使用 Azure 原則 啟用 VM 深入解析
Azure 原則 可讓您設定並強制執行您所建立之所有新資源的需求,以及您修改的資源。 VM 深入解析原則計劃,這是針對 VM 深入解析建立的預先定義原則集、安裝 VM 深入解析所需的代理程式,以及在 Azure 環境中的所有新虛擬機上啟用監視。
本文說明如何使用預先定義的 VM 深入解析原則,為 Azure 虛擬機、虛擬機擴展集和與 Azure Arc 連線的混合式虛擬機啟用 VM 深入解析。
注意
如需如何搭配 Azure 虛擬機擴展集使用 Azure 原則,以及如何直接使用 Azure 原則 來啟用 Azure 虛擬機的相關信息,請參閱使用 Azure 原則 大規模部署 Azure 監視器。
VM 深入解析計劃
VM 深入解析原則計劃會在 Azure 環境中的新虛擬機上安裝 Azure 監視器代理程式和相依性代理程式。 將這些計劃指派給管理群組、訂用帳戶或資源群組,以自動在已定義範圍中的 Windows 或 Linux Azure 虛擬機上安裝代理程式。
這些計劃適用於您所建立的新機器,以及您修改的計算機,但不適用於現有的 VM。
| 名稱 | 描述 |
|---|---|
| 使用 Azure 監視代理程式啟用 適用於 VM 的 Azure 監視器 | 在 Azure VM 上安裝 Azure 監視器代理程式和相依性代理程式。 |
| 使用 Azure 監視代理程式為虛擬機擴展集啟用 Azure 監視器 | 在虛擬機擴展集上安裝 Azure 監視器代理程式和相依性代理程式。 |
| 使用 Azure 監視代理程式為混合式 VM 啟用 Azure 監視器 | 在與 Azure Arc 連線的混合式 VM 上安裝 Azure 監視器代理程式和相依性代理程式。 |
| 舊版:啟用 適用於 VM 的 Azure 監視器 | 在虛擬機擴展集上安裝Log Analytics代理程式和相依性代理程式。 |
| 舊版:為虛擬機擴展集啟用 Azure 監視器 | 在虛擬機擴展集上安裝Log Analytics代理程式和相依性代理程式。 |
重要
舊版 Log Analytics 代理程式將在 2024 年 8 月前淘汰。 在此日期之後,Microsoft 將不再提供 Log Analytics 代理程式的任何支援。 在 2024 年 8 月之前移轉至 Azure 監視器代理程式 ,以繼續擷取數據。
支援自定義映像
Azure 監視器代理程式型 VM 深入解析原則和方案定義具有 scopeToSupportedImages 參數,預設會設定為 true ,只允許在支援的映射上上架相依性代理程式。 將此參數設定為 false,以允許在自定義映像上上架相依性代理程式。
指派 VM 深入解析原則計劃
若要從 Azure 入口網站 將 VM 深入解析原則方案指派給訂用帳戶或管理群組:
搜尋並開啟 [原則]。
選取 [指派指派>方案]。
[ 指派計劃] 畫面隨即出現。
設定機制指派:
在 [ 範圍] 欄位中,選取您要指派方案的管理群組或訂用帳戶。
(選擇性)選取 [排除專案] 以排除計劃指派中的特定資源。 例如,如果您的範圍是管理群組,您可能會在該管理群組中指定要從指派中排除的訂用帳戶。
選取 [計劃指派] 旁的省略號 (...),以啟動原則定義選擇器。 選取其中一個 VM 深入解析計劃。
(選擇性) 變更 [指派名稱 ] 並新增 [描述]。
在 [ 參數] 索引標籤上,選取 指派中所有虛擬機都會傳送數據的Log Analytics工作區 。 若要讓虛擬機將數據傳送至不同的工作區,請建立多個指派,每個指派都有自己的範圍。
注意
如果您選取不在指派範圍內的工作區,請將Log Analytics參與者許可權授與原則指派的主體標識符。 否則,您可能會收到部署失敗,例如:
The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...
