使用 Azure 原則 來安裝和管理 Azure 監視器代理程式
您可以使用 Azure 原則,在現有和新虛擬機上自動安裝 Azure 監視器代理程式,並讓相關的數據收集規則 (DCR) 自動與其產生關聯。 本文說明您可以用於此功能的內建原則和計劃,以及可協助您管理它們的 Azure 監視器功能。
使用下列原則和原則計劃來自動安裝代理程式,並在每次建立虛擬機、虛擬機擴展集或已啟用 Azure Arc 的伺服器時,將其與 DCR 產生關聯。
注意
Azure 監視器具有預覽 DCR 體驗,可簡化針對使用 DCR 的原則和計劃建立指派。 此體驗包括安裝 Azure 監視器代理程式的計劃。 您可以選擇使用該體驗,為本文所述的計劃建立指派。 如需詳細資訊,請參閱 管理 Azure 監視器中的 DCR 和關聯。
必要條件
開始之前,請先檢閱 代理程式安裝的必要條件。
注意
根據 Microsoft 身分識別平台 最佳做法,在虛擬機和虛擬機擴展集上安裝 Azure 監視器代理程式的原則依賴使用者指派的受控識別。 對於這些資源而言,這是更具可調整性和復原性的受控識別選項。
針對已啟用 Azure Arc 的伺服器,原則依賴系統指派的受控識別,作為目前唯一支援的選項。
內建原則
您可以選擇使用下一節所述的原則計劃中的個別原則,大規模執行單一動作。 例如,如果您想要只自動安裝代理程式,請在方案中使用第二個代理程式安裝原則。
![[Azure 原則 定義] 頁面的螢幕快照,其中顯示設定 Azure 監視器代理程序計劃內含的原則。](media/azure-monitor-agent-install/built-in-ama-dcr-policy.png#lightbox)
內建原則計畫
適用於 Windows 和 Linux 虛擬機和擴展集的內建原則計劃,使用 Azure 監視器代理程式提供端對端、大規模上線:
- 使用使用者指派的受控識別型驗證來部署適用於 Windows 用戶端電腦的 Azure 監視器代理程式,並將其與 DCR 產生關聯
- 使用使用者指派的受控識別型驗證來部署適用於 Linux 用戶端電腦的 Azure 監視器代理程式,並將其與 DCR 產生關聯
注意
原則定義只包含Microsoft支援的 Windows 和 Linux 版本清單。 若要新增自定義映像,請使用 [其他虛擬機映射 ] 參數。
這些計劃包含個別的原則::
(選擇性)為每個訂用帳戶和每個區域建立並指派一個內建使用者指派的受控識別。 深入了解。
攜帶您自己的使用者指派身分識別:
- 如果設定為 false,它會在預先定義的資源群組中建立內建使用者指派的受控識別,並將它指派給套用原則的所有機器。 資源群組的位置可以在內建 Identity-RG 位置參數中設定。
- 如果設定為 true,您可以改用現有的使用者指派身分識別,自動指派給套用原則的所有機器。
在計算機上安裝 Azure 監視器代理程式擴充功能,並將其設定為使用使用者指派的身分識別,如下列參數所指定:
攜帶您自己的使用者指派身分識別:
- 如果設定為 false,它會將代理程式設定為使用上述原則所建立的內建使用者指派受控識別。
- 如果設定為 true,它會將代理程式設定為使用現有的使用者指派身分識別。
使用者指派的受控識別名稱:如果您使用自己的身分識別(true 已選取),請指定指派給機器的身分識別名稱。
使用者指派的受控識別資源群組:如果您使用自己的身分識別(true 已選取), 請指定身分識別所在的資源群組。
其他虛擬機映射:如果尚未包含這些映像,請傳遞您想要套用原則的其他虛擬機映像名稱。
內建的 Identity-RG 位置:如果您使用內建使用者指派的受控識別,請指定用來建立身分識別和資源群組的位置。 只有當 [攜帶您自己的使用者指派的受控識別] 參數設定為 false 時,才會使用此參數。
建立並部署關聯,以將電腦連結至指定的 DCR。
數據收集規則資源標識碼:您想要透過此原則與此原則相關聯的規則的 Azure Resource Manager resourceId 值,套用原則的所有機器。
![顯示 [Azure 原則 定義] 頁面的螢幕快照,其中包含兩個用於設定 Azure 監視器代理程式的內建原則計劃。](media/azure-monitor-agent-install/built-in-ama-dcr-initiatives.png)
![顯示 [Azure 原則 定義] 頁面的螢幕快照,其中包含兩個用於設定 Azure 監視器代理程式的內建原則計劃。](media/azure-monitor-agent-install/built-in-ama-dcr-initiatives.png#lightbox)
已知問題
- 受控識別預設行為。 深入了解。
- 使用內建使用者指派的身分識別建立原則時,可能的競爭條件。 深入了解。
- 將原則指派給資源群組。 如果原則的指派範圍是資源群組,而不是訂用帳戶,則原則指派所使用的身分識別(與代理程式所使用的使用者指派身分識別不同)必須在指派或補救之前手動授 與特定角色 。 無法執行此步驟會導致 部署失敗。
- 其他 受控識別限制。
補救
方案或原則會套用至每個虛擬機建立時。 補救工作會將計劃中的原則定義部署到現有的資源。 您可以針對已建立的任何資源設定 Azure 監視器代理程式。
當您使用 Azure 入口網站建立指派時,可以選擇同時建立補救工作。 如需補救的相關信息,請參閱使用 Azure 原則 補救不符合規範的資源。
相關內容
建立 DCR 以從代理程式收集數據,並將其傳送至 Azure 監視器。