使用 Azure 監視器監視虛擬機器:部署代理程式
本文是在 Azure 監視器中監視虛擬機器及其工作負載指引的一部分。 其說明如何將 Azure 監視器部署到 Azure 和混合式虛擬機器的監視。
注意
此案例描述如何實作 Azure 和混合式虛擬機器環境的完整監視。 若要開始監視您的第一部 Azure 虛擬機器,請參閱監視 Azure 虛擬機器。
任何監視工具,例如 Azure 監視器,都需要在機器上安裝代理程式,才能從其客體作業系統收集資料。 Azure 監視器使用 Azure 監視器代理程式,這會支援 Azure、其他雲端環境和內部部署中的虛擬機器。
必要條件
建立 Log Analytics 工作區
您不需要 Log Analytics 工作區來部署 Azure 監視器代理程式,但需要一個工作區來收集資料。 工作區不需要任何成本,但當您收集資料時,會產生擷取和保留成本。
許多環境會針對其所有虛擬機器和其監視的其他 Azure 資源使用單一工作區。 您甚至能透過 適用於雲端的 Microsoft Defender和 Microsoft Sentinel 來分享所使用的工作區,雖然許多客戶選擇將其可用性和效能遙測與安全性資料區隔。 如果您要開始使用 Azure 監視器,則請從單一工作區開始,並考慮隨著需求的演進而建立更多工作區。 VM 深入解析會建立預設工作區,讓您可用來快速開始使用。
如需設計工作區設定時所應考量邏輯的完整詳細資料,請參閱設計 Log Analytics 工作區設定。
工作區權限
工作區的存取模式會定義哪些使用者可以存取不同的資料集。 如需如何定義存取模式以及設定權限的詳細資料,請參閱管理 Azure 監視器中記錄資料和工作區的存取權。 如果您剛開始使用 Azure 監視器,則請考慮在建立工作區以及稍後設定其權限時接受預設值。
提示
多路連接是指連線至多個工作區的虛擬機器。 一般而言極少需要單獨多路連接 Azure 監視器的代理程式。 讓代理程式將資料傳送至多個工作區,最有可能會在每個工作區中建立重複的資料,進而增加整體成本。 您可以使用跨工作區查詢和活頁簿,以合併來自多個工作區的資料。 您可能會考慮多路連接的其中一個原因,是如果您的環境將適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 儲存至與 Azure 監視器不同的工作區。 每個服務所監視的機器都需要將資料傳送至每個工作區。
準備混合式機器
混合式機器是任何未在 Azure 中執行的機器。 其是另一個雲端或已裝載提供者中執行的虛擬機器,或在您的資料中心內於內部部署環境執行的虛擬或實體機器。 在混合式機器上使用已啟用 Azure Arc 的伺服器,讓您可以使用與管理 Azure 虛擬機器類似的方式對其進行管理。 您可以在 Azure 監視器中使用 VM 深入解析,以使用啟用 Azure 虛擬機器監視的相同程序,為已啟用 Azure Arc 的伺服器啟用監視。 如需準備 Azure 混合式機器的完整指南,請參閱規劃和部署已啟用 Azure Arc 的伺服器。 此工作包括啟用個別機器,以及使用 Azure 原則大規模啟用整個混合式環境。
已啟用 Azure Arc 的伺服器沒有更多成本,但您啟用的不同選項可能會有一些成本。 如需詳細資料,請參閱 Azure Arc 定價。 混合式機器上線後,工作區中收集的資料會有成本,但與 Azure 虛擬機相同。
網路需求
適用於 Linux 和 Windows 的 Azure 監視器代理程式會透過 TCP 連接埠 443,對 Azure 監視器服務進行輸出通訊。 相依性代理程式會使用 Azure 監視器代理程式進行所有通訊,因此不需要任何其他連接埠。 如需如何設定防火牆和 Proxy 的詳細資料,請參閱網路需求。
將混合式虛擬機連線到 Azure 監視器有三種不同的選項:
