Bewährte Methoden für die Überwachung virtueller Computer in Azure Monitor
Dieser Artikel enthält bewährte Architekturmethoden für die Überwachung virtueller Computer und ihrer Client-Workloads mithilfe von Azure Monitor. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz, die unter Azure Well-Architected Framework beschrieben werden.
Zuverlässigkeit
In der Cloud muss leider mit Fehlern gerechnet werden. Es geht nicht darum, Fehler vollständig zu verhindern, sondern darum, die Auswirkungen einer einzelnen fehlerhaften Komponente zu minimieren. Verwenden Sie die folgenden Informationen, um Ihre virtuellen Computer und deren Client-Workloads auf Fehler zu überwachen.
Prüfliste für den Entwurf
- Erstellen Sie Verfügbarkeitswarnungsregeln für Azure-VMs.
- Erstellen Sie eine Warnungsregel für den Agent-Takt, um die Agentintegrität zu überprüfen.
- Konfigurieren Sie die Datenerfassung und Warnungen zur Überwachung der Zuverlässigkeit von Clientworkflows.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Erstellen Sie Verfügbarkeitswarnungsregeln für Azure-VMs. | Verwenden Sie die Verfügbarkeitsmetrik (Vorschau), um nachzuverfolgen, wann eine Azure-VM ausgeführt wird. Während Sie mithilfe empfohlener Warnungen schnell eine Verfügbarkeitswarnregel für einen einzelnen Computer aktivieren können, ermöglicht eine einzelne Warnungsregel für eine Ressourcengruppe oder ein Abonnement Verfügbarkeitswarnungen für alle VMs in diesem Bereich für eine bestimmte Region. Dies ist einfacher zu verwalten als das Erstellen einer Warnungsregel für jeden einzelnen virtuellen Computer und stellt sicher, dass alle in diesem Bereich erstellten neuen VMs automatisch überwacht werden. Diese Warnungsregel erfordert nicht, dass der Azure Monitor-Agent auf dem virtuellen Computer installiert ist, aber sie ist nicht für VMs außerhalb von Azure verfügbar. |
| Erstellen Sie eine Warnungsregel für den Agent-Takt, um die Agentintegrität zu überprüfen. | Der Azure Monitor-Agent sendet jede Minute einen Heartbeat an den Log Analytics-Arbeitsbereich. Verwenden Sie eine Protokollsuchwarnungsregel, die den Agent-Takt verwendet, um benachrichtigt zu werden, wenn ein Agent das Senden von Takten beendet. Dies ist ein Indikator dafür, dass entweder der virtuelle Computer ausgefallen oder der Agent fehlerhaft ist und die Client-Workloads nicht überwacht werden. Diese Warnungsregel erfordert, dass der Azure Monitor-Agent auf dem virtuellen Computer installiert ist und sowohl für Azure- als auch für Nicht-Azure-VMs gilt. |
| Konfigurieren Sie die Datenerfassung und Warnungen zur Überwachung der Zuverlässigkeit von Clientworkflows. | Verwenden Sie die Informationen unter Überwachen virtueller Computer mit Überwachen virtueller Computer mit Azure Monitor: Sammeln von Daten zum Konfigurieren der Clientereignissammlung, die potenzielle Probleme mit Ihren Client-Workloads anzeigt. Verwenden Sie die Informationen unter Überwachen virtueller Computer mit Überwachen virtueller Computer mit Azure Monitor: Warnungen, um Warnungsregeln zu erstellen, die Sie proaktiv über potenzielle betriebsbedingte Probleme mit Ihren Client-Workloads benachrichtigen. |
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Azure Monitor bietet Funktionen, mit denen sowohl das Prinzip der geringsten Rechte als auch die tiefgreifende Abwehr eingesetzt werden können. Verwenden Sie die folgenden Informationen, um die Sicherheit Ihrer virtuellen Computer zu überwachen.
Prüfliste für den Entwurf
- Verwenden Sie andere Dienste für die Sicherheitsüberwachung Ihrer VMs.
