Verwenden von Azure-Richtlinien zum Installieren und Verwalten des Azure Monitor-Agents

Mithilfe von Azure Policy können Sie den Azure Monitor-Agent automatisch auf Ihren vorhandenen und neuen virtuellen Computern installieren und diesen die entsprechenden DCRs automatisch zuordnen. In diesem Artikel werden die integrierten Richtlinien und Initiativen beschrieben, die Sie zur Unterstützung bei der Verwaltung dieser Azure Monitor-Funktionen und -Features nutzen können.

Verwenden Sie die folgenden Richtlinien und Richtlinieninitiativen, um den Agent bei jeder Erstellung einer VM, einer Skalierungsgruppe oder eines Azure Arc-fähigen Servers automatisch zu installieren und einer Datensammlungsregel zuzuordnen.

Hinweis

Azure Monitor bietet eine Vorschau der Datensammlungsregelfunktion (DCR), die das Erstellen von Zuweisungen für Richtlinien und Initiativen vereinfacht, die DCRs verwenden. Dazu gehören Initiativen, die den Azure Monitor-Agent installieren. Sie können diese Funktion verwenden, um Zuweisungen für die in diesem Artikel beschriebenen Initiativen zu erstellen. Weitere Informationen finden Sie unter Anzeigen von Datensammlungsregeln in Azure Monitor.

Voraussetzungen

Bevor Sie fortfahren, sollten Sie die Voraussetzungen für die Installation des Agents prüfen.

Hinweis

Gemäß den bewährten Methoden von Microsoft Identity basieren die Richtlinien für die Installation des Azure Monitor-Agents auf virtuellen Computern und in Skalierungsgruppen auf der benutzerseitig zugewiesenen verwalteten Identität. Diese Option ist für die verwaltete Identität für diese Ressourcen skalierbarer und resilienter. Bei Azure Arc-fähigen Servern sind Richtlinien nur auf die systemseitig zugewiesene verwaltete Identität angewiesen, da dies derzeit die einzige unterstützte Option ist.

Integrierte Richtlinien

Sie können die einzelnen Richtlinien aus der Richtlinieninitiative oben verwenden, um eine einzelne Aktion im großen Stil durchzuführen. Wenn Sie z. B. nur den Agent automatisch installieren möchten, verwenden Sie die zweite Richtlinie zur Agent-Installation aus der Initiative, wie gezeigt.

Teilscreenshot: Seite mit Azure Policy-Definitionen mit Richtlinien, die in der Initiative zum Konfigurieren des Azure Monitor-Agents enthalten sind.

Integrierte Richtlinieninitiativen

Es gibt integrierte Richtlinieninitiativen für Windows- und Linux-VMs und Skalierungsgruppen, die das End-to-End-Onboarding im großen Stil mit Azure Monitor-Agents ermöglichen.

Hinweis

Die Richtliniendefinitionen enthalten nur die Liste der von Microsoft unterstützten Windows- und Linux-Versionen. Verwenden Sie den Additional Virtual Machine Images Parameter, um ein benutzerdefiniertes Bild hinzuzufügen.

Diese oben genannten Initiativen umfassen einzelne Richtlinien für Folgendes:

  • (Optional) Erstellen Sie eine integrierte, benutzerseitig zugewiesene verwaltete Identität pro Abonnement und Region und weisen Sie sie zu. Weitere Informationen

    • Bring Your Own User-Assigned Identity: Sofern auf false festgelegt, wird die integrierte, benutzerseitig zugewiesene verwaltete Identität in der vordefinierten Ressourcengruppe erstellt und allen Computern zugewiesen, auf welche die Richtlinie angewendet wird. Der Speicherort der Ressourcengruppe kann im Built-In-Identity-RG Location-Parameter konfiguriert werden. Wenn dies auf true festgelegt ist, können Sie stattdessen eine vorhandene benutzerseitig zugewiesene Identität verwenden, die automatisch allen Computern zugewiesen wird, auf welche die Richtlinie angewendet wird.
  • Installieren Sie die Azure Monitor-Agent-Erweiterung auf dem Computer, und konfigurieren Sie sie so, dass sie die benutzerseitig zugewiesene Identität verwendet, wie in den folgenden Parametern angegeben.

