Povolení přehledů virtuálních počítačů pomocí Azure Policy

  • Článek

Azure Policy umožňuje nastavit a vynutit požadavky na všechny nové prostředky, které vytvoříte, a prostředky, které upravíte. Iniciativy zásad přehledů virtuálních počítačů, které jsou předdefinované sady zásad vytvořených pro přehledy virtuálních počítačů, nainstalujte agenty potřebné pro přehledy virtuálních počítačů a povolte monitorování na všech nových virtuálních počítačích ve vašem prostředí Azure.

Tento článek vysvětluje, jak povolit přehledy virtuálních počítačů pro virtuální počítače Azure, škálovací sady virtuálních počítačů a hybridní virtuální počítače propojené se službou Azure Arc pomocí předdefinovaných zásad přehledů virtuálních počítačů.

Poznámka:

Informace o tom, jak používat Azure Policy se škálovacími sadami virtuálních počítačů Azure a jak pracovat se službou Azure Policy přímo pro povolení virtuálních počítačů Azure, najdete v tématu Nasazení služby Azure Monitor ve velkém měřítku pomocí azure Policy.

Iniciativy přehledů virtuálních počítačů

Iniciativy zásad přehledů virtuálních počítačů nainstalují agenta Azure Monitoru a agenta závislostí na nových virtuálních počítačích ve vašem prostředí Azure. Tyto iniciativy přiřaďte skupině pro správu, předplatnému nebo skupině prostředků, aby se agenti nainstalovali na virtuální počítače Azure s Windows nebo Linuxem v definovaném oboru automaticky.

Iniciativy se týkají nových počítačů, které vytváříte, a počítačů, které upravujete, ale ne u existujících virtuálních počítačů.

Název Popis
Povolení Azure Monitor pro virtuální počítače s využitím agenta monitorování Azure Nainstaluje agenta Azure Monitoru a závislého agenta na virtuální počítače Azure.
Povolení služby Azure Monitor pro škálovací sady virtuálních počítačů pomocí agenta monitorování Azure Nainstaluje agenta Azure Monitoru a závislého agenta do škálovacích sad virtuálních počítačů.
Povolení služby Azure Monitor pro hybridní virtuální počítače s využitím agenta monitorování Azure Nainstaluje agenta Azure Monitoru a závislého agenta na hybridní virtuální počítače připojené ke službě Azure Arc.
Starší verze: Povolení Azure Monitor pro virtuální počítače Nainstaluje agenta Log Analytics a závislého agenta do škálovacích sad virtuálních počítačů.
Starší verze: Povolení služby Azure Monitor pro škálovací sady virtuálních počítačů Nainstaluje agenta Log Analytics a závislého agenta do škálovacích sad virtuálních počítačů.

Důležité

Starší verze agentaLog Analytics bude do srpna 2024 zastaralá. Po tomto datu už Microsoft nebude poskytovat žádnou podporu pro agenta Log Analytics. Migrace na agenta Azure Monitoru před srpnem 2024 a pokračujte v ingestování dat.

Podpora vlastních imagí

Zásady přehledů virtuálních počítačů založené na agentech Azure Monitoru a definice iniciativ mají scopeToSupportedImages parametr, který je standardně nastavený true tak, aby povolovaly onboarding Dependency Agent pouze na podporovaných imagích. Nastavte tento parametr tak, aby falsepovolte onboarding Dependency Agenta u vlastních imagí.

Přiřazení iniciativy zásad přehledů virtuálních počítačů

Přiřazení iniciativy zásad přehledů virtuálních počítačů k předplatnému nebo skupině pro správu z webu Azure Portal:

  1. Vyhledejte a otevřete zásady.

  2. Vyberte Iniciativu> Přiřadit přiřazení.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Zobrazí se obrazovka Přiřadit iniciativu .

    Screenshot that shows Assign initiative.

