Usar a Política do Azure para instalar e gerenciar o agente do Azure Monitor

Usando a Política do Azure, você pode ter o agente do Azure Monitor instalado automaticamente em suas máquinas virtuais novas e existentes e ter os DCRs apropriados automaticamente associados a eles. Este artigo descreve as políticas e iniciativas internas que você pode aproveitar para essa funcionalidade e recursos do Azure Monitor para ajudar a gerenciá-los.

Use as seguintes políticas e iniciativas de política para instalar automaticamente o agente e associá-lo a uma regra de coleta de dados sempre que criar uma máquina virtual, um conjunto de escala ou um servidor habilitado para Azure Arc.

Nota

O Azure Monitor tem uma experiência de DCR de regra de coleta de dados de visualização que simplifica a criação de atribuições para políticas e iniciativas que usam DCRs. Isso inclui iniciativas que instalam o agente do Azure Monitor. Você pode optar por usar essa experiência para criar atribuições para as iniciativas descritas neste artigo. Consulte Gerenciar regras de coleta de dados (DCRs) e associações no Azure Monitor para obter mais informações.

Pré-requisitos

Antes de continuar, revise os pré-requisitos para a instalação do agente.

Nota

De acordo com as práticas recomendadas do Microsoft Identity, as políticas para instalar o Azure Monitor Agent em máquinas virtuais e conjuntos de dimensionamento dependem da identidade gerenciada atribuída pelo usuário. Essa opção é a identidade gerenciada mais escalável e resiliente para esses recursos. Para servidores habilitados para Azure Arc, as políticas dependem da identidade gerenciada atribuída ao sistema como a única opção com suporte atualmente.

Políticas incorporadas

Você pode optar por usar as políticas individuais da iniciativa de política anterior para executar uma única ação em escala. Por exemplo, se você quiser instalar apenas o agente automaticamente, use a segunda política de instalação do agente da iniciativa, conforme mostrado.

Captura de ecrã parcial da página Definições de Política do Azure que mostra as políticas contidas na iniciativa para configurar o Azure Monitor Agent.

Iniciativas políticas incorporadas

Há iniciativas de políticas internas para máquinas virtuais Windows e Linux, conjuntos de dimensionamento que fornecem integração em escala usando agentes do Azure Monitor de ponta a ponta

Nota

As definições de política incluem apenas a lista de versões do Windows e Linux suportadas pela Microsoft. Para adicionar uma imagem personalizada, use o Additional Virtual Machine Images parâmetro.

Estas iniciativas incluem políticas individuais que:

  • (Opcional) Crie e atribua identidade gerenciada interna atribuída pelo usuário, por assinatura, por região. Mais informações.

    • Bring Your Own User-Assigned Identity: Se definido como false, ele cria a identidade gerenciada interna atribuída pelo usuário no grupo de recursos predefinido e a atribui a todas as máquinas às quais a política é aplicada. O local do grupo de recursos pode ser configurado no Built-In-Identity-RG Location parâmetro. Se definido como true, você pode, em vez disso, usar uma identidade atribuída ao usuário existente que é atribuída automaticamente a todas as máquinas às quais a política é aplicada.
  • Instale a extensão do Azure Monitor Agent no computador e configure-a para usar a identidade atribuída pelo usuário, conforme especificado pelos parâmetros a seguir.

    • Bring Your Own User-Assigned Managed Identity: Se definido como false, ele configura o agente para usar a identidade gerenciada interna atribuída pelo usuário criada pela política anterior. Se definido como true, ele configura o agente para usar uma identidade atribuída pelo usuário existente.
    • User-Assigned Managed Identity Name: Se você usar sua própria identidade (selecionada), trueespecifique o nome da identidade atribuída às máquinas.
    • User-Assigned Managed Identity Resource Group: Se você usar sua própria identidade (selecionada), trueespecifique o grupo de recursos onde a identidade existe.
    • Additional Virtual Machine Images: Passe nomes de imagem de VM adicionais aos quais você deseja aplicar a política, se ainda não estiver incluído.
    • Built-In-Identity-RG Location: Se você usar a identidade gerenciada atribuída pelo usuário interna, especifique o local onde a identidade e o grupo de recursos devem ser criados. Este parâmetro só é usado quando Bring Your Own User-Assigned Managed Identity o parâmetro é definido como false.
  • Crie e implante a associação para vincular a máquina à regra de coleta de dados especificada.

    • Data Collection Rule Resource Id: O resourceId do Azure Resource Manager da regra que pretende associar através desta política a todas as máquinas às quais a política é aplicada.

    Captura de ecrã parcial da página Definições de Política do Azure que mostra duas iniciativas de política incorporadas para configurar o Azure Monitor Agent.

Problemas conhecidos

  • Comportamento padrão da Identidade Gerenciada. Mais informações.
  • Possível condição de corrida com o uso da política de criação de identidade atribuída pelo usuário interna. Mais informações.
  • Atribuição de política a grupos de recursos. Se o escopo de atribuição da política for um grupo de recursos e não uma assinatura, a identidade usada pela atribuição de política (diferente da identidade atribuída pelo usuário usada pelo agente) deverá receber manualmente essas funções antes da atribuição/correção. A falha ao executar essa etapa resultará em falhas de implantação.
  • Outras limitações do Managed Identity.

Remediação

As iniciativas ou políticas serão aplicadas a cada máquina virtual à medida que for criada. Uma tarefa de correção implanta as definições de política na iniciativa em recursos existentes, para que você possa configurar o Azure Monitor Agent para quaisquer recursos que já foram criados.

Ao criar a atribuição usando o portal do Azure, você tem a opção de criar uma tarefa de correção ao mesmo tempo. Para obter informações sobre a correção, consulte Corrigir recursos não compatíveis com a Política do Azure.

Captura de tela que mostra a correção de iniciativa para o Azure Monitor Agent.

Próximos passos

Crie uma regra de coleta de dados para coletar dados do agente e enviá-los para o Azure Monitor.