    • Bring Your Own User-Assigned Managed Identity: Wenn diese Option auf false festgelegt ist, wird der Agent so konfiguriert, dass er die integrierte, benutzerseitig zugewiesene verwaltete Identität verwendet, die mithilfe der Richtlinie oben erstellt wurde. Wenn dies auf true festgelegt ist, wird der Agent für die Verwendung einer benutzerseitig zugewiesenen Identität konfiguriert.
    • User-Assigned Managed Identity Name: Wenn Sie Ihre eigene Identität verwenden (true ist ausgewählt), geben Sie den Namen der Identität an, die den Computern zugewiesen ist.
    • User-Assigned Managed Identity Resource Group: Wenn Sie Ihre eigene Identität verwenden (true ist ausgewählt), geben Sie die Ressourcengruppe an, in der die Identität vorhanden ist.
    • Additional Virtual Machine Images: Übergeben Sie weitere Namen von VM-Images, auf die Sie die Richtlinie anwenden möchten, falls nicht bereits enthalten.
    • Built-In-Identity-RG Location: Wenn Sie die integrierte benutzerseitig zugewiesene verwaltete Identität verwenden, geben Sie den Speicherort an, in dem die Identität und die Ressourcengruppe erstellt werden sollen. Dieser Parameter wird nur verwendet, wenn Bring Your Own User-Assigned Managed Identity Parameter auf falsefestgelegt ist.
  • Erstellen Sie die Zuordnung und stellen Sie sie bereit, um den Computer mit der angegebenen Regel für die Datensammlung zu verknüpfen.

    • Data Collection Rule Resource Id: Die Azure Resource Manager-resourceId der Regel, die Sie über diese Richtlinie allen Computern zuordnen möchten, auf die die Richtlinie angewendet wird.

    Teilscreenshot: Seite mit Azure Policy-Definitionen mit zwei integrierten Richtlinieninitiativen zum Konfigurieren des Azure Monitor-Agents.

Bekannte Probleme

  • Standardverhalten einer verwalteten Identität. Weitere Informationen
  • Mögliche Racebedingung bei Verwendung der integrierten Erstellungsrichtlinie für benutzerseitig zugewiesene Identitäten. Weitere Informationen
  • Zuweisen von Richtlinien zu Ressourcengruppen. Wenn der Zuweisungsumfang der Richtlinie eine Ressourcengruppe und kein Abonnement ist, muss die von der Richtlinienzuweisung verwendete Identität (die sich von der benutzerseitig zugewiesenen Identität unterscheidet, die vom Agent verwendet wird) vor der Zuweisung/Neuzuweisung manuell mit diesen Rollen versehen werden. Wenn dieser Schritt nicht erfolgt, kann dies zu Bereitstellungsfehlern führen.
  • Andere Einschränkungen für verwaltete Identitäten.

Wiederherstellung

Die Initiativen oder Richtlinien gelten für jeden virtuellen Computer, während er erstellt wird. Mit einer Wartungsaufgabe werden die Richtliniendefinitionen in der Initiative für vorhandene Ressourcen bereitgestellt, sodass Sie den Azure Monitor-Agent für alle Ressourcen konfigurieren können, die bereits erstellt wurden.

Wenn Sie die Zuweisung mithilfe des Azure-Portals erstellen, können Sie gleichzeitig einen Wartungstask erstellen. Weitere Informationen zur Wartung finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.

Screenshot der Initiativenwartung für den Azure Monitor-Agent.

Nächste Schritte

Erstellen Sie eine Datensammlungsregel, um Daten des Agents zu sammeln und an Azure Monitor zu senden.