Włączanie szczegółowych informacji o maszynie wirtualnej przy użyciu usługi Azure Policy

  • Artykuł

Usługa Azure Policy umożliwia ustawianie i wymuszanie wymagań dotyczących wszystkich nowych zasobów tworzonych i modyfikowanych zasobów. Inicjatywy zasad szczegółowych informacji o maszynach wirtualnych, które są wstępnie zdefiniowanymi zestawami zasad utworzonymi na potrzeby szczegółowych informacji o maszynach wirtualnych, instalują agentów wymaganych na potrzeby szczegółowych informacji o maszynach wirtualnych i umożliwiają monitorowanie wszystkich nowych maszyn wirtualnych w środowisku platformy Azure.

W tym artykule wyjaśniono, jak włączyć szczegółowe informacje o maszynach wirtualnych platformy Azure, zestawach skalowania maszyn wirtualnych i hybrydowych maszynach wirtualnych połączonych z usługą Azure Arc przy użyciu wstępnie zdefiniowanych zasad szczegółowych informacji o maszynach wirtualnych.

Uwaga

Aby uzyskać informacje na temat używania usługi Azure Policy z zestawami skalowania maszyn wirtualnych platformy Azure i sposobu pracy z usługą Azure Policy bezpośrednio w celu włączenia maszyn wirtualnych platformy Azure, zobacz Wdrażanie usługi Azure Monitor na dużą skalę przy użyciu usługi Azure Policy.

Inicjatywy dotyczące szczegółowych informacji o maszynach wirtualnych

Inicjatywy zasad szczegółowych informacji o maszynach wirtualnych instalują agenta usługi Azure Monitor i agenta zależności na nowych maszynach wirtualnych w środowisku platformy Azure. Przypisz te inicjatywy do grupy zarządzania, subskrypcji lub grupy zasobów, aby automatycznie zainstalować agentów na maszynach wirtualnych platformy Azure z systemem Windows lub Linux w zdefiniowanym zakresie.

Inicjatywy dotyczą nowych maszyn tworzonych i modyfikowanych maszyn, ale nie do istniejących maszyn wirtualnych.

Nazwa/nazwisko opis
Włączanie Azure Monitor dla maszyn wirtualnych za pomocą agenta monitorowania platformy Azure Instaluje agenta usługi Azure Monitor i agenta zależności na maszynach wirtualnych platformy Azure.
Włączanie usługi Azure Monitor dla zestawów skalowania maszyn wirtualnych za pomocą agenta monitorowania platformy Azure Instaluje agenta usługi Azure Monitor i agenta zależności w zestawach skalowania maszyn wirtualnych.
Włączanie usługi Azure Monitor dla hybrydowych maszyn wirtualnych za pomocą agenta monitorowania platformy Azure Instaluje agenta usługi Azure Monitor i agenta zależności na hybrydowych maszynach wirtualnych połączonych z usługą Azure Arc.
Starsza wersja: Włączanie Azure Monitor dla maszyn wirtualnych Instaluje agenta usługi Log Analytics i agenta zależności w zestawach skalowania maszyn wirtualnych.
Starsza wersja: Włączanie usługi Azure Monitor dla zestawów skalowania maszyn wirtualnych Instaluje agenta usługi Log Analytics i agenta zależności w zestawach skalowania maszyn wirtualnych.

Ważne

Starszy agentusługi Log Analytics zostanie wycofany do sierpnia 2024 r. Po tej dacie firma Microsoft nie będzie już zapewniać żadnej pomocy technicznej dla agenta usługi Log Analytics. Przeprowadź migrację do agenta usługi Azure Monitor przed sierpniem 2024 r., aby kontynuować pozyskiwanie danych.

Obsługa niestandardowych obrazów

Zasady i definicje inicjatywy analizy maszyn wirtualnych oparte na agencie usługi Azure Monitor mają scopeToSupportedImages domyślnie parametr true umożliwiający włączenie dołączania agenta zależności tylko na obsługiwanych obrazach. Ustaw ten parametr, aby zezwolić falsena dołączanie agenta zależności na obrazach niestandardowych.

Przypisywanie inicjatywy zasad szczegółowych informacji o maszynie wirtualnej

Aby przypisać inicjatywę zasad szczegółowych informacji o maszynie wirtualnej do subskrypcji lub grupy zarządzania z witryny Azure Portal:

  1. Wyszukaj i otwórz pozycję Zasady.

  2. Wybierz pozycję Przypisania>Przypisz inicjatywę.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Zostanie wyświetlony ekran Przypisywanie inicjatywy .

