你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

阶段 1:Azure 服务器管理服务的先决条件规划

  • 项目

在此阶段,你将熟悉 Azure 服务器管理服务套件,并规划如何部署实现这些管理解决方案所需的资源。

了解工具和服务

查看 Azure 服务器管理工具和服务,详细了解:

  • 正在进行的 Azure 操作所涉及的管理领域。
  • 有助于在这些方面提供支持的 Azure 服务和工具。

你将同时使用其中几项服务来满足管理要求。 本指南经常引用这些工具。

以下部分讨论使用这些工具和服务所需的规划和准备工作。

Log Analytics 工作区和自动化帐户规划

用于载入 Azure 管理服务的许多服务都需要 Log Analytics 工作区和链接的 Azure 自动化帐户。

Log Analytics 工作区是用于存储 Azure Monitor 日志数据的唯一环境。 每个工作区都有其自己的数据存储库和配置。 数据源和解决方案均配置为将其数据存储在特定工作区中。 Azure 监视解决方案要求所有服务器都连接到一个工作区,这样就可以存储和访问其日志数据。

某些管理服务需要 Azure 自动化帐户。 使用此帐户以及 Azure 自动化的功能,可以集成 Azure 服务和其他公共系统,以便部署、配置和管理服务器管理进程。

以下 Azure 服务器管理服务需要链接的 Log Analytics 工作区和自动化帐户:

本指南的第二阶段侧重于部署服务和自动化脚本。 其中演示如何创建 Log Analytics 工作区和自动化帐户。 本指南还演示如何使用 Azure Policy 来确保新虚拟机连接到正确的工作区。

本指南中的示例假设部署尚未将服务器部署到云。 若要详细了解规划工作区所涉及的原则和注意事项,请参阅管理 Azure Monitor 中的日志数据和工作区

规划注意事项

准备载入管理服务所需的工作区和帐户时,请考虑以下问题:

  • Azure 地理位置和法规符合性:Azure 区域按地理位置进行组织。 Azure 地理位置确保在地理边界内满足数据驻留、主权、符合性和复原能力。 如果工作负荷受数据主权或其他符合性要求的影响,则必须将工作区和自动化帐户部署到与其支持的工作负荷资源位于同一 Azure 地理位置的区域。
  • 工作区数:作为指导原则,请创建每个 Azure 地理位置所需的最小工作区数。 建议为计算或存储资源所在的每个 Azure 地理位置至少创建一个工作区。 这种初始一致性有助于在将数据迁移到不同地理位置时避免将来出现法规问题。
  • 数据保留和上限:创建工作区或自动化帐户时,可能还需要考虑数据保留策略或数据上限要求。 有关这些原则的详细信息以及规划工作区时的其他注意事项,请参阅管理 Azure Monitor 中的日志数据和工作区
  • 区域映射:仅支持在某些 Azure 区域之间链接 Log Analytics 工作区和 Azure 自动化帐户。 例如,如果 Log Analytics 工作区托管在 East US 区域中,则必须在 East US 2 区域中创建链接的自动化帐户,以用于管理服务。 如果自动化帐户是在另一个区域创建的,则它无法链接到 East US 中的工作区。 选择部署区域可能会显著影响 Azure 地理位置要求。 请参阅区域映射表,确定应托管工作区和自动化帐户的区域。
  • 工作区多宿主:在某些情况下,Azure Log Analytics 代理支持多宿主,但在此配置中运行时,代理面临一些限制和挑战。 除非 Microsoft 为特定方案提出此建议,否则请不要在 Log Analytics 代理上配置多宿主。

资源放置示例

有几种不同的模型用于选择放置 Log Analytics 工作区和自动化帐户的订阅。 简而言之,将工作区和自动化帐户放在负责实现更新管理解决方案以及更改跟踪和清单服务的团队所拥有的订阅中。

下面是部署工作区和自动化帐户的一些方法的示例。

按地理位置放置

小型和中型环境具有单个订阅和跨多个 Azure 地理位置的数百个资源。 对于这些环境,请在每个地理位置创建一个 Log Analytics 工作区和 Azure 自动化帐户。

可以在每个资源组中创建一个工作区和一个 Azure 自动化帐户,作为一个对。 然后,将相应地理位置中的对部署到虚拟机。

或者,如果数据符合性策略未规定资源驻留在特定的区域,可以创建一个对来管理所有虚拟机。 我们还建议将工作区和自动化帐户对放在单独的资源组中,以提供精细化 Azure 基于角色的访问控制 (Azure RBAC)。

下图中的示例有一个包含两个资源组的订阅,每个资源组位于不同的地理位置:

适用于中小规模环境的工作区模型

管理订阅中的放置

较大的环境跨越多个订阅,并拥有一个具有监视和符合性的中心 IT 团队。 对于这些环境,请在 IT 管理订阅中创建一对工作区和自动化帐户。 在此模型中,地理位置中的虚拟机资源将数据存储在 IT 管理订阅的相应地理位置工作区中。 如果应用程序团队需要运行自动化任务,但不需要链接的工作区和自动化帐户,他们可以在其自己的应用程序订阅中创建单独的自动化帐户。

适用于大规模环境的工作区模型

分散放置

在大型环境的备用模型中,应用程序开发团队可能负责修补和管理。 在这种情况下,将工作区和自动化帐户对连同其他资源一起放在应用程序团队订阅中。

适用于分散环境的工作区账户模型

创建工作区和自动化帐户

选择放置和组织工作区和帐户对的最佳方法后,请确保在启动载入过程之前已创建这些资源。 本指南稍后的自动化示例将创建工作区和自动化帐户对。 但是,如果要使用 Azure 门户载入,并且没有现有的工作区和自动化帐户对,则需要进行创建。

若要使用 Azure 门户创建 Log Analytics 工作区,请参阅创建工作区。 接下来,按照创建 Azure 自动化帐户中的步骤,为每个工作区创建匹配的自动化帐户。

注意

使用 Azure 门户创建自动化帐户时,门户默认会尝试为 Azure 资源管理器和经典部署模型资源创建运行方式帐户。 如果环境中没有经典虚拟机,且你不是订阅上的共同管理员,门户会为资源管理器创建运行模式帐户,但在部署经典运行模式帐户时会生成错误。 如果不打算支持经典资源,可以忽略此错误。

也可使用 PowerShell 创建运行 As 帐户。

后续步骤

了解如何将服务器载入 Azure 服务器管理服务。

加入 Azure 服务器管理服务