- Erwägen Sie die Verwendung eines privaten Azure-Links für VMs, um eine Verbindung mit Azure Monitor über einen privaten Endpunkt herzustellen.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Verwenden Sie andere Dienste für die Sicherheitsüberwachung Ihrer VMs. | Azure Monitor kann zwar Sicherheitsereignisse von Ihren VMs erfassen, ist jedoch nicht für die Sicherheitsüberwachung vorgesehen. Azure umfasst mehrere Dienste wie Microsoft Defender for Cloud und Microsoft Sentinel, die zusammen eine vollständige Sicherheitsüberwachungslösung bieten. Einen Vergleich dieser Dienste finden Sie unter Sicherheitsüberwachung. |
| Erwägen Sie die Verwendung eines privaten Azure-Links für VMs, um eine Verbindung mit Azure Monitor über einen privaten Endpunkt herzustellen. | Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ihren VMs das Herstellen einer Verbindung mit Azure Monitor über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Informationen zum Bestimmen der besten Netzwerk- und DNS-Topologie für Ihre Umgebung finden Sie unter Entwerfen Ihres Azure Private Link-Setups. |
Kostenoptimierung
Kostenoptimierung bezieht sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Sie können Ihre Kosten für Azure Monitor erheblich reduzieren, indem Sie Ihre verschiedenen Konfigurationsoptionen und Möglichkeiten kennen, um so die Menge der gesammelten Daten zu reduzieren. Lesen Sie Azure Monitor-Kosten und -Verbrauch, um die verschiedenen Arten der Abrechnung von Azure Monitor zu verstehen und um zu erfahren, wie Sie Ihre monatliche Rechnung anzeigen können.
Hinweis
Empfehlungen zur Kostenoptimierung für alle Features von Azure Monitor finden Sie unter Optimieren von Kosten in Azure Monitor .
Prüfliste für den Entwurf
- Migrieren Sie für eine präzise Datenfilterung vom Log Analytics- zum Azure Monitor-Agent.
- Filtern Sie Daten, die Sie nicht von Agenten benötigen.
- Bestimmen Sie, ob Sie VM Insights verwenden und welche Daten erfasst werden sollen.
- Reduzieren Sie die Abrufhäufigkeit von Leistungsindikatoren.
- Stellen Sie sicher, dass VMs keine doppelten Daten senden.
- Verwenden Sie Log Analytics-Arbeitsbereichseinblicke, um abrechenbare Kosten zu analysieren und Möglichkeiten zur Kosteneinsparung zu identifizieren.
- Migrieren Sie Ihre SCOM-Umgebung zu Azure Monitor SCOM Managed Instance.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Migrieren Sie für eine präzise Datenfilterung vom Log Analytics- zum Azure Monitor-Agent. | Wenn Sie noch über VMs mit dem Log Analytics-Agent verfügen, migrieren Sie diese zum Azure Monitor-Agent, damit Sie von einer besseren Datenfilterung profitieren und eindeutige Konfigurationen mit verschiedenen VM-Gruppen verwenden können. Die Konfiguration für die Datenerfassung durch den Log Analytics-Agent erfolgt im Arbeitsbereich, sodass alle Agenten dieselbe Konfiguration erhalten. Datensammlungsregeln, die vom Azure Monitor-Agent verwendet werden, können auf die spezifischen Überwachungsanforderungen verschiedener VM-Gruppen abgestimmt werden. Mit dem Azure Monitor-Agent können Sie auch Transformationen verwenden, um gesammelte Daten zu filtern. |
| Filtern Sie Daten, die Sie nicht von Agenten benötigen. | Reduzieren Sie Ihre Kosten für die Datenerfassung, indem Sie Daten filtern, die Sie nicht für Warnungen oder Analysen verwenden. Unter Überwachen virtueller Computer mit Azure Monitor: Daten sammeln finden Sie Anleitungen zum Sammeln von Daten für verschiedene Überwachungsszenarien sowie zum Steuern der Kosten. Das sind spezifische Anleitungen zum Filtern von Daten, um Ihre Kosten zu senken. |
