Uso de Azure Policy para instalar y administrar el agente de Azure Monitor

Puede usar Azure Policy para instalar automáticamente el agente de Azure Monitor en máquinas virtuales existentes y nuevas y tener automáticamente asociadas reglas de recopilación de datos pertinentes (DCR). En este artículo se describen las directivas e iniciativas integradas que puede usar para esta funcionalidad y Azure Monitor características que pueden ayudarle a administrarlas.

Utilice las siguientes directivas y sus iniciativas para instalar automáticamente el agente y asociarlo a un DCR cada vez que cree una máquina virtual, un conjunto de escalado de máquinas virtuales o un servidor con Azure Arc habilitado.

Requisitos previos

Antes de empezar, revise requisitos previos para la instalación del agente.

Directivas integradas

Puede optar por usar las directivas individuales de las iniciativas de directiva descritas en la sección siguiente para realizar una sola acción a escala. Por ejemplo, si desea instalar automáticamente solo el agente, use la segunda directiva de instalación del agente en la iniciativa.

Iniciativas de política integradas

Las iniciativas de directivas integradas para máquinas virtuales de Windows y Linux y conjuntos de escalado proporcionan una incorporación integral y a escala mediante el uso del agente de Azure Monitor:

• Implementa el Azure Monitor Agent para máquinas cliente de Windows utilizando autenticación basada en identidad administrada asignada por el usuario y asócialo con un DCR
• Implementa el agente de Azure Monitor para máquinas cliente Linux utilizando la autenticación basada en identidad administrada asignada por el usuario y asígnalo a un DCR

Estas iniciativas contienen directivas individuales que:

• (Opcional) Cree y asigne una identidad administrada asignada por el usuario integrada por suscripción y por región. Más información.

  • Traiga su propia identidad asignada por el usuario:

    • Si se establece en false, crea la identidad administrada integrada asignada por el usuario en el grupo de recursos predefinido y la asigna a todas las máquinas a las que se aplica la directiva. La ubicación del grupo de recursos puede configurarse en el parámetro Built-In-Identity-RG Location.
    • Si se establece en true, puede usar en su lugar una identidad asignada por el usuario existente que se asigna automáticamente a todas las máquinas a las que se aplica la directiva.

• Instale Azure Monitor extensión agent en la máquina y configúrela para usar la identidad asignada por el usuario, tal como se especifica en los parámetros siguientes:

  • Traiga su propia identidad asignada por el usuario:

    • Si se establece en false, configura el agente para que use la identidad administrada integrada asignada por el usuario creada por la directiva anterior.
    • Si se establece en true, configura el agente para que use una identidad asignada por el usuario existente.

  • Nombre de identidad administrada asignada por el usuario: si usa su propia identidad (true está seleccionada), especifique el nombre de la identidad asignada a las máquinas.

  • Grupo de recursos de identidad administrada asignada por el usuario: si usa su propia identidad (true está seleccionada), especifique el grupo de recursos donde existe la identidad.

  • Imágenes de máquina virtual adicionales: pase nombres de imagen de máquina virtual adicionales a los que desea aplicar la directiva, si aún no están incluidos.

  • Ubicación integrada de Identity-RG: si usa una identidad administrada asignada por el usuario integrada, especifique la ubicación para crear la identidad y el grupo de recursos. Este parámetro solo se usa cuando el parámetro Bring Your Own User-Assigned Managed Identity está establecido en false.

• Cree e implemente la asociación para vincular la máquina a DCR especificado.

  • ID de recurso de la regla de recopilación de datos: El valor resourceId de Azure Resource Manager de la regla que desea asociar, a través de esta directiva, a todos los equipos a los que se aplica la directiva.

    

Problemas conocidos

• Comportamiento predeterminado de la identidad administrada. Más información.
• Posible condición de carrera al utilizar una directiva de creación de identidades asignadas por el usuario integrada. Más información.
• Asignación de directivas a grupos de recursos. Si el ámbito de asignación de la directiva es un grupo de recursos y no una suscripción, a la identidad utilizada por la asignación de la directiva (que es diferente de la identidad asignada por el usuario que utiliza el agente) se le deben conceder manualmente roles específicos antes de la asignación o la corrección. Si no se realiza este paso, se producirán errores de implementación.
• Otras limitaciones de identidad administrada.

Corrección

Las iniciativas o directivas se aplican a cada máquina virtual a medida que se crea. Una tarea de corrección despliega las definiciones de la política dentro de la iniciativa a los recursos existentes. Puede configurar el agente de Azure Monitor para los recursos que ya se crearon.

Al crear la asignación mediante el portal de Azure, tiene la opción de crear una tarea de corrección al mismo tiempo. Para obtener información sobre la remediación, vea Remediar recursos no conformes usando Azure Policy.

Contenido relacionado

Crear un DCR para recopilar datos del agente y enviarlos a Azure Monitor.