Azure Monitor 代理 (AMA) 取代了用于 Windows 和 Linux 计算机的 Log Analytics 代理(也称为 Microsoft Monitor 代理 (MMA) 和 OMS)。 对于非 Azure 环境(包括本地或多云基础结构),需要 Azure Arc 才能从旧 Log Analytics 代理迁移。
Azure Arc 是一座桥梁,不仅扩展了 Azure Monitor,而且将 Microsoft Defender、Azure Policy 和 Azure 更新管理器之间的 Azure 管理功能的广度扩展到非 Azure 环境。 通过轻型 Connected Machine 代理,Azure Arc 将非 Azure 服务器投影到 Azure 控制平面中,从而跨 Azure VM 和非 Azure 服务器提供一致的管理体验。
本文重点介绍从非 Azure 环境中的旧 Log Analytics 代理迁移时的注意事项。 有关核心迁移指南,请参阅从 Log Analytics 代理迁移到 Azure Monitor 代理。
Azure Arc 的优势
与旧 Log Analytics 代理(MMA 和 OMS,它们直接将非 Azure 服务器连接到 Log Analytics 工作区)相比,将 Azure Monitor 代理部署为已启用 Azure Arc 的服务器的扩展具有多种优势:
Azure Arc 集中了非 Azure 资源的标识、连接和治理。 这精简了运营开销并改善了安全状况和性能。
Azure Arc 提供扩展管理功能(包括自动扩展升级),从而减少典型的维护开销。
除了支持访问监视功能之外,Azure Arc 还支持访问广泛的服务器管理功能,例如使用 Microsoft Defender 进行云安全态势管理,或使用运行命令编写脚本。 当你在 Azure 中集中操作时,Azure Arc 为这些其他功能提供了可靠的基础。
Azure Arc 是基于云的清单的基础,它将 Azure 和可通过 Azure 资源管理器 (ARM) 查询并组织的本地、多云和边缘基础结构结合在一起。
Azure Arc 的限制
Azure Arc 依赖于 Connected Machine 代理,是一种基于代理的解决方案,需要连接,并且专为服务器基础结构而设计:
除了需要 Azure Monitor 代理作为 VM 扩展之外,Azure Arc 还需要 Connected Machine 代理。 必须指定 Azure 资源的详细信息以配置 Connected Machine 代理。
Azure Arc 在计算机处于类似服务器的环境中时仅支持类似客户端的操作系统,并且 Azure Arc 不支持生存期较短的服务器或虚拟桌面基础结构。
Azure Arc 与 Azure Monitor 代理存在两个区域可用性差距:
- 卡塔尔中部(预计于 2024 年 8 月可用)
- 澳大利亚中部(其他澳大利亚区域已可用)
Azure Arc 要求服务器具有常规连接以及关键终结点的额度。 虽然代理和专用链接连接受支持,但 Azure Arc 不支持完全断开连接的方案。 Azure Arc 不支持 Log Analytics (OMS) 网关。
Azure Arc 会为已连接的服务器定义系统托管标识,但不支持用户分配的标识。
详细了解完整的 Connected Machine 代理先决条件以获知环境约束。
相关服务
将以前需要旧 Log Analytics 代理 (MMA/OMS) 的所有解决方案部署到非 Azure 基础结构时,需要使用已启用 Azure Arc 的服务器。 新的 Azure Monitor 代理仅在某些服务中是必需的。
| 需要使用 Azure Monitor 代理程序和 Azure Arc | 仅需要 Azure Arc |
|---|---|
| Microsoft Sentinel | Microsoft Defender for Cloud |
| 虚拟机见解(以前称为 Dependency Agent) | Azure 更新管理 |
| 变化跟踪与库存 | 自动化混合 Runbook 辅助角色 |
当设计从旧版 Log Analytics 代理 (MMA/OMS) 进行整体迁移时,必须考虑这些解决方案的迁移,并做好相关准备。
部署 Azure Arc
Azure Arc 可以基于单个服务器以交互方式部署,也可以以编程方式大规模部署:
PowerShell 和 Bash 部署脚本可以从 Azure 门户生成,也可以按照文档手动编写。
Windows Server 计算机可以通过 Windows Admin Center 和 Windows Server 图形安装程序进行连接。
大规模部署选项包括使用 Azure 服务主体(用于 Arc 服务器加入的受限身份)的 Configuration Manager、Ansible 和组策略。
Azure 自动化更新管理器客户可以从 Azure 门户加入,在该门户中可以对使用 Azure 自动化更新管理解决方案连接到 Log Analytics 工作区的所有检测到的非 Azure 服务器启用 Arc 功能。
请参阅 Azure Connected Machine 代理部署选项了解详细信息。
代理控制和占用空间
可以通过指定已启用的扩展和功能来锁定 Connected Machine 代理。 如果是从旧 Log Analytics 代理迁移,则“监视”模式尤其重要。 监视模式应用 Azure 托管的扩展允许列表,禁用远程连接,并禁用计算机配置代理。 如果使用 Azure Arc 仅用于监视目的,将代理设置为“监视”模式,则可以轻松地将代理限制为仅使用 Azure Monitor 和使用 Azure Monitor 的解决方案所需的功能。 可以使用以下命令配置代理模式(在每台计算机上本地运行):
azcmagent config set config.mode monitor
有关详细信息,请参阅扩展安全性。
网络选项
已启用 Azure Arc 的服务器支持三种网络选项:
- 通过公共终结点的连接
- 代理
- 专用链接 (Azure Express Route)。
所有连接都是TCP连接,并通过端口443出站,除非另有说明。 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
Azure Arc 尚未正式支持使用 Log Analytics 网关作为 Connected Machine 代理的代理服务器。
加入后可以更改指定的连接方法。
请参阅 Connected Machine 代理网络要求了解详细信息。
通过 Azure Arc 部署 Azure Monitor 代理
有多种方法可以以编程方式、图形方式和自动方式在已启用 Azure Arc 的服务器上部署 Azure Monitor 代理扩展。 在已启用 Azure Arc 的服务器上部署 Azure Monitor 代理的一些常用方法包括:
- Azure 门户
- PowerShell、Azure CLI 或 Azure 资源管理器 (ARM) 模板
- Azure Policy
有了 Azure Arc,并非就无需配置和定义数据收集规则了。 应为已启用 Azure Arc 的服务器配置类似于 Azure VM 的数据收集规则。
请参阅在已启用 Azure Arc 的服务器上部署 Azure Monitor 代理的选项了解详细信息。
独立 Azure Monitor 代理安装
对于在非 Azure 环境中运行的 Windows 客户端计算机,请使用不需要通过 Azure Arc 部署 Azure Connected Machine 代理的独立 Azure Monitor 代理安装。请参阅使用客户端安装程序在 Windows 客户端设备上安装 Azure Monitor 代理了解详细信息。