    Screenshot that shows Assign initiative.

  3. Skonfiguruj przypisanie inicjatywy:

    1. W polu Zakres wybierz grupę zarządzania lub subskrypcję, do której przypiszesz inicjatywę.

    2. (Opcjonalnie) Wybierz pozycję Wykluczenia, aby wykluczyć określone zasoby z przypisania inicjatywy. Jeśli na przykład zakres jest grupą zarządzania, możesz określić subskrypcję w tej grupie zarządzania, która ma zostać wykluczona z przypisania.

    3. Wybierz wielokropek (...) obok pozycji Przypisanie inicjatywy, aby uruchomić selektor definicji zasad. Wybierz jedną z inicjatyw szczegółowych informacji o maszynie wirtualnej.

    4. (Opcjonalnie) Zmień nazwę przypisania i dodaj opis.

    5. Na karcie Parametry wybierz obszar roboczy usługi Log Analytics, do którego będą wysyłane wszystkie maszyny wirtualne w przypisaniu. Aby maszyny wirtualne wysyłały dane do różnych obszarów roboczych, utwórz wiele przypisań, z których każdy ma własny zakres.

      Screenshot that shows a workspace.

      Uwaga

      Jeśli wybierzesz obszar roboczy, który nie znajduje się w zakresie przypisania, przyznaj uprawnienia Współautor usługi Log Analytics do identyfikatora głównego przypisania zasad. W przeciwnym razie może wystąpić błąd wdrożenia, taki jak:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć szczegóły przypisania inicjatywy. Wybierz pozycję Utwórz , aby utworzyć przypisanie.

    Nie twórz w tym momencie zadania korygowania, ponieważ prawdopodobnie będziesz potrzebować wielu zadań korygujących w celu włączenia istniejących maszyn wirtualnych. Aby uzyskać więcej informacji na temat tworzenia zadań korygowania, zobacz Korygowanie wyników zgodności.

Przegląd zgodności dla inicjatywy zasad szczegółowych informacji o maszynie wirtualnej

Po przypisaniu inicjatywy możesz przejrzeć inicjatywę i zarządzać nią w ramach grup zarządzania i subskrypcji oraz zarządzać nimi.

Aby sprawdzić, ile maszyn wirtualnych istnieje w poszczególnych grupach zarządzania lub subskrypcjach oraz ich stanie zgodności:

  1. Wyszukaj i otwórz usługę Azure Monitor.

  2. Wybierz pozycję Maszyny>wirtualne — przegląd>Inne opcje dołączania. Następnie w obszarze Włącz przy użyciu zasad wybierz pozycję Włącz.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    Zostanie wyświetlona strona Azure Monitor dla maszyn wirtualnych Pokrycie zasad.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    W poniższej tabeli opisano informacje o zgodności przedstawione na stronie Azure Monitor dla maszyn wirtualnych Pokrycie zasad.

    Function opis
    Scope Grupa zarządzania lub subskrypcja, do której ma zastosowanie inicjatywa.
    Moja rola Twoja rola w zakresie. Rola może być czytelnikiem, właścicielem, współautorem lub wartością pustą, jeśli masz dostęp do subskrypcji, ale nie do grupy zarządzania, do której należy. Rola określa, które dane można zobaczyć i czy można przypisywać zasady lub inicjatywy (właściciela), edytować je lub wyświetlać zgodność.
    Łączna liczba maszyn wirtualnych Łączna liczba maszyn wirtualnych w zakresie, niezależnie od ich stanu. W przypadku grupy zarządzania ta liczba jest sumą maszyn wirtualnych we wszystkich powiązanych subskrypcjach lub podrzędnych grupach zarządzania.
    Pokrycie przydziału Procent maszyn wirtualnych objętych inicjatywą. Po przypisaniu inicjatywy zakres wybrany w przypisaniu może być zakresem wymienionym lub podzbiorem. Jeśli na przykład utworzysz przypisanie dla subskrypcji (zakres inicjatywy), a nie grupę zarządzania (zakres pokrycia), wartość Pokrycie przypisania wskazuje maszyny wirtualne w zakresie inicjatywy podzielone przez maszyny wirtualne w zakresie pokrycia. W innym przypadku możesz wykluczyć niektóre maszyny wirtualne, grupy zasobów lub subskrypcję z zakresu zasad. Jeśli wartość jest pusta, oznacza to, że zasady lub inicjatywa nie istnieją lub nie masz uprawnień.
    Stan przypisania Powodzenie: Agent usługi Azure Monitor lub agent usługi Log Analytics i agent zależności wdrożony na wszystkich maszynach w zakresie.
    Ostrzeżenie: Subskrypcja nie znajduje się w grupie zarządzania.
    Nie uruchomiono: dodano nowe przypisanie.
    Blokada: nie masz wystarczających uprawnień do grupy zarządzania.
    Puste: nie istnieją żadne maszyny wirtualne lub zasady nie są przypisane.
    Zgodne maszyny wirtualne Liczba maszyn wirtualnych z zainstalowanym agentem usługi Azure Monitor lub agentem usługi Log Analytics oraz agentem zależności. To pole jest puste, jeśli nie ma przypisań, maszyn wirtualnych w zakresie lub jeśli nie masz odpowiednich uprawnień.
    Zgodność z przepisami Ogólna liczba zgodności to suma odrębnych zgodnych zasobów podzielona przez sumę wszystkich odrębnych zasobów.
    Stan zgodności Zgodne: wszystkie maszyny wirtualne w zakresie mają wdrożonego agenta usługi Azure Monitor lub agenta usługi Log Analytics i agenta zależności lub żadnych nowych maszyn wirtualnych w zakresie.
    Niezgodne: istnieją maszyny wirtualne, które nie są włączone i mogą wymagać korygowania.
    Nie uruchomiono: dodano nowe przypisanie.
    Blokada: nie masz wystarczających uprawnień do grupy zarządzania.
    Puste: brak przypisanych zasad.

