Virtuálisgép-elemzések engedélyezése az Azure Policy használatával

  • Cikk

Az Azure Policy lehetővé teszi az összes létrehozott és módosított erőforrás követelményeinek beállítását és kikényszerítését. A virtuálisgép-elemzési szabályzat kezdeményezései, amelyek a virtuálisgép-elemzésekhez létrehozott előre meghatározott szabályzatkészletek, telepítik a virtuálisgép-elemzésekhez szükséges ügynököket, és lehetővé teszik a figyelést az Azure-környezetben lévő összes új virtuális gépen.

Ez a cikk azt ismerteti, hogyan engedélyezheti a virtuálisgép-elemzéseket az Azure-beli virtuális gépek, virtuálisgép-méretezési csoportok és az Azure Archoz csatlakoztatott hibrid virtuális gépek számára előre definiált virtuálisgép-elemzési szabályzatok használatával.

Feljegyzés

Az Azure Policy azure-beli virtuálisgép-méretezési csoportokkal való használatáról és az Azure Policy azure-beli virtuális gépek engedélyezéséhez való közvetlen használatáról az Azure Monitor azure policy-beli nagy léptékű üzembe helyezése című témakörben olvashat.

Virtuálisgép-elemzési kezdeményezések

A VM Insights szabályzat kezdeményezései telepítik az Azure Monitor-ügynököt és a függőségi ügynököt az Azure-környezetben lévő új virtuális gépekre. Ezeket a kezdeményezéseket hozzárendelheti egy felügyeleti csoporthoz, előfizetéshez vagy erőforráscsoporthoz az ügynökök Windows vagy Linux Rendszerű Azure-beli virtuális gépeken való automatikus telepítéséhez a megadott hatókörben.

A kezdeményezések a létrehozott új gépekre és a módosított gépekre vonatkoznak, a meglévő virtuális gépekre azonban nem.

Név Leírás
Az Azure Monitor engedélyezése virtuális gépekhez az Azure Monitoring Agent használatával Telepíti az Azure Monitor-ügynököt és a függőségi ügynököt az Azure-beli virtuális gépeken.
Az Azure Monitor engedélyezése virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent használatával Telepíti az Azure Monitor-ügynököt és a függőségi ügynököt a virtuálisgép-méretezési csoportokra.
Az Azure Monitor engedélyezése hibrid virtuális gépekhez az Azure Monitoring Agent használatával Telepíti az Azure Monitor-ügynököt és a függőségi ügynököt az Azure Archoz csatlakoztatott hibrid virtuális gépeken.
Örökölt: Az Azure Monitor engedélyezése virtuális gépekhez Telepíti a Log Analytics-ügynököt és a függőségi ügynököt a virtuálisgép-méretezési csoportokra.
Örökölt: Az Azure Monitor engedélyezése virtuálisgép-méretezési csoportokhoz Telepíti a Log Analytics-ügynököt és a függőségi ügynököt a virtuálisgép-méretezési csoportokra.

Fontos

Az örökölt Log Analytics-ügynök2024 augusztusára megszűnik. Ezt követően a Microsoft a továbbiakban nem nyújt támogatást a Log Analytics-ügynök számára. 2024 augusztusa előtt migráljon az Azure Monitor-ügynökbe az adatok betöltésének folytatásához.

Egyéni rendszerképek támogatása

Az Azure Monitor Ügynökalapú virtuálisgép-elemzési szabályzat és kezdeményezésdefiníciók olyan paraméterrel rendelkeznek scopeToSupportedImages , amely alapértelmezés szerint úgy van beállítva true , hogy csak a támogatott rendszerképeken engedélyezze a függőségi ügynök előkészítését. Állítsa be ezt a paramétert úgy, hogy falselehetővé tegye a függőségi ügynök egyéni rendszerképeken való előkészítését.

Virtuálisgép-elemzési szabályzat kezdeményezésének hozzárendelése

Virtuálisgép-elemzési szabályzat kezdeményezés hozzárendelése előfizetéshez vagy felügyeleti csoporthoz az Azure Portalról:

  1. Keresse meg és nyissa meg a Szabályzatot.

  2. Válassza a Hozzárendelések>hozzárendelése kezdeményezés lehetőséget.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Megjelenik a Kezdeményezés hozzárendelése képernyő.

    Screenshot that shows Assign initiative.

  3. A kezdeményezés hozzárendelésének konfigurálása:

    1. A Hatókör mezőben válassza ki azt a felügyeleti csoportot vagy előfizetést, amelyhez a kezdeményezést hozzárendeli.

    2. (Nem kötelező) A Kizárások lehetőség kiválasztásával kizárhat bizonyos erőforrásokat a kezdeményezési hozzárendelésből. Ha például a hatókör egy felügyeleti csoport, megadhat egy előfizetést abban a felügyeleti csoportban, amelyet ki szeretne zárni a hozzárendelésből.

