在 Azure 監視器中監視虛擬機的最佳做法
本文提供使用 Azure 監視器監視虛擬機及其用戶端工作負載的架構最佳做法。 此指引是以 Azure 良好架構架構中所述的五大架構卓越要素為基礎。
可靠性
在雲端中,我們承認發生失敗。 目標不是完全防止失敗,而是將單一失敗元件的影響降到最低。 使用下列資訊來監視虛擬機及其用戶端工作負載是否有失敗。
設計檢查清單
- 建立 Azure VM 的可用性警示規則。
- 建立代理程式活動訊號警示規則,以驗證代理程式健康情況。
- 設定數據收集和警示,以監視用戶端工作流程的可靠性。
組態建議
| 建議 | 描述 |
|---|---|
| 建立 Azure VM 的可用性警示規則。 | 使用可用性計量 (預覽) 來追蹤 Azure VM 何時執行。 雖然您可以使用建議的警示快速為個別計算機啟用可用性警示規則,但以資源群組或訂用帳戶為目標的單一警示規則可針對特定區域的所有 VM 啟用可用性警示。 這比為每個 VM 建立警示規則更容易管理,並確保會自動監視範圍內建立的任何新 VM。 此警示規則不需要在 VM 上安裝 Azure 監視器代理程式,但不適用於 Azure 外部的 VM。 |
| 建立代理程式活動訊號警示規則,以驗證代理程式健康情況。 | Azure 監視器代理程式會每分鐘傳送活動訊號至Log Analytics工作區。 當代理程式停止傳送活動訊號時,請使用記錄搜尋警示規則 來警示代理程式活動訊號 ,這是 VM 已關閉或代理程序狀況不良且用戶端工作負載未受到監視的指標。 此警示規則要求 Azure 監視器代理程式已安裝在 VM 上,並同時套用至 Azure 和非 Azure VM。 |
| 設定數據收集和警示,以監視用戶端工作流程的可靠性。 | 使用監視虛擬機與 使用 Azure 監視器監視虛擬機器的資訊:收集數據 以設定用戶端事件收集,指出用戶端工作負載的潛在問題。 使用 Azure 監視器監視虛擬機與監視虛擬機:警示以建立警示規則,以主動通知用戶端工作負載的任何潛在作業問題。 |
安全性
安全性是任何架構中最重要的其中一個層面。 Azure 監視器提供功能來同時採用最低許可權和深度防禦原則。 使用下列資訊來監視虛擬機的安全性。
設計檢查清單
- 使用其他服務來監視 VM 的安全性。
- 請考慮使用適用於 VM 的 Azure 私人連結,以使用私人端點連線到 Azure 監視器。
組態建議
| 建議 | 描述 |
|---|---|
| 使用其他服務來監視 VM 的安全性。 | 雖然 Azure 監視器可以從您的 VM 收集安全性事件,但不適合用於安全性監視。 Azure 包含多個服務,例如 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel,可提供完整的安全性監視解決方案。 如需這些服務的比較,請參閱 安全性監視 。 |
| 請考慮使用適用於 VM 的 Azure 私人連結,以使用私人端點連線到 Azure 監視器。 | 公用端點的 連線 會使用端對端加密來保護。 如果您需要私人端點,您可以使用 Azure 私人連結 ,讓您的 VM 透過授權的專用網連線到 Azure 監視器。 私人連結也可以用來強制透過 ExpressRoute 或 VPN 擷取工作區數據。 請參閱 設計您的 Azure Private Link 設定 ,以判斷您環境的最佳網路和 DNS 拓撲。 |
成本最佳化
成本最佳化是指設法減少不必要的費用,並提升營運效率。 您可以了解不同設定選項和機會來減少 Azure 監視器收集的資料量,藉此大幅降低其成本。 請參閱 Azure 監視器成本和使用量 ,以瞭解 Azure 監視器費用的不同方式,以及如何檢視每月帳單。
注意
請參閱 將 Azure 監視器中的成本優化,以取得 Azure 監視器 所有功能的成本優化建議。
設計檢查清單
- 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。
- 從代理程式篩選不需要的資料。
- 判斷是否要使用 VM 深入解析及要收集的資料。
- 減少效能計數器的輪詢頻率。
- 確定 VM 不會傳送重複的資料。
- 使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。
- 將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。
組態建議
| 建議 | 描述 |
|---|---|
| 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。 | 如果您仍有使用 Log Analytics 代理程式的 VM,請將其遷移至 Azure 監視器代理程式,以利用更好的資料篩選功能,並搭配不同的 VM 集合使用獨特設定。 Log Analytics 代理程式的資料收集設定會在工作區上完成,因此所有代理程式都會接收到相同的設定。 Azure 監視器代理程式使用的資料收集規則可以根據不同 VM 集合的特定監視需求進行調整。 Azure 監視器代理程式也可讓您使用轉換來篩選所收集的資料。 |
| 從代理程式篩選不需要的資料。 | 篩選您不用於警示或分析的資料,以減少資料擷取成本。 請參閱使用 Azure 監視器監視虛擬機器:收集資料,了解如何針對不同監視案例收集資料,並請參閱控制成本,取得篩選資料以降低成本的特定指引。 |
