Gerir as políticas do Azure e implementar a extensão do agente de monitorização Azure para servidores Azure Arc Linux e WindowsManage Azure policies and deploy the Azure monitoring agent extension to Azure Arc Linux and Windows servers

Este artigo fornece orientações sobre como usar o Azure Arc habilitado a atribuir políticas Azure a VMs fora de Azure, sejam eles no local ou em outras nuvens.This article provides guidance on how to use Azure Arc enabled servers to assign Azure policies to VMs outside of Azure, whether they are on-premises or on other clouds. Com esta funcionalidade pode agora utilizar a Azure Policy para auditar as definições no sistema operativo de um servidor ativado pelo Arco Azure, se uma definição não for conforme, também pode desencadear uma tarefa de remediação.With this feature you can now use Azure Policy to audit settings in the operating system of an Azure Arc enabled server, if a setting is not compliant you can also trigger a remediation task.

Neste caso, irá atribuir uma política de auditoria se a máquina ligada Azure Arc tiver o agente MMA (Agente de Monitorização da Microsoft) instalado.In this case, you will assign a policy to audit if the Azure Arc connected machine has the (Microsoft Monitoring Agent) MMA agent installed. Caso contrário, utilize a função de extensões para a implantar automaticamente no VM, uma experiência de inscrição que níveis para VMs Azure.If not, use the extensions feature to automatically deploy it to the VM, an enrollment experience that levels to Azure VMs. Esta abordagem pode ser usada para garantir que todos os seus servidores estão a bordo de serviços como Azure Monitor, Azure Security Center, Azure Sentinel, e assim por diante.This approach can be used to make sure all your servers are onboard to services such as Azure Monitor, Azure Security Center, Azure Sentinel, and so on.

Pode utilizar o portal Azure, um modelo de Gestor de Recursos Azure (modelo ARM) ou script PowerShell para atribuir políticas a subscrições ou grupos de recursos do Azure.You can use the Azure portal, an Azure Resource Manager template (ARM template) or PowerShell script to assign policies to Azure subscriptions or resource groups. Os seguintes procedimentos utilizam um modelo ARM para atribuir políticas incorporadas.The following procedures use an ARM template to assign built-in policies.

Importante

Os procedimentos neste artigo pressupõe que já implementou VMs, ou servidores que estão a funcionar no local ou em outras nuvens, e que os ligou ao Arco de Azure. Se não o fez, as seguintes informações podem ajudá-lo a automatizar isto.The procedures in this article assumes you've already deployed VMs, or servers that are running on-premises or on other clouds, and you have connected them to Azure Arc. If you haven't, the following information can help you automate this.

Por favor, reveja a documentação de SO suportada pelo Azure Monitor e certifique-se de que os VMs utilizados para estes procedimentos são suportados.Please review the Azure Monitor supported OS documentation and ensure that the VMs you use for these procedures are supported. Para os VMs Linux, verifique tanto a distribuição linux como o núcleo para garantir que está a utilizar uma configuração suportada.For Linux VMs, check both the Linux distribution and kernel to ensure you are using a supported configuration.

Pré-requisitosPrerequisites

  1. Clone o repositório Azure Arc Jumpstart.Clone the Azure Arc Jumpstart repository.

    git clone https://github.com/microsoft/azure_arc
    
  2. Como mencionado, este guia começa no ponto onde já implementou e ligou VMs ou servidores ao Azure Arc. Nas imagens seguintes, um servidor da Google Cloud Platform (GCP) foi ligado ao Azure Arc e é visível como um recurso em Azure.As mentioned, this guide starts at the point where you already deployed and connected VMs or servers to Azure Arc. In the following screenshots a Google Cloud Platform (GCP) server has been connected with Azure Arc and is visible as a resource in Azure.

    Uma imagem de um grupo de recursos para um servidor ativado pelo Azure Arc.

    Uma imagem de um estado ligado para um servidor ativado pelo Arco Azure.

  3. Instale ou atualize o Azure CLI.Install or update Azure CLI. O Azure CLI deve estar a executar a versão 2.7 ou mais tarde.Azure CLI should be running version 2.7 or later. Utilize az --version para verificar a sua versão instalada atual.Use az --version to check your current installed version.

  4. Criar um diretor de serviço Azure.Create an Azure service principal.

    Para ligar um servidor VM ou de metal nu ao Azure Arc, é necessário o principal do serviço Azure atribuído à função Contribuinte.To connect a VM or bare-metal server to Azure Arc, Azure service principal assigned with the Contributor role is required. Para criá-lo, inscreva-se na sua conta Azure e execute o seguinte comando.To create it, sign in to your Azure account and run the following command. Também pode executar este comando em Azure Cloud Shell.You can also run this command in Azure Cloud Shell.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    Por exemplo:For example:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    A saída deverá ter o seguinte aspeto:The output should look like this:

    {
    "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
    "displayName": "AzureArcServers",
    "name": "http://AzureArcServers",
    "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
    "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

    Nota

    Recomendamos vivamente que se encate o principal do serviço a um grupo específico de subscrição e recursos da Azure.We highly recommend that you scope the service principal to a specific Azure subscription and resource group.

