你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Policy 启用 VM 见解
Azure Policy 可用于为你创建的所有新资源和修改的资源设置和强制执行要求。 VM 见解策略计划(为 VM 见解创建的预定义策略集)安装 VM 见解所需的代理,并启用对 Azure 环境中所有新虚拟机的监视。
本文介绍如何使用预定义的 VM 见解策略计划为 Azure 虚拟机、虚拟机规模集和与 Azure Arc 连接的混合虚拟机启用 VM 见解。
注意
有关如何将 Azure Policy 与 Azure 虚拟机规模集结合使用以及如何直接使用 Azure Policy 以启用 Azure 虚拟机的信息,请参阅使用 Azure Policy 大规模部署 Azure Monitor。
VM 见解计划
VM 见解策略计划会在 Azure 环境中的新虚拟机上安装 Azure Monitor 代理和依赖项代理。 将这些计划分配给管理组、订阅或资源组,可在定义范围内的 Windows 或 Linux Azure 虚拟机上自动安装代理。
这些计划适用于创建的新计算机和修改的计算机,但不适用于现有 VM。
“属性” | 说明 |
---|---|
使用 Azure Monitor 代理启用用于 VM 的 Azure Monitor | 在 Azure VM 上安装 Azure Monitor 代理和依赖项代理。 |
使用 Azure Monitor 代理启用用于虚拟机规模集的 Azure Monitor | 在虚拟机规模集上安装 Azure Monitor 代理和依赖项代理。 |
使用 Azure Monitor 代理启用用于混合 VM 的 Azure Monitor | 在与 Azure Arc 连接的混合 VM 上安装 Azure Monitor 代理和依赖项代理。 |
旧版:启用用于 VM 的 Azure Monitor | 在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。 |
旧版:启用用于虚拟机规模集的 Azure Monitor | 在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。 |
重要
旧版 Log Analytics 代理将于 2024 年 8 月弃用。 在此日期之后,Microsoft 将不再为 Log Analytics 代理提供任何支持。 请在 2024 年 8 月之前迁移到 Azure Monitor 代理,这样才能继续引入数据。
支持自定义映像
Azure Monitor 基于代理的 VM 见解策略和计划定义具有一个 scopeToSupportedImages
参数,该参数默认设置为 true
,以便仅在受支持的映像上加入 Dependency Agent。 将此参数设置为 false
以允许在自定义映像上加入 Dependency Agent。
分配 VM 见解策略计划
从 Azure 门户将 VM 见解策略计划分配给订阅或管理组:
搜索并打开“策略”。
选择“分配”>“分配计划”。
此时会显示“分配计划”屏幕。
配置计划分配:
在“范围”字段中,选择要将计划分配到的管理组或订阅。
(可选)选择“排除项”可从计划分配中排除特定资源。 例如,如果范围是一个管理组,则可以指定从分配中排除该管理组中的某个订阅。
选择“计划分配”旁边的省略号 (...),来更快地启动策略定义。 选择 VM 见解计划之一。
(可选)更改“分配名称”并添加“说明”。
在“参数”选项卡中,选择一个要供分配中的所有虚拟机向其发送数据的“Log Analytics 工作区”。 对于要将数据发送到不同工作区的虚拟机,请创建多个分配,每个分配都有自己的范围。
注意
如果选择不在分配范围内的工作区,请将“Log Analytics 参与者”权限授予策略分配的主体 ID。 否则,可能会遇到如下所示的部署失败:
The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...
选择“查看 + 创建”来查看计划分配详细信息。 选择“创建”来创建分配。
此时请勿创建修正任务,因为可能需要执行多个修正任务,才能启用现有的虚拟机。 若要详细了解如何创建修正任务,请参阅修正合规性结果。
查看 VM 见解策略计划的合规性
分配计划后,可以在管理组和订阅中查看和管理该计划的合规性。
查看每个管理组或订阅中存在多少个虚拟机及其合规性状态:
搜索并打开“Azure Monitor”。
选择“虚拟机”>“概述”>“其他加入选项”。 然后,在“使用策略启用”下,选择“启用”。
此时会打开“用于 VM 的 Azure Monitor 策略覆盖范围”页面。
下表描述了“用于 VM 的 Azure Monitor 策略覆盖范围”页上显示的合规性信息。
函数 说明 范围 应用计划的管理组或订阅。 我的角色 你在范围内的角色。 角色可以是读取者、所有者、参与者;如果你有权访问订阅,但无权访问其所属的管理组,那么角色也可以为空。 角色决定了可以查看哪些数据,以及是否可以分配策略或计划(所有者)、编辑它们或查看合规性。 VM 总数 范围内的 VM 总数,无论其状态如何。 对于管理组,此数字是所有相关订阅或子管理组中的 VM 数之和。 分配覆盖范围 计划涵盖的 VM 百分比。 分配计划时,在分配中选择的范围可以是列出的范围或其子集。 例如,如果为订阅(计划范围)而不是管理组(覆盖范围)创建分配,则“分配覆盖率”的值指示计划范围内的 VM 除以覆盖范围内的 VM。 另举一例。你可能会从策略范围中排除某些 VM、资源组或订阅。 如果该值为空白,表示策略或计划不存在,或者你没有权限。 分配状态 成功:Azure Monitor 代理或 Log Analytics 代理和依赖项代理部署在范围内的所有计算机上。
警告:订阅不在管理组下。
未启动:已添加新分配。
锁定:对于管理组没有足够的特权。
空白:不存在 VM 或未分配策略。合规的 VM 数 同时安装了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理的 VM 数。 如果没有分配、范围内没有 VM,或者你没有相关权限,则此字段为空。 遵从性 整体合规性数值是不同合规资源的总和除以所有不同资源的总和。 符合性状态 合规:范围内的所有 VM 都部署了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理,或者范围内的任何新 VM 都尚未经过评估。
不合规:有些 VM 未启用,可能需要修正。
未启动:已添加新分配。
锁定:对于管理组没有足够的特权。
空白:未分配策略。选择省略号 (...) >“查看合规性”。
此时会显示“合规性”页面。 它列出了与指定筛选器匹配的分配,并指示它们是否合规。
选择某个分配可查看其详细信息。 此时会显示“计划合规性”页面。 它列出了计划中的策略定义,并指出每项是否合规。
如果满足以下条件,则策略定义被视为不合规:
- 未部署 Azure Monitor 代理、Log Analytics 代理或依赖项代理。 创建修正任务进行缓解。
- VM 映像 (OS) 未在策略定义中识别。 策略只能验证已知的 Azure VM 映像。 请查看文档,了解 VM OS 是否受支持。
- 计划范围中的某些 VM 连接到的 Log Analytics 工作区并非策略分配中指定的 Log Analytics 工作区。
选择某个策略定义以打开“策略合规性”页。
创建修正任务
如果分配显示并非 100% 合规,请创建修正任务来评估和启用现有 VM。 很可能需要创建多个修正任务,每个策略定义各有一个。 不能为计划创建修正任务。
创建修正任务:
在“计划合规性”页面中,选择“创建修正任务”。
此时会显示“新建修正任务”页面。
查看“修正设置”和“要修正的资源”,根据需要进行修改。 然后,选择“修正”来创建任务。
修正任务完成后,VM 应该会符合为 VM 见解安装和启用的代理。
跟踪修正任务
若要跟踪修正任务的进度,请在“策略”菜单中选择“修正”,然后选择“修正任务”选项卡。
后续步骤
了解如何:
- 查看 VM 见解映射,查看应用程序依赖项。
- 查看 Azure VM 性能,确定 VM 性能的瓶颈和整体利用率。