第 1 階段：Azure 伺服器管理服務的要條件規劃

在此階段中，您將熟悉有關服務的 Azure 伺服器管理套件，以及規劃如何部署執行這些管理解決方案所需的資源。

了工具與服務

如需以下內容的詳細概觀，請參閱 Azure 伺服器管理工具與服務：

• 與進行中之 Azure 作業相關的管理領域。
• 對您在這些領域有所助益的 Azure 服務和工具。

您將使用一些這類服務，達成您的管理需求。 本指南中會頻繁地參考這些工具。

下列各節將探討使用這些工具與服務時，必要的規劃與準備。

Log Analytics 工作區與自動化帳戶規劃

您將用來上架 Azure 管理服務的許多服務，都需要 Log Analytics 工作區和連結的 Azure 自動化帳戶。

Log Analytics 工作區是用來儲存 Azure 監視器記錄資料的唯一環境。 每個工作區都有自己的資料存放庫和設定。 資料來源和解決方案會設定為將其資料儲存在特定工作區中。 Azure 監視解決方案會要求所有伺服器都必須連線到工作區，以便能夠儲存和存取其記錄資料。

某些管理服務需要 Azure 自動化帳戶。 您可以使用此帳戶和 Azure 自動化的功能，來整合 Azure 服務與其他公用系統，以部署、設定及管理您的伺服器管理流程。

下列 Azure 伺服器管理服務，需要連結的 Log Analytics 工作區和自動化帳戶：

• 更新管理
• 變更追蹤和清查
• Hybrid Runbook Worker
• Desired State Configuration

本指南的第二個階段，著重於部署服務和自動化指令碼。 您可看到如何建立 Log Analytics 工作區和自動化帳戶。 本指南也會說明如何使用 Azure 原則，來確保新的虛擬機器已連線到正確的工作區。

本指南中的範例，假設部署尚未有任何伺服器部署到雲端。 如要深入了解規劃工作區所需的原則和考量，請參閱 管理 Azure 監視器的記錄資料與工作區。

規劃考量

準備上架管理服務所需的工作區和帳戶時，請考量下列事項：

• Azure 地理位置和法規遵循：Azure 區域會統整成地理位置。 Azure 地理位置可確保符合地理界限內的資料落地、主權、合規性及復原需求。 如果您的工作負載受到資料主權或其他合規性需求的限制，則必須對和其所支援的工作負載資源相同的 Azure 地理位置內之區域，部署工作區和自動化帳戶。
• 工作區數目：指導準則是要對每個 Azure 地理位置，建立所需的最少工作區數目。 建議對您計算或儲存體資源所在位置的每個 Azure 地理位置，都至少要有一個工作區。 此一開始的做法，有助於避免未來在將資料移轉至不同的地理位置時，發生法規問題。
• 資料保留和上限：建立工作區或自動化帳戶時，也需要將資料保留原則或資料上限需求納入考量。 如需這些原則的詳細資訊，以及規劃工作區時的其他考量事項，請參閱管理 Azure 監視器中的記錄資料和工作區。
• 區域對應：只有在某些特定的 Azure 區域之間，才支援連結 Log Analytics 工作區與 Azure 自動化帳戶。 例如，如果 Log Analytics 工作區由 East US 區域代管，則必須在要在和管理服務搭配使用的 East US 2 區域中，建立連結的自動化帳戶。 如果是在另一個區域中建立了您的自動化帳戶，則無法連結至 East US 中的工作區。 部署區域的選擇可能會大幅影響 Azure 地理位置需求。 請參閱區域對應表，決定哪個區域應裝載您的工作區和自動化帳戶。
• 工作區多重首頁：Azure Log Analytics 代理程式在某些情況下支援多重首頁，但在執行此設定下，代理程式面臨了一些限制和挑戰。 除非 Microsoft 針對您特定的案例建議使用，否則請勿在 Log Analytics 代理程式上設定多重首頁。

資源放置範例

放置 Log Analytics 工作區和自動化帳戶的訂閱，有幾種不同的模型可供選擇。 簡單來說，就是將工作區和自動化帳戶，放置在由負責執行更新管理方案和變更追蹤以及清查服務小組所擁有的訂閱中。

以下是一些部署工作區和自動化帳戶方法的範例。

依地理位置放置

小型和中型環境具有單一訂閱，而且有數百個跨多重 Azure 地理位置的資源。 若為這些環境，請在每個地理位置中建立一個 Log Analytics 工作區和一個 Azure 自動化帳戶。

您可以在每個資源群組中，建立一個工作區和一個 Azure 自動化帳戶。 然後，將相對應地理位置中的配對，部署到虛擬機器。

或者，如果您的資料合規性原則沒有規定資源要位於特定區域，即可建立一對來管理所有虛擬機器。 同時也建議您將成對的工作區和自動化帳戶，放在不同的資源群組中，以提供更細微的 Azure 角色型存取控制 (Azure RBAC)。

下圖中的範例，有一個具有兩個資源群組的訂閱，各自位於不同的地理位置：

放置在管理訂閱中

較大型的環境會跨多個訂閱，並且擁有具備監視和合規性的集中式 IT 小組。 若為這些環境，請在 IT 管理訂閱中建立成對的工作區和自動化帳戶。 在此模型中，地理位置中的虛擬機器資源，會將其資料儲存在 IT 管理訂閱中相對應的地理工作區內。 如果應用程式小組需要執行自動化工作，但不需要連結的工作區與自動化帳戶，他們可以在自己的應用程式訂閱中，建立其他的自動化帳戶。

分散式放置

在大型環境的另一種模型中，應用程式開發小組可負責修補及管理。 在此情況下，請將成對的工作區與自動化帳戶，連同其他資源一起放置在應用程式小組訂閱中。

建立工作區與自動化帳戶

在選擇放置及整理成對工作區與帳戶的最佳方法後，請確定已建了立這些資源，然後再開始進行上架程序。 本指南稍後的自動化範例，會為您示範建立成對的工作區和自動化帳戶。 但是，如果想要使用 Azure 入口網站進行上架，但目前沒有任何成對的工作區和自動化帳戶，則必須加以建立。

若要使用 Azure 入口網站建立 Log Analytics 工作區，請參閱建立工作區。 接下來，請遵循建立 Azure 自動化帳戶中的步驟，為每個工作區建立配對的自動化帳戶。

注意

當您使用 Azure 入口網站建立自動化帳戶時，入口網站預設會嘗試建立 Azure Resource Manager 和傳統部署模型資源的執行身分帳戶。 如果您的環境中沒有傳統虛擬機器，而您也並非該訂閱的共同系統管理員，則入口網站會建立 Resource Manager 的執行身分帳戶，但在部署傳統執行身份帳戶時，會產生錯誤。 如果不打算支援傳統資源，則可忽略此錯誤。

您也可以使用 PowerShell 來建立執行身份帳戶。

後續步驟

了解如何將您的伺服器上架到 Azure 伺服器管理服務。

上架到 Azure 伺服器管理服務