在 Azure 監視器中監視虛擬機器的最佳做法
本文提供使用 Azure 監視器監視虛擬機器及其用戶端工作負載的架構最佳做法。 此指導方針是以 Azure Well-Architected Framework 中所述卓越的五大架構要素為基礎。
可靠性
在雲端中,我們知道失敗在所難免。 此目標不是試著完全避免失敗,而是將單一故障元件的影響降至最低。 使用下列資訊來監視虛擬機器及其用戶端工作負載是否發生失敗。
設計檢查清單
- 建立 Azure VM 的可用性警示規則。
- 建立代理程式活動訊號警示規則,以驗證代理程式健康情況。
- 設定資料收集和警示,以監視用戶端工作流程的可靠性。
組態建議
| 建議 | 描述 |
|---|---|
| 建立 Azure VM 的可用性警示規則。 | 使用可用性計量 (預覽) 來追蹤 Azure VM 何時執行。 雖然您可以使用建議的警示快速為個別機器啟用可用性警示規則,但以資源群組或訂用帳戶為目標的單一警示規則,可針對特定區域啟用該範圍中所有 VM 的可用性警示。 這比為每個 VM 建立警示規則更容易管理,並確保會自動監視範圍中建立的任何新 VM。 此警示規則不需要在 VM 上安裝 Azure 監視器代理程式,但不適用於 Azure 外部的 VM。 |
| 建立代理程式活動訊號警示規則,以驗證代理程式健康情況。 | Azure 監視器代理程式每分鐘會傳送活動訊號至 Log Analytics 工作區。 當代理程式停止傳送活動訊號時,請利用要警示的代理程式活動訊號使用記錄搜尋警示規則,這是 VM 已關閉或代理程式狀況不良且用戶端工作負載未受到監視的指標。 此警示規則要求 Azure 監視器代理程式已安裝在 VM 上,並同時套用至 Azure 和非 Azure VM。 |
| 設定資料收集和警示,以監視用戶端工作流程的可靠性。 | 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:收集資料來設定用戶端事件收集,指出用戶端工作負載的潛在問題。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:警示來建立警示規則,以主動通知用戶端工作負載的任何潛在作業問題。 |
安全性
安全性是任何架構中最為重要的部分。 Azure 監視器提供了採用最低權限和深度防禦準則的功能。 使用下列資訊來監視虛擬機器的安全性。
設計檢查清單
- 使用其他服務來監視 VM 的安全性。
- 請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。
組態建議
| 建議 | 描述 |
|---|---|
| 使用其他服務來監視 VM 的安全性。 | 雖然 Azure 監視器可以從您的 VM 收集安全性事件,但不適合用於安全性監視。 Azure 包含多個服務,例如適用於雲端的 Microsoft Defender 和 Microsoft Sentinel,可共同提供完整的安全性監視解決方案。 如需這些服務的比較,請參閱安全性監視。 |
| 請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。 | 透過端對端加密來保護與公用端點的連線。 如果您需要私人端點,您可以使用 Azure 私人連結,讓 VM 透過授權的私人網路連線到 Azure 監視器。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。 請參閱設計您的 Azure Private Link 設定,以判斷您環境的最佳網路和 DNS 拓撲。 |
成本最佳化
成本最佳化是指設法減少不必要的費用,並提升營運效率。 您可以了解不同設定選項和機會來減少 Azure 監視器收集的資料量,藉此大幅降低其成本。 查看 Azure 監視器成本和使用量,了解 Azure 監視器收費的不同方式,以及如何檢視每月帳單。
注意
如需 Azure 監視器所有功能的成本最佳化建議,請參閱將 Azure 監視器中的成本最佳化。
設計檢查清單
- 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。
- 從代理程式篩選不需要的資料。
- 判斷是否要使用 VM 深入解析及要收集的資料。
- 減少效能計數器的輪詢頻率。
- 確定 VM 不會傳送重複的資料。
- 使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。
- 將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。
組態建議
| 建議 | 描述 |
|---|---|
| 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。 | 如果您仍有使用 Log Analytics 代理程式的 VM,請將其遷移至 Azure 監視器代理程式,以利用更好的資料篩選功能,並搭配不同的 VM 集合使用獨特設定。 Log Analytics 代理程式的資料收集設定會在工作區上完成,因此所有代理程式都會接收到相同的設定。 Azure 監視器代理程式使用的資料收集規則可以根據不同 VM 集合的特定監視需求進行調整。 Azure 監視器代理程式也可讓您使用轉換來篩選所收集的資料。 |
| 從代理程式篩選不需要的資料。 | 篩選您不用於警示或分析的資料,以減少資料擷取成本。 請參閱使用 Azure 監視器監視虛擬機器:收集資料,了解如何針對不同監視案例收集資料,並請參閱控制成本,取得篩選資料以降低成本的特定指引。 |
