Azure Policy를 사용하여 Azure Monitor 에이전트 설치 및 관리

  • 아티클

Azure Policy를 사용하여 기존 및 새 가상 머신에 Azure Monitor 에이전트를 자동으로 설치하고 적절한 DCR을 자동으로 연결할 수 있습니다. 이 문서에서는 Azure Monitor의 이 기능 및 기능에 활용할 수 있는 기본 제공 정책 및 이니셔티브를 설명합니다.

다음 정책 및 정책 이니셔티브를 사용하여 가상 머신, 확장 집합 또는 Azure Arc 사용 서버를 만들 때마다 에이전트를 자동으로 설치하고 데이터 수집 규칙과 연결합니다.

참고 항목

Azure Monitor에는 DCR을 사용하는 정책 및 이니셔티브에 대한 할당을 간소화하는 미리 보기 데이터 수집 규칙 DCR 환경이 있습니다. 여기에는 Azure Monitor 에이전트를 설치하는 이니셔티브가 포함됩니다. 해당 환경을 사용하여 이 문서에 설명된 이니셔티브에 대한 할당을 만들도록 선택할 수 있습니다. 자세한 정보는 Azure Monitor에서 DCR(데이터 수집 규칙) 및 연결 관리를 참조하세요.

필수 조건

계속하기 전에 에이전트 설치에 대한 필수 구성 요소를 검토합니다.

참고 항목

Microsoft ID 모범 사례에 따라 가상 머신 및 확장 집합에 Azure Monitor 에이전트를 설치하는 정책은 사용자가 할당한 관리 ID를 사용합니다. 이 옵션은 이러한 리소스에 대해 확장성과 복원력이 더 뛰어난 관리 ID 옵션입니다. Azure Arc 사용 서버의 경우 정책은 현재 유일하게 지원되는 옵션인 시스템이 할당한 관리 ID를 사용합니다.

기본 제공 정책

이전 정책 이니셔티브의 개별 정책을 사용하여 단일 작업을 대규모로 수행하도록 선택할 수 있습니다. 예를 들어 에이전트를 자동으로 설치하려는 경우에만 아래와 같이 이니셔티브의 두 번째 에이전트 설치 정책을 사용합니다.

Azure Monitor 에이전트를 구성하기 위한 이니셔티브 내에 포함된 정책을 보여 주는 Azure Policy 정의 페이지의 부분 스크린샷

기본 제공 정책 이니셔티브

Windows 및 Linux 가상 머신에 대한 기본 제공 정책 이니셔티브, 엔드투엔드 Azure Monitor 에이전트를 사용하여 대규모 온보딩을 제공하는 확장 집합이 있습니다.

참고 항목

정책 정의에는 Microsoft에서 지원하는 Windows 및 Linux 버전 목록만 포함됩니다. 사용자 지정 이미지를 추가하려면 Additional Virtual Machine Images 매개 변수를 사용합니다.

위의 이러한 이니셔티브는 다음과 같은 개별 정책으로 구성됩니다.

  • (선택 사항) 지역별로 구독당 기본 제공 사용자 할당 관리 ID를 만들고 할당합니다. 자세히 알아보기.

    • Bring Your Own User-Assigned Identity: false로 설정되면 기본 제공 사용자가 할당한 관리 ID를 미리 정의된 리소스 그룹에 만들고 정책이 적용되는 모든 컴퓨터에 할당합니다. 리소스 그룹의 위치는 Built-In-Identity-RG Location 매개 변수에서 구성할 수 있습니다. true로 설정하면 정책이 적용되는 모든 컴퓨터에 자동으로 할당되는 기존 사용자 할당 ID를 대신 사용할 수 있습니다.

  • Azure Monitor 에이전트 확장을 머신에 설치하고, 다음 매개 변수에서 지정한 대로 사용자가 할당한 ID를 사용하도록 구성합니다.

    • Bring Your Own User-Assigned Managed Identity: false로 설정되면 이전 정책에서 만든 기본 제공 사용자가 할당한 관리 ID를 사용하도록 에이전트를 구성합니다. true로 설정되면 기존 사용자가 할당한 ID를 사용하도록 에이전트가 구성됩니다.
    • User-Assigned Managed Identity Name: 사용자 고유의 ID를 사용하는 경우(true 선택) 컴퓨터에 할당된 ID의 이름을 지정합니다.
    • User-Assigned Managed Identity Resource Group: 사용자 고유의 ID를 사용하는 경우(true 선택) ID가 있는 리소스 그룹을 지정합니다.
    • Additional Virtual Machine Images: 아직 포함되지 않은 경우 정책을 적용하려는 추가 VM 이미지 이름을 전달합니다.
    • Built-In-Identity-RG Location: 기본 제공 사용자 할당 관리 ID를 사용하는 경우 ID와 리소스 그룹을 만들 위치를 지정합니다. 이 매개 변수는 Bring Your Own User-Assigned Managed Identity 매개 변수가 false(으)로 설정된 경우에만 사용됩니다.

  • 연결을 만들고 배포하여 컴퓨터를 지정된 데이터 수집 규칙에 연결합니다.

    • Data Collection Rule Resource Id: 이 정책을 통해 정책이 적용되는 모든 컴퓨터에 연결하려는 규칙의 Azure Resource Manager resourceId입니다.

    Azure Monitor 에이전트를 구성하기 위한 두 가지 기본 제공 정책 이니셔티브를 보여 주는 Azure Policy 정의 페이지의 부분 스크린샷

알려진 문제

  • 관리 ID 기본 동작. 자세히 알아보기.
  • 기본 제공 사용자가 할당한 ID 만들기 정책을 사용하여 가능한 경합 상태. 자세히 알아보기.
  • 리소스 그룹에 정책 할당. 정책의 할당 범위가 구독이 아니라 리소스 그룹인 경우 할당/수정 전에 수동으로 이러한 역할을 정책 할당에서 사용되는 ID(에이전트에서 사용하는 사용자가 할당한 ID와 다름)에 부여해야 합니다. 이 단계를 수행하지 못하면 배포 오류가 발생합니다.
  • 기타 관리 ID 제한 사항

수정

이니셔티브 또는 정책은 생성될 때 각 가상 머신에 적용됩니다. 수정 작업은 이니셔티브의 정책 정의를 기존 리소스에 배포하므로 이미 만든 모든 리소스에 대해 Azure Monitor 에이전트를 구성할 수 있습니다.

Azure Portal을 사용하여 할당을 만들면서 동시에 수정 작업을 만들 수 있습니다. 수정에 대한 자세한 내용은 Azure Policy를 사용하여 비준수 리소스 수정을 참조하세요.

Azure Monitor 에이전트에 대한 이니셔티브 수정을 보여 주는 스크린샷

다음 단계

에이전트에서 데이터를 수집하고 Azure Monitor로 보내기 위한 데이터 수집 규칙을 만듭니다.