共用方式為

階段 1:Azure 伺服器管理服務的必要條件規劃

  • 發行項

在此階段中,您將熟悉服務的 Azure 伺服器管理套件,並規劃如何部署實作這些管理解決方案所需的資源。

瞭解工具和服務

如需詳細概觀,請檢閱 Azure 伺服器管理工具和服務

  • 參與進行中 Azure 作業的管理區域。
  • 可協助您在這些區域中支援的 Azure 服務和工具。

您將一起使用其中數個服務,以符合您的管理需求。 這些工具通常會在整個指引中參考。

下列各節將討論使用這些工具和服務所需的規劃和準備。

Log Analytics 工作區和自動化帳戶規劃

您用來將 Azure 管理服務上線的許多服務都需要 Log Analytics 工作區和連結 Azure 自動化 帳戶。

Log Analytics 工作區是儲存 Azure 監視器記錄數據的唯一環境。 每個工作區都有自己的資料存放庫和設定。 數據源和解決方案已設定為將其數據儲存在特定工作區中。 Azure 監視解決方案要求所有伺服器都連線到工作區,以便儲存和存取其記錄數據。

某些管理服務需要 Azure 自動化 帳戶。 您可以使用此帳戶和 Azure 自動化的功能,整合 Azure 服務和其他公用系統,以部署、設定及管理您的伺服器管理程式。

下列 Azure 伺服器管理服務需要連結的 Log Analytics 工作區和自動化帳戶:

本指引的第二個階段著重於部署服務和自動化腳本。 它示範如何建立Log Analytics工作區和自動化帳戶。 本指南也會示範如何使用 Azure 原則,以確保新的虛擬機已連線到正確的工作區。

本指南中的範例假設部署尚未部署至雲端的伺服器。 若要深入了解規劃工作區所涉及的原則和考慮,請參閱 管理 Azure 監視器中的記錄數據和工作區。

規劃考量

準備上線管理服務所需的工作區和帳戶時,請考慮下列問題:

  • Azure 地理位置和法規合規性: Azure 區域會組織成 地理位置Azure 地理位置可確保在地理界限內遵守數據落地、主權、合規性和復原需求。 如果您的工作負載受限於數據主權或其他合規性需求,則必須將工作區和自動化帳戶部署到與其支援的工作負載資源位於相同 Azure 地理位置內的區域。
  • 工作區數目: 作為指導原則,建立每個 Azure 地理位置所需的工作區數目下限。 針對計算或記憶體資源所在的每個 Azure 地理位置,建議至少一個工作區。 當您將數據遷移至不同的地理位置時,此初始對齊有助於避免未來的法規問題。
  • 數據保留和上限: 建立工作區或自動化帳戶時,您可能也需要將數據保留原則或數據上限需求納入考慮。 如需這些原則的詳細資訊,以及規劃工作區時的其他考慮,請參閱 管理 Azure 監視器中的記錄數據和工作區。
  • 區域對應:只有在特定 Azure 區域之間才支持連結 Log Analytics 工作區和 Azure 自動化 帳戶。 例如,如果 Log Analytics 工作區裝載於 East US 區域中,則必須在 East US 2 區域中建立連結的自動化帳戶,才能與管理服務搭配使用。 如果您有在另一個區域中建立的自動化帳戶,則無法連結到 中的 East US工作區。 部署區域的選擇可能會大幅影響 Azure 地理位置需求。 請參閱區域對應表,以決定哪些區域應該裝載您的工作區和自動化帳戶。
  • 工作區多路連接: Azure Log Analytics 代理程式在某些案例中支援多路連接,但在此設定中執行時,代理程式面臨數個限制和挑戰。 除非Microsoft已針對您的特定案例建議使用,否則請勿在Log Analytics代理程式上設定多路連接。

資源放置範例

有數種不同的模型可用來選擇您放置Log Analytics工作區和自動化帳戶的訂用帳戶。 簡言之,請將工作區和自動化帳戶放在負責實作更新管理解決方案和 變更追蹤和清查 服務的小組所擁有的訂用帳戶中。

以下是部署工作區和自動化帳戶的一些方式範例。

依地理位置放置

小型和中型環境具有單一訂用帳戶和數百個跨越多個 Azure 地理位置的資源。 在這些環境中,在每個地理位置建立一個Log Analytics工作區和一個 Azure 自動化 帳戶。

您可以在每個資源群組中建立工作區和 Azure 自動化 帳戶作為一對。 然後,將對應地理位置中的配對部署到虛擬機。

或者,如果您的數據合規性原則未規定資源位於特定區域,您可以建立一組來管理所有虛擬機。 我們也建議您將工作區和自動化帳戶配對放在不同的資源群組中,以提供更細微的 Azure 角色型存取控制 (Azure RBAC)。

下圖中的範例有一個訂用帳戶,其中兩個資源群組位於不同的地理位置:

小型到中型環境的工作區模型

在管理訂用帳戶中放置

較大的環境跨越多個訂用帳戶,並擁有擁有監視和合規性的中央IT小組。 針對這些環境,在IT管理訂用帳戶中建立一組工作區和自動化帳戶。 在此模型中,地理位置中的虛擬機資源會將其數據儲存在IT管理訂用帳戶中的對應地理位置工作區中。 如果應用程式小組需要執行自動化工作,但不需要連結的工作區和自動化帳戶,他們可以在自己的應用程式訂用帳戶中建立個別的自動化帳戶。

大型環境的工作區模型

分散式放置

在大型環境的替代模型中,應用程式開發小組可以負責修補和管理。 在此情況下,請將工作區和自動化帳戶配對放在應用程式小組訂用帳戶與其他資源。

分散式環境的工作區帳戶模型

建立工作區和自動化帳戶

在您選擇放置及組織工作區和帳戶配對的最佳方式之後,請先確定您已建立這些資源,再開始上線程式。 本指引稍後的自動化範例會為您建立工作區和自動化帳戶組。 不過,如果您想要使用 Azure 入口網站 上線,而且您沒有現有的工作區和自動化帳戶組,則必須建立一個工作區。

若要使用 Azure 入口網站 建立Log Analytics工作區,請參閱建立工作區。 接下來,遵循建立 Azure 自動化 帳戶中的步驟,為每個工作區建立相符的自動化帳戶

下一步

瞭解如何將 伺服器 上線至 Azure 伺服器管理服務。

上線至 Azure 伺服器管理服務