選取 [ 檢閱 + 建立] 以檢閱方案指派詳細數據。 選取 [建立] 以建立指派。
此時請勿建立補救工作,因為您可能需要多個補救工作才能啟用現有的虛擬機。 如需如何建立補救工作的詳細資訊,請參閱 補救合規性結果。
檢閱 VM 深入解析原則計劃的合規性
指派方案之後,您可以檢閱和管理整個管理群組和訂用帳戶之計劃的合規性。
若要查看每個管理群組或訂用帳戶中有多少部虛擬機及其合規性狀態:
搜尋並開啟 Azure 監視器。
選取 [虛擬機概>觀>][其他上線選項]。 然後在 [使用原則啟用] 底下,選取 [啟用]。
[適用於 VM 的 Azure 監視器 原則涵蓋範圍] 頁面隨即出現。
下表描述 適用於 VM 的 Azure 監視器 原則涵蓋範圍頁面上顯示的合規性資訊。
函式 描述 範圍 方案適用的管理群組或訂用帳戶。 我的角色 您在範圍中的角色。 如果您擁有訂用帳戶的存取權,但不能存取其所屬的管理群組,該角色可以是讀者、擁有者、參與者或空白。 您的角色會決定您可以看到哪些數據,以及您是否可以指派原則或計劃(擁有者)、編輯原則或檢視合規性。 VM 總數 範圍中的 VM 總數,不論其狀態為何。 對於管理群組,此數目是所有相關訂用帳戶或子管理群組中 VM 的總和。 工作分派涵蓋範圍 方案涵蓋的 VM 百分比。 當您指派方案時,您在指派中選取的範圍可能是列出的範圍或其中的子集。 例如,如果您為訂用帳戶(方案範圍)而不是管理群組(涵蓋範圍範圍)建立指派,指派涵蓋範圍的值會指出方案範圍內的 VM 除以涵蓋範圍中的 VM。 在另一種情況下,您可能會從原則範圍中排除某些 VM、資源群組或訂用帳戶。 如果值為空白,表示原則或方案不存在或您沒有許可權。 工作分派狀態 成功:Azure 監視器代理程式或部署在範圍內所有機器上的Log Analytics代理程式和相依性代理程式。
警告:訂用帳戶不在管理群組下。
未啟動:已新增指派。
鎖定:您沒有足夠的管理群組許可權。
空白:沒有 VM 存在或未指派原則。符合規範的 VM 已安裝 Azure 監視器代理程式或 Log Analytics 代理程式和相依性代理程式的 VM 數目。 如果沒有指派、範圍中沒有 VM,或沒有相關許可權,則此欄位為空白。 合規性 整體合規性號碼是相異相容資源的總和除以所有相異資源的總和。 合規性狀態 符合規範:範圍中的所有 VM 都有 Azure 監視器代理程式或已部署至其中的 Log Analytics 代理程式和相依性代理程式,或尚未評估範圍中的任何新 VM。
不符合規範:有未啟用且可能需要補救的 VM。
未啟動:已新增指派。
鎖定:您沒有足夠的管理群組許可權。
空白:未指派任何原則。選取省略號 (...) >檢視合規性。
[ 合規性 ] 頁面隨即出現。 它會列出符合指定篩選條件的指派,並指出它們是否符合規範。
選取指派以檢視其詳細數據。 [ 方案合規性 ] 頁面隨即出現。 它會列出方案的原則定義,以及每個原則是否都符合規範。
如果下列條件,原則定義會被視為不符合規範:
- 未部署 Azure 監視器代理程式、Log Analytics 代理程式或相依性代理程式。 建立補救工作以減輕。
- 原則定義中未識別 VM 映射 (OS)。 原則只能驗證已知的 Azure VM 映像。 請檢查檔,以查看是否支援 VM OS。
- 方案範圍中的某些 VM 會連線到 Log Analytics 工作區,而不是原則指派中指定的 VM。
選取原則定義以開啟 [ 原則合規性 ] 頁面。
建立補救工作
如果您的指派未顯示 100% 合規性,請建立補救工作來評估並啟用現有的 VM。 您最可能需要建立多個補救工作,每個原則定義都有一個。 您無法為方案建立補救工作。
若要建立補救工作:
在 [ 方案合規性 ] 頁面上,選取 [ 建立補救工作]。
[ 新增補救工作 ] 頁面隨即出現。
檢視補 救設定 和資源 ,以視需要補救 和修改。 然後選取 [ 補救 ] 以建立工作。
補救工作完成之後,您的 VM 應該與已安裝並啟用 VM 深入解析的代理程式相容。
追蹤補救工作
若要追蹤補救工作的進度,請在 [ 原則 ] 功能選取 [補救 ],然後選取 [ 補救工作 ] 索引卷標。
下一步
了解如何:
- 檢視 VM 深入解析對應 以檢視應用程式相依性。
- 檢視 Azure VM 效能識別 VM 效能的瓶頸與整體使用率。