| Bestimmen Sie, welche Daten mit VM Insights erfasst werden sollen. | VM Insights ist ein großartiges Feature, um schnell mit der Überwachung Ihrer VMs zu beginnen und bietet leistungsstarke Features wie Karten- und Leistungstrendansichten. Wenn Sie die Zuordnungsfunktion oder die von ihr erfassten Daten nicht verwenden, sollten Sie die Sammlung von Prozessen und Abhängigkeitsdaten in Ihrer VM Insights-Konfiguration deaktivieren, um Kosten für die Datenerfassung zu sparen. |
| Reduzieren Sie die Abrufhäufigkeit von Leistungsindikatoren. | Wenn Sie eine Datensammlungsregel verwenden, um Leistungsdaten an Ihren Log Analytics-Arbeitsbereich zu senden, können Sie deren Abrufhäufigkeit reduzieren, um die Menge der gesammelten Daten zu verringern. |
| Stellen Sie sicher, dass VMs keine doppelten Daten senden. | Wenn Sie Multi-Home-Agenten oder ähnliche Datensammlungsregeln erstellen, stellen Sie sicher, dass Sie eindeutige Daten an jeden Arbeitsbereich senden. Eine Anleitung zur Analyse ihrer gesammelten Daten, um sicherzustellen, dass Sie keine doppelten Daten sammeln, finden Sie unter Analysieren der Nutzung im Log Analytics-Arbeitsbereich. Bei der Migration zwischen Agents verwenden Sie den Log Analytics-Agent weiterhin, bis Sie zum Azure Monitor-Agent migrieren, anstatt beide gleichzeitig zu verwenden, es sei denn, Sie können sicherstellen, dass jeder von ihnen eindeutige Daten sammelt. |
| Verwenden Sie Log Analytics-Arbeitsbereichseinblicke, um abrechenbare Kosten zu analysieren und Möglichkeiten zur Kosteneinsparung zu identifizieren. | Log Analytics-Arbeitsbereichseinblicke zeigen Ihnen die abrechenbaren Daten, die in jeder Tabelle und von jedem virtuellen Computer gesammelt werden. Verwenden Sie diese Informationen, um Ihre besten Computer und Tabellen zu identifizieren, da dies die beste Möglichkeit ist, die Kosten durch Filtern von Daten zu senken. Verwenden Sie diese Erkenntnisse und Protokollabfragen mit Nutzung im Log Analytics-Arbeitsbereich analysieren, um die Auswirkungen von Konfigurationsänderungen tiefer zu analysieren. |
| Migrieren Sie Ihre SCOM-Umgebung zu Azure Monitor SCOM Managed Instance. | Migrieren Sie Ihre vorhandene SCOM-Umgebung zu Azure Monitor SCOM Managed Instance, um Managementpakete zu unterstützen, die nicht durch Azure Monitor ersetzt werden können. SCOM Managed Instance entfernt die Anforderung, lokale Verwaltungsserver und Datenbankserver zu verwalten, und reduziert so die Gesamtkosten der Wartung Ihrer SCOM-Infrastruktur. |
Optimaler Betrieb
Betriebliche Exzellenz bezieht sich auf Betriebsprozesse, die erforderlich sind, um einen Dienst zuverlässig in der Produktion zu betreiben. Verwenden Sie die folgenden Informationen, um die Betriebsanforderungen für die Überwachung Ihrer virtuellen Computer zu minimieren.
Prüfliste für den Entwurf
- Migrieren von Agenten einer Vorgängerversion zum neuen Azure Monitor-Agent.
- Verwenden Sie Azure Arc, um Ihre virtuellen Computer außerhalb von Azure zu überwachen.
- Verwenden Sie Azure Policy, um Agenten bereitzustellen und Datensammlungsregeln zuzuweisen.
- Erstellen Sie eine Strategie für die Struktur von Datensammlungsregeln.
