本文是 Monitor 虚拟机及其工作负载Azure Monitor指南的一部分。 本文介绍如何将Azure Monitor代理部署到Azure Monitor中的Azure和混合虚拟机。
注意
此方案介绍如何实现对Azure和混合虚拟机环境的完整监视。 若要开始监视第一个Azure虚拟机,请参阅 Monitor Azure 虚拟机。
任何监控工具,如Azure Monitor,都需要在计算机上安装代理来从来宾操作系统收集数据。 Azure Monitor使用 Azure Monitor 代理,该代理支持Azure、其他云环境和本地的虚拟机。
先决条件
创建Log Analytics工作区
无需Log Analytics工作区来部署Azure Monitor代理,但需要一个工作区来收集数据。 工作区不收取任何费用,但在收集数据时,会产生数据引入和数据保留的费用。
许多环境将单个工作区用于其所有虚拟机及其监视的其他Azure资源。 你甚至可以共享由 Microsoft Defender for Cloud 和 Microsoft Sentinel 使用的工作区,尽管许多客户选择将其可用性和性能遥测与安全数据隔离开来。 如果开始使用Azure Monitor,请从单个工作区开始,并考虑随着需求的发展而创建更多工作区。
有关设计工作区配置时应考虑的逻辑的完整详细信息,请参阅 Design Log Analytics 工作区配置。
工作区权限
工作区访问模式定义哪些用户可以访问不同的数据集。 有关如何定义访问模式和配置权限的详细信息,请参阅 在 Azure Monitor 中管理日志数据和工作区的访问权限。 如果刚开始Azure Monitor,请考虑在创建工作区并稍后配置其权限时接受默认值。
提示
多宿主是指连接到多个工作区的虚拟机。 通常没有必要单独为 Azure Monitor 设置多宿主代理。 使用代理将数据发送到多个工作区很可能在每个工作区中创建重复数据,导致总费用增加。 可以使用跨工作区查询和工作簿合并来自多个工作区的数据。 您可能考虑使用多宿主配置的一个原因是,如果您的环境中,Microsoft Defender for Cloud或Microsoft Sentinel存储在与Azure Monitor分开的工作区中。 受各服务监视的计算机需要将数据发送到各个工作区。
准备混合计算机
混合计算机指的是在Azure之外运行的任何计算机。 它可以是在另一个云中运行的虚拟机,或是托管提供的虚拟机,或是在数据中心内本地运行的虚拟或物理计算机。 在混合计算机上使用启用了 Azure Arc 的服务器,以便可以像Azure虚拟机一样管理它们。 可以使用Azure Monitor中的 VM 见解来使用相同的过程来启用对启用了Azure Arc的服务器监视,就像对Azure虚拟机所做的那样。 有关为Azure准备混合计算机的完整指南,请参阅 规划和部署Azure Arc-enabled服务器。 此任务包括启用单个计算机并使用 Azure Policy 大规模启用整个混合环境。
Azure Arc启用的服务器无需额外的费用,但启用的不同选项可能会花费一些费用。 有关详细信息,请参阅 Azure Arc 定价。 将混合计算机加入后,工作区中收集的数据将产生费用,但这与 Azure 虚拟机的数据费用相同。
网络要求
适用于 Linux 和Windows的 Azure Monitor 代理通过 TCP 端口 443 与 Azure Monitor 服务进行通信。 依赖项代理对所有通信使用 Azure Monitor 代理,因此不需要任何其他端口。 若要详细了解如何配置防火墙和代理,请参阅网络要求。
将混合虚拟机连接到Azure Monitor有三种不同的选项:
公共 Internet。 如果允许混合服务器与公共 Internet 通信,则可以连接到全局 Azure Monitor 终结点。 这是最简单的配置,但也是最不安全的配置。
Log Analytics网关。 使用 Log Analytics 网关,可以将本地机器的通信通过一个网关进行传输。 Azure Arc不使用网关,但需要其 Connected Machine 代理才能安装Azure Monitor代理。 有关如何配置和使用Log Analytics网关的详细信息,请参阅 Log Analytics 网关。
Azure Private Link。 通过使用 Azure Private Link,可以为Log Analytics工作区创建专用终结点。 配置完成后,与工作区的任何连接均需通过此专用终端节点建立。 Private Link使用 DNS 替代工作,因此对单个代理没有配置要求。 有关Private Link的详细信息,请参阅 使用 Azure Private Link 安全地将网络连接到 Azure Monitor。 有关为虚拟机配置专用链接的具体指南,请参阅为 Azure Monitor 代理启用网络隔离。
代理部署选项
Azure Monitor代理作为 virtual 计算机扩展实现,因此可以使用各种标准方法(包括 PowerShell、CLI 和 Resource Manager 模板)进行安装。 有关每个代理的详细信息,请参阅 Manage Azure Monitor Agent。 下面介绍了其他值得考虑的安装方法。
| 方法 | 场景 | 详细信息 |
|---|---|---|
| Azure Policy | 大规模生产部署 | 如果有大量虚拟机,则应使用 Azure Policy 部署代理,如 Manage Azure Monitor Agent 中所述。 这可以确保自动将代理添加到现有虚拟机以及部署的任何新虚拟机。 |
| Azure 门户中的数据收集规则 | 测试和简单部署 | 在 Azure 门户中创建数据收集规则时,如《使用 Azure Monitor 代理收集数据》所述,您可以选择指定虚拟机来接收数据。 Azure Monitor代理将自动安装在尚未安装的任何计算机上。 |
| Windows客户端安装程序 | 客户端计算机 | 使用 Windows 客户端安装程序在 Windows 客户端(如 Windows 11)上安装代理。 有关在单个计算机上或脚本中部署代理的不同选项,请参阅 Manage Azure Monitor Agent。 |
传统代理
Azure Monitor代理取代了仍可用的旧代理,但仅当需要Azure Monitor代理尚不可用的特定功能时,才应使用。 大多数用户都可以在没有旧代理的情况下使用Azure Monitor。
旧版代理包括以下功能:
- Log Analytics 代理:支持Azure、其他云环境和本地的虚拟机。 将数据发送到Azure Monitor日志。 此代理与用于System Center Operations Manager的代理相同。
- Azure 诊断扩展:仅支持Azure Monitor虚拟机。 将数据发送到Azure Monitor指标、Azure Event Hubs和Azure Storage。
有关 Azure Monitor 代理支持的当前功能,请参阅 应支持的服务和功能。 有关从 Log Analytics 代理迁移到 Azure Monitor 代理的详细信息,请参阅 从 Log Analytics 代理迁移到 Azure Monitor 代理。