    3. A házirenddefiníció-választó elindításához válassza a Kezdeményezés hozzárendelés melletti három pontot (...). Válassza ki a virtuálisgép-elemzési kezdeményezések egyikét.

    4. (Nem kötelező) Módosítsa a hozzárendelés nevét, és adjon hozzá egy leírást.

    5. A Paraméterek lapon válassza ki azt a Log Analytics-munkaterületet, amelybe a hozzárendelés összes virtuális gépe adatokat küld. Ahhoz, hogy a virtuális gépek különböző munkaterületekre küldjenek adatokat, hozzon létre több hozzárendelést, mindegyik saját hatókörrel.

      Screenshot that shows a workspace.

      Feljegyzés

      Ha olyan munkaterületet választ ki, amely nem tartozik a hozzárendelés hatókörébe, adjon Log Analytics-közreműködői engedélyeket a szabályzat-hozzárendelés főazonosítójának. Ellenkező esetben üzembe helyezési hibát kaphat, például:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Válassza a Véleményezés + létrehozás lehetőséget a kezdeményezési hozzárendelés részleteinek áttekintéséhez. A hozzárendelés létrehozásához válassza a Létrehozás lehetőséget .

    Jelenleg ne hozzon létre szervizelési feladatot, mert valószínűleg több szervizelési feladatra lesz szüksége a meglévő virtuális gépek engedélyezéséhez. A szervizelési feladatok létrehozásával kapcsolatos további információkért lásd a megfelelőségi eredmények szervizelését ismertető szakaszt.

Virtuálisgép-elemzési szabályzat kezdeményezés megfelelőségének áttekintése

Miután hozzárendelt egy kezdeményezést, áttekintheti és kezelheti a kezdeményezés megfelelőségét a felügyeleti csoportokban és előfizetésekben.

Annak megtekintéséhez, hogy hány virtuális gép létezik az egyes felügyeleti csoportokban vagy előfizetésekben, valamint azok megfelelőségi állapotát:

  1. Keresse meg és nyissa meg az Azure Monitort.

  2. Válassza a Virtuális gépek>áttekintése>egyéb előkészítési lehetőségek lehetőséget. Ezután az Engedélyezés házirend használatával csoportban válassza az Engedélyezés lehetőséget.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    Megjelenik az Azure Monitor for VMs Policy Coverage (Azure Monitor for VMs Policy Coverage) oldal.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    Az alábbi táblázat az Azure Monitor for VMs Policy Coverage oldalán található megfelelőségi információkat ismerteti.

    Függvény Leírás
    Hatókör Felügyeleti csoport vagy előfizetés, amelyre a kezdeményezés vonatkozik.
    Saját szerepkör Az Ön szerepköre a hatókörben. A szerepkör lehet olvasó, tulajdonos, közreműködő vagy üres, ha rendelkezik hozzáféréssel az előfizetéshez, de nem ahhoz a felügyeleti csoporthoz, amelyhez tartozik. A szerepkör határozza meg, hogy mely adatok láthatók, és hogy hozzárendelhet-e szabályzatokat vagy kezdeményezéseket (tulajdonost), szerkesztheti őket, vagy megtekintheti a megfelelőséget.
    Virtuális gépek összesen A hatókörben lévő virtuális gépek teljes száma, állapotuktól függetlenül. Felügyeleti csoport esetén ez a szám az összes kapcsolódó előfizetésben vagy gyermekfelügyeleti csoportban lévő virtuális gépek összege.
    Hozzárendelés lefedettsége A kezdeményezés által érintett virtuális gépek százalékos aránya. A kezdeményezés hozzárendelésekor a hozzárendelésben kiválasztott hatókör lehet a felsorolt hatókör vagy annak egy része. Ha például egy előfizetéshez (kezdeményezési hatókörhöz) hoz létre hozzárendelést, és nem felügyeleti csoportot (lefedettségi hatókört), a Hozzárendelési lefedettség értéke a kezdeményezés hatókörében lévő virtuális gépeket jelöli a hatókörben lévő virtuális gépekkel osztva. Egy másik esetben kizárhat néhány virtuális gépet, erőforráscsoportot vagy előfizetést a szabályzat hatóköréből. Ha az érték üres, az azt jelzi, hogy a szabályzat vagy a kezdeményezés nem létezik, vagy nincs engedélye.
    Hozzárendelés állapota Siker: Az Azure Monitor-ügynök vagy a Log Analytics-ügynök és a függőségi ügynök az összes hatókörben lévő gépen üzembe helyezve.
    Figyelmeztetés: Az előfizetés nincs felügyeleti csoport alatt.
    Nem kezdődött el: Új hozzárendelés lett hozzáadva.
    Zárolás: Nem rendelkezik elegendő jogosultsággal a felügyeleti csoporthoz.
    Üres: Nincsenek virtuális gépek, vagy nincs hozzárendelve szabályzat.
    Megfelelő virtuális gépek Azon virtuális gépek száma, amelyeken telepítve van az Azure Monitor-ügynök vagy a Log Analytics-ügynök és a függőségi ügynök. Ez a mező üres, ha nincsenek hozzárendelések, nincsenek virtuális gépek a hatókörben, vagy ha nem rendelkezik a megfelelő engedélyekkel.
    Engedékenység A teljes megfelelőségi szám a különböző megfelelő erőforrások összegének osztva az összes különböző erőforrás összegével.
    Megfelelőségi állapot Megfelelő: A hatókör összes virtuális gépe rendelkezik Azure Monitor-ügynökkel vagy a Log Analytics-ügynökkel és függőségi ügynökkel, vagy a hatókörben lévő új virtuális gépeket még nem értékelték ki.
    Nem megfelelő: Vannak olyan virtuális gépek, amelyek nincsenek engedélyezve, és szükség lehet szervizelésre.
    Nem kezdődött el: Új hozzárendelés lett hozzáadva.
    Zárolás: Nem rendelkezik elegendő jogosultsággal a felügyeleti csoporthoz.
    Üres: Nincs hozzárendelt szabályzat.

