使用 Azure Monitor 监视虚拟机:部署代理

本文是指南在 Azure Monitor 中监视虚拟机及其工作负荷的一部分。 其中介绍了如何将 Azure Monitor 代理部署到 Azure Monitor 中的 Azure 虚拟机和混合虚拟机。

注意

本方案描述如何实现对 Azure 和混合虚拟机环境的完整监视。 若要开始监视你的第一台 Azure 虚拟机,请参阅监视 Azure 虚拟机

任何监视工具(例如 Azure Monitor)都需要使用计算机上安装的代理才能从其来宾操作系统收集数据。 Azure Monitor 使用 Azure Monitor 代理,该代理支持 Azure 中的、其他云环境中的和本地的虚拟机。

先决条件

创建 Log Analytics 工作区

部署 Azure Monitor 代理不需要 Log Analytics 工作区,但需要使用一个工作区来收集该代理发送的数据。 工作区不收取任何费用,但在收集数据时,需要承担引入费用和保留费用。

很多环境为其监视的所有虚拟机及其他 Azure 资源使用单个工作区。 你甚至可以共享由 Microsoft Defender for Cloud 和 Microsoft Sentinel 使用的工作区,但很多客户选择将这两者的可用性和性能遥测数据与安全数据分隔开来。 如果你刚开始使用 Azure Monitor,请先从单个工作区开始,随着需求的发展可以考虑创建更多工作区。

有关设计工作区配置时应考虑的逻辑的完整详细信息,请参阅设计 Log Analytics 工作区配置

工作区权限

工作区访问模式定义哪些用户可以访问不同的数据集。 有关如何定义访问模式和配置权限的详细信息,请参阅在 Azure Monitor 中管理日志数据和工作区的访问权限。 如果你刚开始使用 Azure Monitor,请考虑在创建工作区以及在稍后配置其权限时接受默认设置。

提示

多宿主是指连接到多个工作区的虚拟机。 通常情况下,没有理由仅对 Azure Monitor 配置多宿主代理。 使用代理将数据发送到多个工作区很可能在每个工作区中创建重复数据,导致总费用增加。 可以使用跨工作区查询工作簿合并来自多个工作区的数据。 可能考虑多宿主的原因之一是,你的环境具有 Microsoft Defender for Cloud 或 Microsoft Sentinel,而这两者存储在独立于 Azure Monitor 的工作区中。 受各服务监视的计算机需要将数据发送到各个工作区。

准备混合计算机

混合计算机是任何未在 Azure 中运行的计算机。 它可以是在另一个云中运行的虚拟机,或是托管提供的虚拟机,或是在数据中心内本地运行的虚拟或物理计算机。 在混合计算机上使用已启用 Azure Arc 的服务器,以便像管理 Azure 虚拟机一样管理这些计算机。 可使用 Azure Monitor 中的 VM 见解,使用相同的进程对已启用 Azure Arc 的服务器启用监视,就像对 Azure 虚拟机所做的一样。 有关为 Azure 准备混合计算机的完整指南,请参阅计划和部署已启用 Azure Arc 的服务器。 此任务包括启用单个计算机和使用 Azure Policy 大规模启用整个混合环境。

已启用 Azure Arc 的服务器无需支付额外费用,但对于启用的不同选项可能需要收取一些费用。 有关详细信息,请参阅 Azure Arc 定价。 加入混合计算机后,在工作区中收集的数据需要付费,但对于 Azure 虚拟机也同样如此。

网络要求

适用于 Linux 和 Windows 的 Azure Monitor 代理通过 TCP 端口 443 与 Azure Monitor 服务进行出站通信。 Dependency Agent 使用 Azure Monitor 代理进行所有通信,因此不需要任何其他端口。 若要详细了解如何配置防火墙和代理,请参阅网络要求

有三个不同的选项可用于将混合虚拟机连接到 Azure Monitor:

  • 公共 Internet。 如果允许混合服务器与公共 Internet 通信,则这些服务器可以连接到全局 Azure Monitor 终结点。 这是最简单的配置,但也是最不安全的配置。

  • Log Analytics 网关。 使用 Log Analytics 网关,可以通过单个网关从本地计算机进行信道通信。 Azure Arc 不使用网关,但需要其 Connected Machine 代理才能安装 Azure Monitor 代理。 若要详细了解如何配置和使用 Log Analytics 网关,请参阅 Log Analytics 网关

  • Azure 专用链接。 使用 Azure 专用链接,可为 Log Analytics 工作区创建专用终结点。 配置完成后,必须通过此专用终结点建立到工作区的任何连接。 专用链接使用 DNS 覆写进行工作,因此对单个代理没有配置要求。 有关专用链接的详细信息,请参阅使用 Azure 专用链接将网络安全地连接到 Azure Monitor。 有关为虚拟机配置专用链接的具体指导,请参阅为 Azure Monitor 代理启用网络隔离

显示网络的关系图。

代理部署选项

Azure Monitor 代理是作为虚拟机扩展实现的,因此你可以使用各种标准方法(包括 PowerShell、CLI 和资源管理器模板)安装它。 有关每种方法的详细信息,请参阅管理 Azure Monitor 代理。 下面介绍了其他值得考虑的安装方法。

方法 方案 详细信息
Azure Policy 大规模生产部署 如果有大量虚拟机,则应使用 Azure Policy 来部署代理,如管理 Azure Monitor 代理中所述。 这可以确保自动将代理添加到现有虚拟机以及部署的任何新虚拟机。
Azure 门户中的数据收集规则 测试和简单部署 按照使用 Azure Monitor 代理收集数据中所述在 Azure 门户中创建数据收集规则时,可以选择指定要接收该规则的虚拟机。 Azure Monitor 代理将自动安装在任何尚未安装它的任何计算机上。
Windows 客户端安装程序 客户端计算机 使用 Windows 客户端安装程序在 Windows 客户端(例如 Windows 11)上安装代理。 有关在单台计算机上部署代理或者在脚本中部署代理的不同选项,请参阅管理 Azure Monitor 代理

旧式代理

Azure Monitor 代理取代了旧版代理,后者虽然仍旧可用,但应该仅在 Azure Monitor 代理尚不提供你所需的特定功能时,才使用这些旧版代理。 大多数用户无需旧版代理即可使用 Azure Monitor。

旧版代理包括以下功能:

  • Log Analytics 代理:支持 Azure 中的、其他云环境中的和本地的虚拟机。 将数据发送到 Azure Monitor 日志。 此代理是用于 System Center Operations Manager 的代理。
  • Azure 诊断扩展:仅支持 Azure Monitor 虚拟机。 将数据发送到 Azure Monitor 指标、Azure 事件中心和 Azure 存储。

有关 Azure Monitor 代理支持的当前功能,请参阅支持的服务和功能。 如果你已部署 Log Analytics 代理,请参阅从 Log Analytics 代理迁移到 Azure Monitor 代理,了解有关迁移到 Azure Monitor 代理的详细信息。

后续步骤