| 判斷要使用 VM 深入解析收集哪些資料。 | VM 深入解析是一項絕佳的功能,可快速開始監視您的 VM,並提供強大的功能,例如對應和效能趨勢檢視。 如果您未使用對應功能或其收集的資料,則應該停用 VM 深入解析設定中的程序和相依性資料收集,以節省資料擷取成本。 |
| 減少效能計數器的輪詢頻率。 | 如果您使用資料收集規則傳送效能資料至 Log Analytics 工作區,您可以減少其輪詢頻率,以減少收集的資料量。 |
| 確定 VM 不會傳送重複的資料。 | 如果您將代理程式設為多宿主或建立類似的資料收集規則,請務必將唯一資料傳送至每個工作區。 如需對所收集資料進行分析的相關指引,請參閱在 Log Analytics 工作區中分析使用量,以確保您不會收集重複的資料。 如果您在代理程式之間遷移,請繼續使用 Log Analytics 代理程式,直到您遷移至 Azure 監視器代理程式,而不是同時使用這兩者,除非您可以確保每個代理程式都是收集唯一的資料。 |
| 使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。 | Log Analytics 工作區深入解析會顯示每個資料表中和從每個 VM 中收集的可計費資料。 請使用此資訊來識別您的最上層機器和資料表,因為其代表您可藉由篩選資料來降低成本的最佳機會。 使用此深入解析和分析 Log Analytics 工作區中的使用量中的記錄查詢,進一步分析設定變更的影響。 |
| 將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。 | 將現有的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體,以支援任何無法由 Azure 監視器取代的管理組件。 SCOM 受控執行個體不需要維護本機管理伺服器和資料庫伺服器,可降低維護 SCOM 基礎結構的整體成本。 |
卓越營運
卓越營運是指服務在生產環境中可靠地執行所需的作業程式。 使用下列資訊,將監視虛擬機器的作業需求降到最低。
設計檢查清單
- 從舊版代理程式遷移至 Azure 監視器代理程式。
- 使用 Azure Arc 監視 Azure 外部的 VM。
- 使用 Azure 原則來部署代理程式,並指派資料收集規則。
- 建立資料收集規則結構的策略。
- 請考慮將 System Center Operations Manager (SCOM) 用戶端管理組件移轉至 Azure 監視器。
組態建議
| 建議 | 描述 |
|---|---|
| 從舊版代理程式遷移至 Azure 監視器代理程式。 | Azure 監視器代理程式比舊版 Log Analytics 代理程式更容易管理,並且可在 Log Analytics 工作區設計中提供更多彈性。 Windows 和 Linux 代理程式都允許多重主機,這表示其可以連線到多個工作區。 資料收集規則可讓您大規模管理資料收集設定,並為機器子集設定唯一範圍設定。 如需考量和移轉方法,請參閱從 Log Analytics 代理程式移轉至 Azure 監視器代理程式。 |
| 使用 Azure Arc 監視 Azure 外部的 VM。 | 適用於伺服器的 Azure Arc 可讓您管理裝載於 Azure 外部、公司網路上或其他雲端提供者上實體伺服器和虛擬機器。 就地使用 Azure 連線機器代理程式,您可以使用您為 Azure VM 執行的相同方法,將 Azure 監視器代理程式部署至這些 VM,然後使用相同的 Azure 監視器工具監視整個 VM 集合。 |
| 使用 Azure 原則來部署代理程式,並指派資料收集規則。 | Azure 原則可讓您將代理程式自動部署至現有 VM 集合,以及所建立的任何新 VM。 這可確保所有 VM 在系統管理員最少介入的情況下受到監視。 如果您使用 VM 深入解析,請參閱使用 Azure 原則啟用 VM 深入解析。 如果您想要在沒有 VM 深入解析的情況下管理 Azure 監視器代理程式,請參閱使用 Azure 原則啟用 Azure 監視器代理程式。 請參閱手動建立 DCR,以取得用來建立資料收集規則關聯的範本。 |
| 建立資料收集規則結構的策略。 | 資料收集規則會定義使用 Azure 監視器代理程式從虛擬機器收集的資料,以及傳送該資料的位置。 每個 DCR 都可以包含多個集合案例,並與任意數目的 VM 建立關聯。 建立策略來設定 DCR,以僅收集不同 VM 群組的必要資料,同時將您需要管理的 DCR 數目降到最低。 |
| 請考慮將 SCOM 用戶端管理組件移轉至 Azure 監視器。 | 如果您有監視用戶端工作負載的現有 SCOM 環境,可將足夠的管理組件邏輯遷移至 Azure 監視器,讓您淘汰 SCOM 環境,或至少淘汰某些管理組件。 請參閱從 System Center Operations Manager (SCOM) 遷移至 Azure 監視器。 |
效能效益
效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 使用下列資訊來監視虛擬機器的效能。
設計檢查清單
- 設定資料收集和警示,以監視用戶端工作流程的效能。
組態建議
| 建議 | 描述 |
|---|---|
| 設定資料收集和警示,以監視用戶端工作流程的效能。 | 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:收集資料來設定用戶端資料收集,以測量您用戶端工作負載的效能。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:警示來建立警示規則,以主動通知用戶端工作負載的任何潛在效能問題。 |