  3. Konfigurace přiřazení iniciativy:

    1. V poli Obor vyberte skupinu pro správu nebo předplatné, ke kterému iniciativu přiřadíte.

    2. (Volitelné) Výběrem vyloučení vyloučíte konkrétní prostředky z přiřazení iniciativy. Pokud je váš obor například skupina pro správu, můžete zadat předplatné v této skupině pro správu, které se má z přiřazení vyloučit.

    3. Výběrem tří teček (...) vedle přiřazení iniciativy spusťte výběr definice zásady. Vyberte jednu z iniciativ přehledů virtuálních počítačů.

    4. (Volitelné) Změňte název přiřazení a přidejte popis.

    5. Na kartě Parametry vyberte pracovní prostor služby Log Analytics, do kterého budou odesílat data všechny virtuální počítače v přiřazení. Aby virtuální počítače odesílaly data do různých pracovních prostorů, vytvořte několik přiřazení s vlastním oborem.

      Screenshot that shows a workspace.

      Poznámka:

      Pokud vyberete pracovní prostor, který není v rozsahu přiřazení, udělte oprávnění přispěvatele Log Analytics k ID objektu zabezpečení přiřazení zásad. Jinak může dojít k selhání nasazení, například:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte podrobnosti o přiřazení iniciativy. Výběrem možnosti Vytvořit vytvořte zadání.

    V tuto chvíli nevytvořte úlohu nápravy, protože k povolení stávajících virtuálních počítačů pravděpodobně budete potřebovat několik úloh nápravy. Další informace o vytváření úloh nápravy najdete v tématu Náprava výsledků dodržování předpisů.

Kontrola dodržování předpisů pro iniciativu zásad přehledů virtuálních počítačů

Po přiřazení iniciativy můžete zkontrolovat a spravovat dodržování předpisů pro iniciativu napříč skupinami pro správu a předplatnými.

Pokud chcete zjistit, kolik virtuálních počítačů existuje v každé skupině pro správu nebo předplatných a jejich stavu dodržování předpisů:

  1. Vyhledejte a otevřete Azure Monitor.

  2. Vyberte Přehled >virtuálních počítačů>Další možnosti onboardingu. Potom v části Povolit pomocí zásad vyberte Povolit.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    Zobrazí se stránka Azure Monitor pro virtuální počítače Pokrytí zásad.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    Následující tabulka popisuje informace o dodržování předpisů uvedené na stránce Azure Monitor pro virtuální počítače Pokrytí zásad.

    Function Popis
    Scope Skupina pro správu nebo předplatné, na které se iniciativa vztahuje.
    Moje role Vaše role v oboru. Role může být čtenář, vlastník, přispěvatel nebo prázdná, pokud máte přístup k předplatnému, ale ne ke skupině pro správu, do které patří. Vaše role určuje, která data můžete zobrazit a jestli můžete přiřadit zásady nebo iniciativy (vlastníka), upravit je nebo zobrazit dodržování předpisů.
    Celkový počet virtuálních počítačů Celkový počet virtuálních počítačů v oboru bez ohledu na jejich stav U skupiny pro správu je toto číslo součtem virtuálních počítačů ve všech souvisejících předplatných nebo podřízených skupinách pro správu.
    Pokrytí přiřazení Procento virtuálních počítačů pokrytých iniciativou Při přiřazování iniciativy může být rozsah, který vyberete v přiřazení, oborem uvedeným nebo podmnožinou. Pokud například vytvoříte přiřazení pro předplatné (obor iniciativy) a ne skupinu pro správu (rozsah pokrytí), hodnota pokrytí přiřazení označuje virtuální počítače v oboru iniciativy dělené virtuálními počítači v rozsahu pokrytí. V jiném případě můžete z oboru zásad vyloučit některé virtuální počítače, skupiny prostředků nebo předplatné. Pokud je hodnota prázdná, znamená to, že zásada nebo iniciativa neexistuje nebo nemáte oprávnění.
    Stav přiřazení Úspěch: Agent Služby Azure Monitor nebo agent Log Analytics a agent závislostí nasazené na všech počítačích v oboru.
    Upozornění: Předplatné není ve skupině pro správu.
    Nezačalo se: Bylo přidáno nové přiřazení.
    Uzamčení: Nemáte dostatečná oprávnění ke skupině pro správu.
    Prázdné: Neexistují žádné virtuální počítače nebo nejsou přiřazeny zásady.
    Kompatibilní virtuální počítače Počet virtuálních počítačů s nainstalovaným agentem Azure Monitoru nebo agentem Log Analytics a agentem závislostí Toto pole je prázdné, pokud neexistují žádná přiřazení, žádné virtuální počítače v oboru nebo pokud nemáte příslušná oprávnění.
    Splnění předpisů Celkové číslo dodržování předpisů je součet jedinečných vyhovujících prostředků vydělený součtem všech jedinečných prostředků.
    Stav dodržování předpisů Kompatibilní: Všechny virtuální počítače v oboru mají nasazeného agenta služby Azure Monitor nebo agenta Log Analytics a agenta závislostí nebo žádné nové virtuální počítače v oboru se ještě nevyhodnotily.
    Nekompatibilní: Virtuální počítače nejsou povolené a můžou potřebovat nápravu.
    Nezačalo se: Bylo přidáno nové přiřazení.
    Uzamčení: Nemáte dostatečná oprávnění ke skupině pro správu.
    Prázdné: Nejsou přiřazeny žádné zásady.