| 判斷要使用 VM 深入解析收集哪些資料。 | VM 深入解析是一項絕佳的功能,可快速開始監視您的 VM,並提供強大的功能,例如對應和效能趨勢檢視。 如果您未使用對應功能或其收集的資料,則應該停用 VM 深入解析設定中的程序和相依性資料收集,以節省資料擷取成本。 |
| 減少效能計數器的輪詢頻率。 | 如果您使用資料收集規則傳送效能資料至 Log Analytics 工作區,您可以減少其輪詢頻率,以減少收集的資料量。 |
| 確定 VM 不會傳送重複的資料。 | 如果您將代理程式設為多宿主或建立類似的資料收集規則,請務必將唯一資料傳送至每個工作區。 如需對所收集資料進行分析的相關指引,請參閱在 Log Analytics 工作區中分析使用量,以確保您不會收集重複的資料。 如果您在代理程式之間遷移,請繼續使用 Log Analytics 代理程式,直到您遷移至 Azure 監視器代理程式,而不是同時使用這兩者,除非您可以確保每個代理程式都是收集唯一的資料。 |
| 使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。 | Log Analytics 工作區深入解析會顯示每個資料表中和從每個 VM 中收集的可計費資料。 請使用此資訊來識別您的最上層機器和資料表,因為其代表您可藉由篩選資料來降低成本的最佳機會。 使用此深入解析和分析 Log Analytics 工作區中的使用量中的記錄查詢,進一步分析設定變更的影響。 |
| 將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。 | 將現有的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體,以支援任何無法由 Azure 監視器取代的管理組件。 SCOM 受控執行個體不需要維護本機管理伺服器和資料庫伺服器,可降低維護 SCOM 基礎結構的整體成本。 |
卓越營運
卓越營運是指需要讓服務在生產環境中可靠地執行作業程式。 使用下列資訊,將監視虛擬機的操作需求降到最低。
設計檢查清單
- 從舊版代理程式移轉至 Azure 監視器代理程式。
- 使用 Azure Arc 監視 Azure 外部的 VM。
- 使用 Azure 原則 來部署代理程式並指派數據收集規則。
- 建立數據收集規則結構的策略。
- 請考慮將 SCOM 用戶端管理元件移轉至 Azure 監視器。
組態建議
| 建議 | 描述 |
|---|---|
| 從舊版代理程式移轉至 Azure 監視器代理程式。 | Azure 監視器代理程式比舊版 Log Analytics 代理程式更容易管理,而且可在 Log Analytics 工作區設計中提供更多彈性。 Windows 和 Linux 代理程式都允許多路連接,這表示它們可以連線到多個工作區。 數據收集規則可讓您大規模管理數據收集設定,並定義機器子集的唯一範圍設定。 如需考慮和移轉方法,請參閱 從Log Analytics代理程式遷移至 Azure 監視器代理程式 。 |
| 使用 Azure Arc 監視 Azure 外部的 VM。 | 適用於伺服器的 Azure Arc 可讓您管理裝載於 Azure 外部、公司網路上或其他雲端提供者的實體伺服器和虛擬機。 使用 Azure 連線 機器代理程式就地,您可以使用您為 Azure VM 執行的相同方法,將 Azure 監視器代理程式部署至這些 VM,然後使用相同的 Azure 監視器工具監視整個 VM 集合。 |
| 使用 Azure 原則 來部署代理程式並指派數據收集規則。 | Azure 原則 可讓您將代理程序自動部署至現有 VM 的集合,以及所建立的任何新 VM。 這可確保所有 VM 都會受到系統管理員最少介入的監視。 如果您使用 VM 深入解析,請參閱使用 Azure 原則 啟用 VM 深入解析。 如果您想要在沒有 VM 深入解析的情況下管理 Azure 監視器代理程式,請參閱使用 Azure 原則 啟用 Azure 監視器代理程式。 請參閱 手動建立範本的 DCR ,以建立數據收集規則關聯。 |
| 建立數據收集規則結構的策略。 | 數據收集規則會定義使用 Azure 監視器代理程式從虛擬機收集數據,以及傳送該資料的位置。 每個 DCR 都可以包含多個集合案例,並與任意數目的 VM 相關聯。 建立策略,以設定 DCR 只收集不同 VM 群組的必要數據,同時將您需要管理的 DCR 數目降到最低。 |
| 請考慮將 SCOM 用戶端管理元件移轉至 Azure 監視器。 | 如果您有監視用戶端工作負載的現有 SCOM 環境,您可以將足夠的管理元件邏輯移轉至 Azure 監視器,讓您淘汰 SCOM 環境,或至少淘汰某些管理元件。 請參閱 從 System Center Operations Manager (SCOM) 遷移至 Azure 監視器。 |
效能效益
效能效率是工作負載調整的能力,以符合使用者以有效率的方式滿足其需求。 使用下列資訊來監視虛擬機的效能。
設計檢查清單
- 設定數據收集和警示,以監視用戶端工作流程的效能。
組態建議
| 建議 | 描述 |
|---|---|
| 設定數據收集和警示,以監視用戶端工作流程的效能。 | 使用監視虛擬機與 使用 Azure 監視器監視虛擬機器的資訊:收集數據 ,以設定測量用戶端工作負載效能的客戶端數據收集。 使用監視虛擬機與 使用 Azure 監視器監視虛擬機: 警示來建立警示規則,以主動通知用戶端工作負載的任何潛在效能問題。 |
後續步驟
- 取得設定虛擬機監視的完整指引。