使用 Azure 原則來安裝和管理 Azure 監視器代理程式
使用 Azure 原則時,您可以讓 Azure 監視器代理程式自動安裝在現有和新的虛擬機器上,並讓適當的 DCR 自動與其建立關聯。 本文說明您可以針對 Azure 監視器的這項功能運用的內建原則和方案,以協助您進行管理。
使用下列原則和原則計畫,在每次建立虛擬機器、擴展集或已啟用 Azure Arc 的伺服器時,自動安裝代理程式,並將其與資料收集規則建立關聯。
注意
Azure 監視器具有預覽的資料收集規則 (DCR) 體驗,可簡化如何針對使用 DCR 的原則和方案建立指派。 這包括安裝 Azure 監視器代理程式的方案。 您可以選擇使用該體驗來為本文所述的方案建立指派。 如需詳細資訊,請參閱在 Azure 監視器中管理資料收集規則 (DCR) 和關聯。
必要條件
在繼續之前,請先詳讀代理程式安裝的必要條件。
注意
根據 Microsoft 身分識別最佳做法,在虛擬機器和擴展集上安裝 Azure 監視器代理程式的原則依賴於使用者指派的受控識別。 對於這些資源而言,這是更具可調整性和復原性的受控識別選項。 針對已啟用 Azure Arc 的伺服器,原則依賴於系統指派的受控識別,這是目前唯一支援的選項。
內建原則
您可以選擇使用上述原則計畫中的個別原則,藉此大規模執行單一動作。 例如,如果您只想自動安裝代理程式,請使用計畫的第二個代理程式安裝原則,如下列所示。
![[Azure 原則定義] 頁面的部分螢幕擷取畫面,其中顯示用於設定 Azure 監視器代理程式的計畫內所含的原則。](media/azure-monitor-agent-install/built-in-ama-dcr-policy.png#lightbox)
內建原則計畫
Windows 和 Linux 虛擬機有內建的原則計劃,擴展集可使用 Azure 監視器代理程式端對端進行大規模上線
- 使用使用者指派的受控識別型驗證部署 Windows Azure 監視器代理程式,並與資料收集規則建立關聯
- 使用使用者指派的受控識別型驗證部署 Linux Azure 監視器代理程式,並與資料收集規則建立關聯
注意
原則定義只包含 Microsoft 支援的 Windows 和 Linux 版本清單。 若要新增自訂映像,請使用 Additional Virtual Machine Images 參數。
上述計劃包含個別原則::
(選用) 建立並指派每個訂閱、每個區域的內建使用者指派受控識別。 深入了解。
Bring Your Own User-Assigned Identity:如果設為false,它會在預先定義的資源群組中建立內建使用者指派的受控識別,並將其指派給套用原則的所有機器。 資源群組的位置可以在Built-In-Identity-RG Location參數中設定。 如果設定為true,您可以改用現有的使用者指派身分識別,自動指派給套用原則的所有機器。
在機器上安裝 Azure 監視器代理程式延伸模組,並將其設定為採用使用者指派的身分識別,如下列參數所指定。
Bring Your Own User-Assigned Managed Identity:如果設定為false,它會將代理程式設為使用上述原則所建立的內建使用者指派受控識別。 如果設定為true,這會將代理程式設定為使用現有的使用者指派身分識別。User-Assigned Managed Identity Name:如果使用您自己的身分識別 (所選的true),請指定指派給機器的身分識別名稱。User-Assigned Managed Identity Resource Group:如果使用您自己的身分識別 (所選的true),請指定身分識別所在的資源群組。Additional Virtual Machine Images:傳遞您想要套用原則的其他 VM 映像名稱 (如果尚未包含)。Built-In-Identity-RG Location:如果您使用內建使用者指派的受控識別,請指定應建立身分識別和資源群組的位置。 只有在Bring Your Own User-Assigned Managed Identity參數設定為false時,才會使用此參數。
建立並部署關聯,以將機器連結至指定的資料收集規則。
Data Collection Rule Resource Id:規則的 Azure Resource Manager resourceId,您想透過此原則與套用此原則的所有機器建立關聯的規則。
![[Azure 原則定義] 頁面的部分螢幕擷取畫面,其中顯示用於設定 Azure 監視器代理程式的兩個內建原則計畫。](media/azure-monitor-agent-install/built-in-ama-dcr-initiatives.png)
![[Azure 原則定義] 頁面的部分螢幕擷取畫面,其中顯示用於設定 Azure 監視器代理程式的兩個內建原則計畫。](media/azure-monitor-agent-install/built-in-ama-dcr-initiatives.png#lightbox)
已知問題
- 受控識別預設行為。 深入了解。
- 使用內建使用者指派的身分識別建立原則,可能會出現競爭條件。 深入了解。
- 將原則指派給資源群組。 如果原則的指派範圍是資源群組而非某項訂閱,原則指派所使用的身分識別 (與代理程式所使用的使用者指派身分識別不同) 必須先手動授與這些角色權限,才能指派/補救。 未執行此步驟會導致部署失敗。
- 其他受控識別限制。
補救
計畫或原則將會在建立時套用至每部虛擬機器。 補救工作會將計畫中的原則定義部署至現有資源,以便為已建立的任何資源設定 Azure 監視器代理程式。
當您使用 Azure 入口網站建立指派時,可以選擇同時建立補救工作。 如需補救的相關資訊,請參閱補救不符合 Azure 原則規範的資源。
下一步
建立資料收集規則,以從代理程式收集資料,並將其傳送至 Azure 監視器。