  3. Válassza ki a három pontot (...) >A megfelelőség megtekintése.

    Screenshot that shows View Compliance.

    Megjelenik a Megfelelőségi lap. Felsorolja a megadott szűrőnek megfelelő hozzárendeléseket, és jelzi, hogy azok megfelelnek-e.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Válasszon ki egy hozzárendelést a részleteinek megtekintéséhez. Megjelenik a Kezdeményezés megfelelőségi lapja. Felsorolja a kezdeményezésben szereplő szabályzatdefiníciókat, és hogy mindegyik megfelel-e a követelményeknek.

    Screenshot that shows Compliance details.

    A szabályzatdefiníciók nem megfelelőnek minősülnek, ha:

    • Az Azure Monitor-ügynök, a Log Analytics-ügynök vagy a függőségi ügynök nincs üzembe helyezve. Hozzon létre egy szervizelési feladatot a mérsékléshez.
    • A virtuálisgép-rendszerkép (OS) nincs azonosítva a szabályzatdefinícióban. A szabályzatok csak jól ismert Azure-beli virtuálisgép-rendszerképeket tudnak ellenőrizni. Ellenőrizze a dokumentációban, hogy támogatott-e a virtuálisgép-operációs rendszer.
    • A kezdeményezési hatókör egyes virtuális gépei a szabályzat-hozzárendelésben megadotttól eltérő Log Analytics-munkaterülethez csatlakoznak.

  5. Válasszon ki egy szabályzatdefiníciót a Szabályzatmegfelelés lap megnyitásához.

Szervizelési feladat létrehozása

Ha a hozzárendelés nem 100%-os megfelelőséget mutat, hozzon létre szervizelési feladatokat a meglévő virtuális gépek kiértékeléséhez és engedélyezéséhez. Valószínűleg több szervizelési feladatot kell létrehoznia, egyet minden szabályzatdefinícióhoz. A kezdeményezéshez nem hozhat létre szervizelési feladatot.

Szervizelési feladat létrehozása:

  1. A Kezdeményezés megfelelőségi lapján válassza a Szervizelési feladat létrehozása lehetőséget.

    Screenshot that shows Policy compliance details.

    Megjelenik az Új szervizelési feladat lap.

    Screenshot that shows the New remediation task page.

  2. Szükség szerint tekintse át a szervizelési beállításokat és az erőforrásokat a szervizeléshez és a módosításhoz. Ezután válassza a Szervizelés lehetőséget a feladat létrehozásához.

    A szervizelési feladatok befejezése után a virtuális gépeknek meg kell felelnie a telepített és a virtuálisgép-elemzésekhez engedélyezett ügynököknek.

Szervizelési feladatok nyomon követése

A szervizelési feladatok előrehaladásának nyomon követéséhez a Szabályzat menüben válassza a Szervizelés lehetőséget, és válassza a Szervizelési feladatok lapot.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Következő lépések

Az alábbiak végrehajtásának módját ismerheti meg: