步骤 1：在 Azure SRE 代理中创建代理

估计时间：5 分钟

部署代理并向其授予对 Azure 资源的访问权限。

你所取得的成就

在此步骤结束时，您的代理将为：

• 部署在您的 Azure 订阅中
• 授予对安装期间选择的任何资源的访问权限（以后可以添加更多资源）
• 您准备好回答关于IT基础设施的问题吗

先决条件

要求	详细信息
Azure 订阅	已注册的Microsoft.App资源提供程序的活动订阅。
权限	在订阅中具有所有者或用户访问管理员角色（需要将 RBAC 角色分配给代理的托管标识）。
资源组	现有资源组，或在安装过程中创建一个资源组。
网络访问	*.azuresre.ai 必须允许通过防火墙。 请参阅 网络要求。
Region	订阅必须允许在瑞典中部、美国东部 2 或澳大利亚东部创建资源。

注释

如果 “创建 ”按钮不可用或部署失败并出现“DeploymentNotFound”，请注册资源提供程序：

az provider register --namespace "Microsoft.App"

然后再次尝试创建智能体。

打开创建向导

1. 转到 sre.azure.com。

   如果未登录，则会看到登陆页，其中包含 SRE 代理功能、示例演示和入门资源概述。 选择 “登录 ”以继续。

2. 登录后，选择“ 创建代理”。

基础配置

填写代理的必填字段。

领域	要输入的内容
Subscription	你的 Azure 订阅
资源组	选择现有或新建
代理名称	描述性名称（例如， prod-monitoring）
Region	瑞典中部、美国东部 2 或澳大利亚东部
Application Insights	新建（建议）

选择“下一步”。

选择要监视的资源组（可选）

选择代理可以访问的 Azure 资源。 此步骤是可选的。 可以跳过它并稍后授予访问权限。 有关详细信息，请参阅 “替代方法：订阅级访问”。

注释

需要对要分配给代理的任何资源组拥有 所有者 或 用户访问管理员 权限。

1. 选择包含应用、数据库或基础结构的资源组。
2. 使用筛选器跨订阅查找特定组。
3. 根据需要选择多个资源组。

注释

代理获取对这些组中资源的读取访问权限，包括日志、指标和配置。 除非稍后授予 Privileged 权限，否则无法进行更改。

小窍门

从以下选项中选择一个或两个资源组开始，或完全跳过此步骤。 稍后可以从 设置>托管资源添加更多资源。

选择“下一步”。

选择权限级别

为所选的托管资源组设置权限级别。 如果跳过了上一步，这些权限尚不适用于任何内容，但仍需要完成此步骤。

级别	含义	何时使用
读者（推荐）	代理仅能读取。 作需要你的批准。	从此处开始，获取最安全的选项。
特权	代理可以直接执行批准的操作。	信任代理后。

该向导显示分配了哪些 Azure RBAC 角色（Log Analytics 读取者、监视读取器、AKS 群集用户和其他角色）。

小窍门

若要控制作是自动执行还是需要批准，请参阅 “运行”模式。

选择“下一步”。

查看和部署

完成部署过程。

1. 查看配置。
2. 选择 创建。
3. 等待几分钟，直到部署完成。
4. 部署完成后，选择 “与代理聊天 ”。

验证它是否正常工作

向代理询问一个问题，确认它可以看到你的资源。

What Azure resources can you see?

应会看到一个摘要，例如“我在 3 个资源组中找到了 251 个资源，包括 5 个容器应用、2 个 AKS 群集...”

您的代理也会显示：

• 包含受监视组的资源组表
• 按类型进行资源分析
• 针对资源定制的建议提示

总结

代理现在对所选资源组中的资源具有读取访问权限，可以查询这些资源的 Azure Monitor 日志和指标，并准备好回答有关基础结构的问题。

替代项：订阅级访问

如果跳过了资源组选择步骤或想要比单个资源组更广泛的访问权限，则可以向代理 读取者 授予整个订阅的访问权限。

1. 转到代理中的 设置>基础设置。
2. 在 Azure 门户中选择 托管标识 链接以打开它。
3. 导航到你的订阅的访问控制（IAM）。
4. 为代理的托管标识添加 读取者 角色分配。

此方法使代理无需选择单个资源组即可查看订阅中的所有资源。

后续步骤

步骤 2：添加团队的知识

相关内容

• 权限和角色：详细权限模型
• 用户角色：谁可以访问您的代理以及他们可以执行的操作
• 运行模式：控制代理拥有多少自主权
• 支持的区域：可用区域的完整列表
• Azure 可观测性诊断：代理可以通过 Azure 访问执行哪些操作