推定時間: 5 分
エージェントをデプロイし、Azure リソースへのアクセス権を付与します。
達成する内容
この手順を完了すると、エージェントは次のようになります。
- Azure サブスクリプションにデプロイ済み
- セットアップ中に選択したすべてのリソースへのアクセス権が付与されます (後で追加できます)
- インフラストラクチャに関する質問に答える準備ができました
前提条件
| Requirement | 詳細情報 |
|---|---|
| Azure サブスクリプション |
Microsoft.App リソース プロバイダーが登録されているアクティブなサブスクリプション。 |
| アクセス許可 | サブスクリプションの所有者またはユーザー アクセス管理者ロール (エージェントのマネージド ID に RBAC ロールを割り当てるために必要)。 |
| リソース グループ | 既存のリソース グループを作成するか、セットアップ中に作成します。 |
| ネットワーク アクセス |
*.azuresre.ai はファイアウォール経由で許可する必要があります。
ネットワーク要件を参照してください。 |
| リージョン | サブスクリプションでは、スウェーデン中部、米国東部 2、またはオーストラリア東部でのリソースの作成を許可する必要があります。 |
注
[作成] ボタンが使用できない場合、または "DeploymentNotFound" でデプロイが失敗した場合は、リソース プロバイダーを登録します。
az provider register --namespace "Microsoft.App"
その後、エージェントを作成し直してください。
作成ウィザードを開く
sre.azure.com に移動します。
サインインしていない場合は、SRE エージェントの機能、サンプル デモ、および入門リソースの概要が記載されたランディング ページが表示されます。 [ サインイン] を選択して続行します。
サインインした後、[ エージェントの作成] を選択します。
![[作成] ボタンが強調表示されているエージェントの一覧のスクリーンショット。](media/create-agent/agents-list.png)
基本設定を行う
エージェントの必須フィールドを記入してください。
| フィールド | 入力する内容 |
|---|---|
| Subscription | お使いの Azure サブスクリプション |
| リソース グループ | 既存の選択または新規作成 |
| エージェント名 | わかりやすい名前 (例: prod-monitoring) |
| リージョン | スウェーデン中部、米国東部 2、またはオーストラリア東部 |
| Application Insights | 新規作成 (推奨) |
次へを選択します。
監視するリソース グループを選択する (省略可能)
エージェントがアクセスできる Azure リソースを選択します。 このステップはオプションです。 後でスキップしてアクセス権を付与することができます。 詳細については、「 代替: サブスクリプション レベルのアクセス」を参照してください。
注
エージェントに割り当てるリソース グループに対する 所有者 または ユーザー アクセス管理者 のアクセス許可が必要です。
- アプリ、データベース、またはインフラストラクチャを含むリソース グループを選択します。
- フィルターを使用して、サブスクリプション間で特定のグループを検索します。
- 必要に応じて、複数のリソース グループを選択します。
注
エージェントは、ログ、メトリック、構成など、これらのグループ内のリソースへの読み取りアクセスを取得します。 後で特権アクセス許可を付与しない限り、変更を加えることはできません。
ヒント
開始する 1 つまたは 2 つのリソース グループを選択するか、この手順を完全にスキップします。 後で 設定>管理されたリソースからさらにリソースを追加できます。
次へを選択します。
アクセス許可レベルを選択する
選択したマネージド リソース グループのアクセス許可レベルを設定します。 前の手順をスキップした場合、これらのアクセス許可はまだ適用されませんが、この手順を完了する必要があります。
| レベル | 意味 | いつ使用するか |
|---|---|---|
| 閲覧者 (推奨) | エージェントは読み取り専用です。 アクションには承認が必要です。 | 最も安全なオプションについては、ここから開始してください。 |
| 特権 | エージェントは、承認されたアクションを直接実行できます。 | エージェントを信頼した後。 |
ウィザードには、割り当てられている Azure RBAC ロール (Log Analytics 閲覧者、監視閲覧者、AKS クラスター ユーザーなど) が表示されます。
ヒント
アクションを自動的に実行するか、承認を必要とするかを制御するには、「 実行モード」を参照してください。
次へを選択します。
レビューとデプロイ
デプロイ プロセスを完了します。
- 構成を確認します。
- を選択してを作成します。
- デプロイを数分待ちます。
- デプロイが完了したら 、[エージェントとのチャット ] を選択します。
動作することを確認する
エージェントに質問して、リソースを確認できるか確かめます。
What Azure resources can you see?
"5 つの Container Apps、2 つの AKS クラスターを含む 3 つのリソース グループで 251 個のリソースが見つかりました。" のような概要が表示されます。
エージェントには、次の情報も表示されます。
- 監視対象グループを含むリソース グループ テーブル
- 種類別のリソース分析
- リソースに合わせて調整された推奨プロンプト
まとめ
エージェントは、選択したリソース グループ内のリソースへの読み取りアクセス権を持ち、それらのリソースの Azure Monitor ログとメトリックに対してクエリを実行でき、インフラストラクチャに関する質問に答える準備が整いました。
代替手段: サブスクリプション レベルのアクセス
リソース グループの選択手順をスキップした場合、または個々のリソース グループよりも広範なアクセス権が必要な場合は、サブスクリプション全体でエージェント 閲覧者 アクセス権を付与できます。
- エージェントの >Basics] に移動します。
- [マネージド ID] リンクを選択して、Azure portal で開きます。
- サブスクリプションの アクセス制御 (IAM) に移動します。
- エージェントのマネージド ID の 閲覧者 ロールの割り当てを追加します。
この方法により、エージェントは、個々のリソース グループを選択することなく、サブスクリプション内のすべてのリソースを可視化できます。
次のステップ
関連するコンテンツ
- アクセス許可とロール: 詳細なアクセス許可モデル
- ユーザー ロール: エージェントにアクセスできるユーザーと、エージェントが実行できる操作
- 実行モード: エージェントの自律性の量を制御する
- サポートされているリージョン: 使用可能なリージョンの完全な一覧
- Azure 監視診断: エージェントが Azure アクセスでできること