描述 Azure Arc 與 Azure 原則和 Azure 監視器之間的整合

  • 5 分鐘

Azure Arc 可讓 Contoso 等組織將 Azure 功能延伸至位於內部部署資料中心或裝載于另一個雲端提供者的電腦作業系統。 例如,Azure 原則可用來稽核作業系統、應用程式和環境的設定合規性。 Contoso IT 人員也可以使用 Azure 原則,管理及評估已啟用 Azure Arc 的 Kubernetes 叢集的合規性。

同樣地,Contoso 可以使用 Azure 監視器來協助監視及管理其透過 Azure Arc 連線的現有內部部署伺服器資源。Azure 監視器容器深入解析可協助 Contoso 為其已啟用 Azure Arc 的 Kubernetes 叢集收集健康情況和資源使用率資料。

Screenshot that depicts the Map tab on the Insights page for a VM in Azure. ContosoVM1 is displayed with details of open TCP ports. A VM summary is also displayed.

如何運用 Azure 原則?

「Azure 原則」是可以協助組織針對其 Azure 環境的組織標準管理及評估合規性的服務。 Azure 原則會使用以目標 Azure 資源類型的屬性為基礎的宣告式規則。 這些規則會形成原則定義,而系統管理員可以透過將原則指派至資源群組或訂用帳戶來套用這些定義。

已啟用 Arc 的伺服器Azure 原則功能包括:

  • 在佈建新的 Azure 資源時強制執行合規性。
  • 稽核現有 Azure 資源的合規性。
  • 稽核 Azure VM 內的作業系統、應用程式設定及環境設定的合規性。

若要管理及指派某部電腦的 Azure Arc 原則,請在 Azure 入口網站中瀏覽至 Azure Arc。 在傳回的受控伺服器清單中,選取適當的伺服器,然後為其指派原則。 您必須設定下列設定:

  • 原則範圍,以及原則範圍中排除的任何項目
  • 原則定義
  • 指派名稱
  • 描述
  • 原則強制執行 (已啟用或已停用)

The screenshot depicts the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

在指派原則之後,您便可以從 Azure Arc 檢閱所選取伺服器上的原則設定。

The screenshot depicts the applied policies on ContosoVM1. Two policies are applied, and the VM is compliant with one but not the other.

如何使用 Azure 監視器?

您可以使用監視器來將現有部署的管理最佳化,以及預測未來部署的容量需求。 監視器能透過下列方式提供專注且深入的監視功能:

  • 監視和計量視覺化。
  • 查詢和分析記錄。
  • 警示和補救。

您可以收集及監視已啟用 Arc 的伺服器計量、活動和診斷記錄,以及事件。 Azure 監視器可以直接從連線的電腦收集資料到 Log Analytics 工作區,以取得詳細的分析和相互關聯。

將 Azure 監視器代理程式部署至已啟用 Arc 的伺服器可讓您執行下列動作:

  • 使用 VM 深入解析監視在機器或伺服器上執行的作業系統和任何工作負載
  • 使用 Azure 監視器來分析和警示
  • 使用 適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 在 Azure 中執行安全性監視
  • 使用 Azure 自動化 變更追蹤和清查 收集清查和追蹤變更

針對已啟用 Azure Arc 的 Kubernetes,您可以使用容器深入解析,這是 Azure 監視器的功能,可監視容器工作負載的效能和健康情況。 除了收集容器記錄之外,容器深入解析也有助於從控制器、節點和容器收集記憶體和處理器計量。 您可以使用檢視集合和預先建置的活頁簿,分析 Kubernetes 叢集中不同元件的收集的資料。

您可以封存Azure 儲存體中收集的監視資料,以供長期分析或合規性之用。 您也可以將此資料路由至 Azure 串流分析或其他服務,以進行進一步分析。