公用網際網路。 如果您的混合式伺服器可以與公用網路通訊,則可以連線到全域 Azure 監視器端點。 這是最簡單的設定,但也是最不安全的組態。
Log Analytics 閘道。 使用 Log Analytics 閘道,您可以透過單一閘道傳送來自內部部署機器的通訊。 Azure Arc 不會使用閘道,但需要其連線的電腦代理程式才能安裝 Azure 監視器代理程式。 如需如何設定和使用 Log Analytics 閘道的詳細資料,請參閱 Log Analytics 閘道。
Azure Private Link。 使用 Azure Private Link,即可為 Log Analytics 工作區建立私人端點。 設定之後,必須透過此私人端點才能建立工作區的任何連線。 Private Link 是使用 DNS 覆寫進行運作,因此個別代理程式不需要進行設定。 如需 Private Link 的詳細資料,請參閱使用 Azure Private Link 安全地將網路連線至 Azure 監視器。 如需設定虛擬機私人連結的特定指引,請參閱為 Azure 監視器代理程式啟用網路隔離。
代理程式部署選項
Azure 監視器代理程式會實作為虛擬機擴充功能,因此您可以使用各種標準方法來安裝它,包括 PowerShell、CLI 和 Resource Manager 範本。 如需詳細資訊,請參閱 管理 Azure 監視器代理程式。 安裝上其他值得注意的方法如下所述。
方法 | 案例 | 詳細資料 |
---|---|---|
Azure 原則 | 大規模生產部署 | 如果您有大量虛擬機器,您應該使用 Azure 原則來部署代理程式,如同使用 Azure 原則管理 Azure 監視器代理程式或使用 Azure 原則啟用 VM 深入解析中所述。 這可確保代理程式會自動新增至現有的虛擬機器,以及您部署的任何新虛擬機器。 |
Azure 入口網站中的資料收集規則 | 測試和簡單部署 | 當您在 Azure 入口網站中建立資料收集規則時,如 使用 Azure 監視器代理程式收集資料 中所述,您可以選擇指定虛擬機器來接收。 Azure 監視器代理程式將自動安裝於任何其尚未存在的虛擬機器上。 |
在 Azure 入口網站中開啟 VM Insights | 使用預先設定的監視來測試和簡單的部署 | VM 深入解析會在 Azure 入口網站中提供簡化的代理程序上線。 按一下特定機器,會安裝 Azure 監視器代理程式、連線到工作區,並開始收集效能資料。 您可以選擇性地安裝相依性代理程式,並收集流程和相依性資料,以啟用 VM 深入解析的對應功能。 |
Windows 用戶端安裝程式 | 用戶端電腦 | 使用 Windows 用戶端安裝程式在 Windows 用戶端上安裝代理程式,例如 Windows 11。 如需在單一電腦上或指令碼中部署代理程式的不同選項,請參閱管理 Azure 監視器代理程式。 |
舊版代理程式
Azure 監視器代理程式會取代仍然可用的舊版代理程式,但只有在您需要 Azure 監視器代理程式尚未提供的特定功能時,才應該使用。 大部分的使用者都可以在沒有舊版代理程序的情況下使用 Azure 監視器。
舊版代理程式包括下列項目:
- Log Analytics 代理程式:支援 Azure、其他雲端環境和內部部署中的虛擬機器。 將資料傳送至 Azure 監視器記錄。 此代理程式與用於 System Center Operations Manager 的代理程式相同。
- Azure 診斷延伸模組:僅支援 Azure 監視器虛擬機器。 將資料傳送至 Azure 監視器計量、Azure 事件中樞和 Azure 儲存體。
如需 Azure 監視器代理程式目前支援的功能,請參閱支援的服務和功能。 如需已部署 Log Analytics 代理程式的詳細資訊,請參閱從 Log Analytics 代理程式遷移至 Azure 監視器代理程式。