Também terá de ter um espaço de trabalho log analytics implantado.You'll also need to have a Log Analytics workspace deployed. Pode automatizar a implementação editando o ficheiro de parâmetros do modelo ARM e fornecendo um nome e localização para o seu espaço de trabalho.You can automate the deployment by editing the ARM template parameters file and providing a name and location for your workspace.

Uma imagem de um ficheiro de parâmetros do modelo ARM.

Para implantar o modelo ARM, navegue na pasta de implantação e execute o seguinte comando:To deploy the ARM template, navigate to the deployment folder and run the following command:

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `log_analytics-template.json` template file location> \
--parameters <The `log_analytics-template.parameters.json` template file location>

Atribuir políticas a máquinas ligadas a Azure ArcAssign policies to Azure Arc connected machines

Depois de definidos todos os pré-requisitos, pode atribuir políticas às máquinas ligadas ao Arco Azure.After all the prerequisites are set, you can assign policies to the Azure Arc connected machines. Edite o ficheiro de parâmetros para fornecer o seu ID de subscrição, bem como o espaço de trabalho Log Analytics.Edit the parameters file to provide your subscription ID as well as the Log Analytics workspace.

Uma imagem de outro ficheiro de parâmetro do modelo ARM.

  1. Para iniciar a implantação, utilize o seguinte comando:To start the deployment, use the following command:

    az policy assignment create --name 'Enable Azure Monitor for VMs' \
    --scope '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>' \
    --policy-set-definition '55f3eceb-5573-4f18-9695-226972c6d74a' \
    -p <The *policy.json* template file location> \
    --assign-identity --location <Azure Region>
    

    A policy-set-definition bandeira aponta para a definição de iniciativa Enable Azure Monitor ID.The policy-set-definition flag points to the initiative Enable Azure Monitor definition ID.

  2. Após a atribuição da iniciativa, leva cerca de 30 minutos para que a atribuição seja aplicada ao âmbito definido.After the initiative is assigned, it takes about 30 minutes for the assignment to be applied to the defined scope. A Azure Policy inicia então o ciclo de avaliação contra a máquina conectada Azure Arc e reconhece-a como incompatível porque ainda não tem a configuração do agente Log Analytics implementada.Azure Policy then starts the evaluation cycle against the Azure Arc connected machine and recognizes it as noncompliant because it still doesn't have the Log Analytics agent configuration deployed. Para verificar isto, aceda à máquina ligada Azure Arc na secção de políticas.To check this, go to the Azure Arc connected machine under the policies section.

    Uma imagem de um estatuto de Política Azure não conforme.

  3. Agora, atribua uma tarefa de reparação ao recurso não conforme para colocar em um estado compatível.Now, assign a remediation task to the noncompliant resource to put into a compliant state.

    Uma imagem de criação de uma tarefa de remediação da Política Azure.

  4. No âmbito da Política de remediar, escolha [ preview] Implementar o Agente de Análise de Registo para máquinas Linux Azure Arc e selecionar Remediate.Under Policy to remediate, choose [Preview] Deploy Log Analytics Agent to Linux Azure Arc machines and select Remediate. Esta tarefa de remediação está a instruir a Azure Policy a executar o DeployIfNotExists efeito e a utilizar as capacidades de gestão da extensão do Arco Azure para implantar o agente Log Analytics no VM.This remediation task is instructing Azure Policy to run the DeployIfNotExists effect and use the Azure Arc extension management capabilities to deploy the Log Analytics agent on the VM.

    Uma imagem de uma ação de remediação da Política Azure dentro de uma tarefa de reparação.

  5. Depois de ter atribuído a tarefa de reparação, a política será novamente avaliada.After you have assigned remediation task, the policy will be evaluated again. Deve mostrar que o servidor do GCP está em conformidade e que a extensão do Agente de Monitorização da Microsoft está instalada na máquina Azure Arc.It should show that the server on GCP is compliant and that the Microsoft Monitoring Agent extension is installed on the Azure Arc machine.

    Uma imagem de uma configuração de tarefa de remediação.

    Uma imagem de um estado de Política Azure em conformidade.

Limpe o seu ambienteClean up your environment

Complete os seguintes passos para limpar o seu ambiente.Complete the following steps to clean up your environment.

  1. Retire as máquinas virtuais de cada ambiente seguindo as instruções de demolição de cada guia.Remove the virtual machines from each environment by following the teardown instructions from each guide.

  2. Remova a atribuição da Política Azure executando o seguinte script em Azure CLI.Remove the Azure Policy assignment by executing the following script in Azure CLI.

    az policy assignment delete --name 'Enable Azure Monitor for VMs' --resource-group <resource-group>
    
  3. Remova o espaço de trabalho Log Analytics executando o seguinte script em Azure CLI.Remove the Log Analytics workspace by executing the following script in Azure CLI. Forneça o nome do espaço de trabalho que usou ao criar o espaço de trabalho Log Analytics.Provide the workspace name you used when creating the Log Analytics workspace.

    az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics workspace Name> --yes