Usar a Política do Azure para instalar e gerenciar o agente do Azure Monitor
Usando a Política do Azure, você pode ter o agente do Azure Monitor instalado automaticamente em suas máquinas virtuais novas e existentes e ter os DCRs apropriados automaticamente associados a eles. Este artigo descreve as políticas e iniciativas internas que você pode aproveitar para essa funcionalidade e recursos do Azure Monitor para ajudar a gerenciá-los.
Use as seguintes políticas e iniciativas de política para instalar automaticamente o agente e associá-lo a uma regra de coleta de dados sempre que criar uma máquina virtual, um conjunto de escala ou um servidor habilitado para Azure Arc.
Nota
O Azure Monitor tem uma experiência de DCR de regra de coleta de dados de visualização que simplifica a criação de atribuições para políticas e iniciativas que usam DCRs. Isso inclui iniciativas que instalam o agente do Azure Monitor. Você pode optar por usar essa experiência para criar atribuições para as iniciativas descritas neste artigo. Consulte Gerenciar regras de coleta de dados (DCRs) e associações no Azure Monitor para obter mais informações.
Pré-requisitos
Antes de continuar, revise os pré-requisitos para a instalação do agente.
Nota
De acordo com as práticas recomendadas do Microsoft Identity, as políticas para instalar o Azure Monitor Agent em máquinas virtuais e conjuntos de dimensionamento dependem da identidade gerenciada atribuída pelo usuário. Essa opção é a identidade gerenciada mais escalável e resiliente para esses recursos. Para servidores habilitados para Azure Arc, as políticas dependem da identidade gerenciada atribuída ao sistema como a única opção com suporte atualmente.
Políticas incorporadas
Você pode optar por usar as políticas individuais da iniciativa de política anterior para executar uma única ação em escala. Por exemplo, se você quiser instalar apenas o agente automaticamente, use a segunda política de instalação do agente da iniciativa, conforme mostrado.
Iniciativas políticas incorporadas
Há iniciativas de políticas internas para máquinas virtuais Windows e Linux, conjuntos de dimensionamento que fornecem integração em escala usando agentes do Azure Monitor de ponta a ponta
- Implantar o Windows Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário e associá-lo à Regra de Coleta de Dados
- Implante o Linux Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário e associe-se à Regra de Coleta de Dados
Nota
As definições de política incluem apenas a lista de versões do Windows e Linux suportadas pela Microsoft. Para adicionar uma imagem personalizada, use o Additional Virtual Machine Images
parâmetro.
Estas iniciativas incluem políticas individuais que:
(Opcional) Crie e atribua identidade gerenciada interna atribuída pelo usuário, por assinatura, por região. Mais informações.
Bring Your Own User-Assigned Identity
: Se definido comofalse
, ele cria a identidade gerenciada interna atribuída pelo usuário no grupo de recursos predefinido e a atribui a todas as máquinas às quais a política é aplicada. O local do grupo de recursos pode ser configurado noBuilt-In-Identity-RG Location
parâmetro. Se definido comotrue
, você pode, em vez disso, usar uma identidade atribuída ao usuário existente que é atribuída automaticamente a todas as máquinas às quais a política é aplicada.
Instale a extensão do Azure Monitor Agent no computador e configure-a para usar a identidade atribuída pelo usuário, conforme especificado pelos parâmetros a seguir.
Bring Your Own User-Assigned Managed Identity
: Se definido comofalse
, ele configura o agente para usar a identidade gerenciada interna atribuída pelo usuário criada pela política anterior. Se definido comotrue
, ele configura o agente para usar uma identidade atribuída pelo usuário existente.User-Assigned Managed Identity Name
: Se você usar sua própria identidade (selecionada),true
especifique o nome da identidade atribuída às máquinas.User-Assigned Managed Identity Resource Group
: Se você usar sua própria identidade (selecionada),true
especifique o grupo de recursos onde a identidade existe.Additional Virtual Machine Images
: Passe nomes de imagem de VM adicionais aos quais você deseja aplicar a política, se ainda não estiver incluído.Built-In-Identity-RG Location
: Se você usar a identidade gerenciada atribuída pelo usuário interna, especifique o local onde a identidade e o grupo de recursos devem ser criados. Este parâmetro só é usado quandoBring Your Own User-Assigned Managed Identity
o parâmetro é definido comofalse
.
Crie e implante a associação para vincular a máquina à regra de coleta de dados especificada.
Data Collection Rule Resource Id
: O resourceId do Azure Resource Manager da regra que pretende associar através desta política a todas as máquinas às quais a política é aplicada.
Problemas conhecidos
- Comportamento padrão da Identidade Gerenciada. Mais informações.
- Possível condição de corrida com o uso da política de criação de identidade atribuída pelo usuário interna. Mais informações.
- Atribuição de política a grupos de recursos. Se o escopo de atribuição da política for um grupo de recursos e não uma assinatura, a identidade usada pela atribuição de política (diferente da identidade atribuída pelo usuário usada pelo agente) deverá receber manualmente essas funções antes da atribuição/correção. A falha ao executar essa etapa resultará em falhas de implantação.
- Outras limitações do Managed Identity.
Remediação
As iniciativas ou políticas serão aplicadas a cada máquina virtual à medida que for criada. Uma tarefa de correção implanta as definições de política na iniciativa em recursos existentes, para que você possa configurar o Azure Monitor Agent para quaisquer recursos que já foram criados.
Ao criar a atribuição usando o portal do Azure, você tem a opção de criar uma tarefa de correção ao mesmo tempo. Para obter informações sobre a correção, consulte Corrigir recursos não compatíveis com a Política do Azure.
Próximos passos
Crie uma regra de coleta de dados para coletar dados do agente e enviá-los para o Azure Monitor.