操作:

  • 使用 VM 见解监视操作系统和计算机或服务器上运行的任何工作负载
  • 使用 Azure Monitor 进行分析和发出警报
  • 使用 Microsoft Defender for Cloud 或 Microsoft Sentinel 在 Azure 中执行安全监视
  • 使用 Azure 自动化更改跟踪和清单收集清单并跟踪更改

对于已启用 Azure Arc 的 Kubernetes,可以使用容器见解(Azure Monitor 的一项功能)来监视容器工作负载的性能和运行状况。 除了收集容器日志之外,容器见解还有助于从控制器、节点和容器收集内存和处理器指标。 可以使用视图和预构建工作簿集合来分析为 Kubernetes 群集中不同组件收集的数据。

可以在 Azure 存储中存档收集的监视数据,以进行长期分析或实现符合性。 还可以将此数据路由到 Azure 流分析或其他服务,以进行进一步分析。