  3. Výběr tří teček (...) >Zobrazit dodržování předpisů

    Screenshot that shows View Compliance.

    Zobrazí se stránka Dodržování předpisů . Zobrazí seznam přiřazení, která odpovídají zadanému filtru, a označuje, jestli jsou kompatibilní.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Výběrem zadání zobrazíte jeho podrobnosti. Zobrazí se stránka iniciativy pro dodržování předpisů . Uvádí definice zásad v iniciativě a to, jestli jsou všechny v souladu s předpisy.

    Screenshot that shows Compliance details.

    Definice zásad se považují za nedodržující předpisy, pokud:

    • Agent Azure Monitor, agent Log Analytics nebo agent závislostí se nenasazují. Vytvořte úlohu nápravy, která se má zmírnit.
    • Image virtuálního počítače (OS) není v definici zásady identifikována. Zásady můžou ověřovat jenom dobře známé image virtuálních počítačů Azure. V dokumentaci zjistíte, jestli je operační systém virtuálního počítače podporovaný.
    • Některé virtuální počítače v oboru iniciativy jsou připojené k jinému pracovnímu prostoru služby Log Analytics než k pracovnímu prostoru, který je zadaný v přiřazení zásad.

  5. Výběrem definice zásady otevřete stránku Dodržování předpisů zásad.

Vytvoření úlohy nápravy

Pokud vaše přiřazení nezobrazuje 100% dodržování předpisů, vytvořte úlohy nápravy pro vyhodnocení a povolení existujících virtuálních počítačů. Pravděpodobně budete muset vytvořit více úloh nápravy, jednu pro každou definici zásad. Pro iniciativu nelze vytvořit úlohu nápravy.

Vytvoření úlohy nápravy:

  1. Na stránce Iniciativy dodržování předpisů vyberte Vytvořit úlohu nápravy.

    Screenshot that shows Policy compliance details.

    Zobrazí se stránka Nová nápravná úloha .

    Screenshot that shows the New remediation task page.

  2. Zkontrolujte nastavení nápravy a prostředky, abyste je opravily a podle potřeby upravily. Pak vyberte Opravit a vytvořte úlohu.

    Po dokončení úloh nápravy by vaše virtuální počítače měly být kompatibilní s nainstalovanými a povolenými agenty pro přehledy virtuálních počítačů.

Sledování úloh nápravy

Pokud chcete sledovat průběh úloh nápravy, vyberte v nabídce Zásady možnost Náprava a vyberte kartu Úlohy nápravy.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Další kroky

Naučte se:

  • Zobrazte mapu přehledů virtuálních počítačů a zobrazte závislosti aplikací.
  • Podívejte se na výkon virtuálních počítačů Azure, abyste identifikovali kritické body a celkové využití výkonu virtuálního počítače.