- Erwägen Sie die Migration von System Center Operations Manager-Clientverwaltungspaketen (SCOM) zu Azure Monitor.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Migrieren von Agenten einer Vorgängerversion zum neuen Azure Monitor-Agent. | Der Azure Monitor-Agent ist einfacher zu verwalten als der veraltete Log Analytics-Agent und bietet mehr Flexibilität beim Entwurf Ihres Log Analytics-Arbeitsbereichs. Sowohl der Windows- als auch der Linux-Agent ermöglichen Multihoming, was bedeutet, dass sie eine Verbindung mit mehreren Arbeitsbereichen herstellen können. Mit Datensammlungsregeln können Sie Sammlungseinstellungen nach Maß verwalten und eindeutige begrenzte Konfigurationen für Computer-Untergruppen festlegen. Die Überlegungen dazu und die Migrationsmethoden finden Sie unter Migrieren zum Azure Monitor-Agent vom Log Analytics-Agent. |
| Verwenden Sie Azure Arc, um Ihre virtuellen Computer außerhalb von Azure zu überwachen. | Mit Azure Arc für Server können Sie physische Server und virtuelle Maschinen verwalten, die außerhalb von Azure, in Ihrem Unternehmensnetzwerk oder bei einem anderen Cloud-Anbieter gehostet werden. Wenn der Azure Connected Machine-Agent eingerichtet ist, können Sie den Azure Monitor-Agent mit der gleichen Methode wie für Ihre Azure-VMs auf diesen VMs bereitstellen und dann Ihren gesamten VM-Park mit den gleichen Azure Monitor-Tools überwachen. |
| Verwenden Sie Azure Policy, um Agenten bereitzustellen und Datensammlungsregeln zuzuweisen. | Mit Azure Policy können Sie Agenten automatisch auf vorhandenen und neu erstellten VMs bereitstellen. Dadurch wird sichergestellt, dass alle VMs mit minimalem Administratoreingriffen überwacht werden. Zur Verwendung von VM Insights finden Sie weitere Informationen unter VM-Erkenntnisse mithilfe von Azure Policy aktivieren. Informationen zum Verwalten des Azure Monitor-Agenten ohne VM-Erkenntnisse finden Sie unter Aktivieren des Azure Monitor Agent mithilfe von Azure Policy. Siehe Manuelles Erstellen einer DCR für eine Vorlage zum Erstellen einer Datensammlungs-Regelzuordnung. |
| Erstellen Sie eine Strategie für die Struktur von Datensammlungsregeln. | Datensammlungsregeln definieren Daten, die von virtuellen Computern mit dem Azure Monitor-Agenten gesammelt und wohin diese Daten gesendet werden sollen. Jeder DCR kann mehrere Sammlungsszenarien enthalten und einer beliebigen Anzahl von VMs zugeordnet werden. Erstellen Sie eine Strategie zum Konfigurieren von DCRs, um nur erforderliche Daten für verschiedene VM-Gruppen zu sammeln und gleichzeitig die Anzahl der zu verwaltenden DCRs zu minimieren. |
| Erwägen Sie die Migration von SCOM-Clientverwaltungspaketen zu Azure Monitor. | Wenn Sie über eine vorhandene SCOM-Umgebung zum Überwachen von Client-Workloads verfügen, können Sie möglicherweise genügend Management-Pack-Logik zu Azure Monitor migrieren, damit Sie Ihre gesamte SCOM-Umgebung oder zumindest bestimmte Management-Packs außer Betrieb nehmen können. Siehe Migrieren von System Center Operations Manager (SCOM) zu Azure Monitor. |
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Verwenden Sie die folgenden Informationen zur Überwachung der Sicherheit Ihrer virtuellen Computer.
Prüfliste für den Entwurf
- Konfigurieren Sie die Datenerfassung und Warnungen zur Überwachung der Zuverlässigkeit von Client-Workflows.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Konfigurieren Sie die Datenerfassung und Warnungen zur Überwachung der Zuverlässigkeit von Client-Workflows. | Verwenden Sie die Informationen unter Überwachen virtueller Computer mit Überwachen virtueller Computer mit Azure Monitor: Daten sammeln zum Konfigurieren der Clientereignissammlung, die potenzielle Probleme mit Ihren Client-Workloads anzeigt. Verwenden Sie die Informationen unter Überwachen virtueller Computer mit Überwachen virtueller Computer mit Azure Monitor: Warnungen, um Warnungsregeln zu erstellen, die Sie proaktiv über potenzielle betriebsbedingte Probleme mit Ihren Client-Workloads benachrichtigen. |