  3. Wybierz wielokropek (...) >Wyświetl zgodność.

    Screenshot that shows View Compliance.

    Zostanie wyświetlona strona Zgodność . Wyświetla listę przypisań pasujących do określonego filtru i wskazuje, czy są one zgodne.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Wybierz przypisanie, aby wyświetlić jego szczegóły. Zostanie wyświetlona strona Zgodność inicjatywy. Wyświetla ona definicje zasad w inicjatywie i określa, czy każda z nich jest w zgodności.

    Screenshot that shows Compliance details.

    Definicje zasad są uznawane za niezgodne, jeśli:

    • Agent usługi Azure Monitor, agent usługi Log Analytics lub agent zależności nie są wdrażane. Utwórz zadanie korygowania, aby rozwiązać ten problem.
    • Obraz maszyny wirtualnej (OS) nie jest identyfikowany w definicji zasad. Zasady mogą weryfikować tylko dobrze znane obrazy maszyn wirtualnych platformy Azure. Zapoznaj się z dokumentacją, aby sprawdzić, czy system operacyjny maszyny wirtualnej jest obsługiwany.
    • Niektóre maszyny wirtualne w zakresie inicjatywy są połączone z obszarem roboczym usługi Log Analytics innym niż maszyny wirtualne określone w przypisaniu zasad.

  5. Wybierz definicję zasad, aby otworzyć stronę Zgodność z zasadami .

Tworzenie zadania korygowania

Jeśli przypisanie nie pokazuje zgodności w 100%, utwórz zadania korygowania w celu oceny i włączenia istniejących maszyn wirtualnych. Najprawdopodobniej musisz utworzyć wiele zadań korygujących— po jednym dla każdej definicji zasad. Nie można utworzyć zadania korygowania dla inicjatywy.

Aby utworzyć zadanie korygowania:

  1. Na stronie Zgodność inicjatywy wybierz pozycję Utwórz zadanie korygowania.

    Screenshot that shows Policy compliance details.

    Zostanie wyświetlona strona Nowe zadanie korygowania.

    Screenshot that shows the New remediation task page.

  2. Przejrzyj ustawienia korygowania i zasoby, aby skorygować i zmodyfikować je w razie potrzeby. Następnie wybierz pozycję Koryguj, aby utworzyć zadanie.

    Po zakończeniu zadań korygowania maszyny wirtualne powinny być zgodne z zainstalowanymi i włączonymi agentami w celu uzyskania szczegółowych informacji o maszynach wirtualnych.

Śledzenie zadań korygowania

Aby śledzić postęp zadań korygowania, w menu Zasady wybierz pozycję Korygowanie i wybierz kartę Zadania korygowania.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Następne kroki

Instrukcje:

  • Wyświetl mapę szczegółowych informacji o maszynie wirtualnej, aby wyświetlić zależności aplikacji.
  • Wyświetl wydajność maszyny wirtualnej platformy Azure, aby zidentyfikować wąskie gardła i ogólne wykorzystanie wydajności maszyny wirtualnej.