共用方式為


在 Azure 監視器中監視虛擬機器的最佳做法

本文提供使用 Azure 監視器監視虛擬機器及其用戶端工作負載的架構最佳做法。 此指導方針是以 Azure Well-Architected Framework 中所述卓越的五大架構要素為基礎。

可靠性

在雲端中,我們知道失敗在所難免。 此目標不是試著完全避免失敗,而是將單一故障元件的影響降至最低。 使用下列資訊來監視虛擬機器及其用戶端工作負載是否發生失敗。

設計檢查清單

  • 建立 Azure VM 的可用性警示規則。
  • 建立代理程式活動訊號警示規則,以驗證代理程式健康情況。
  • 設定資料收集和警示,以監視用戶端工作流程的可靠性。

組態建議

建議 描述
建立 Azure VM 的可用性警示規則。 使用可用性計量 (預覽) 來追蹤 Azure VM 何時執行。 雖然您可以使用建議的警示快速為個別機器啟用可用性警示規則,但以資源群組或訂用帳戶為目標的單一警示規則,可針對特定區域啟用該範圍中所有 VM 的可用性警示。 這比為每個 VM 建立警示規則更容易管理,並確保會自動監視範圍中建立的任何新 VM。 此警示規則不需要在 VM 上安裝 Azure 監視器代理程式,但不適用於 Azure 外部的 VM。
建立代理程式活動訊號警示規則,以驗證代理程式健康情況。 Azure 監視器代理程式每分鐘會傳送活動訊號至 Log Analytics 工作區。 當代理程式停止傳送活動訊號時,請利用要警示的代理程式活動訊號使用記錄搜尋警示規則,這是 VM 已關閉或代理程式狀況不良且用戶端工作負載未受到監視的指標。 此警示規則要求 Azure 監視器代理程式已安裝在 VM 上,並同時套用至 Azure 和非 Azure VM。
設定資料收集和警示,以監視用戶端工作流程的可靠性。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:收集資料來設定用戶端事件收集,指出用戶端工作負載的潛在問題。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:警示來建立警示規則,以主動通知用戶端工作負載的任何潛在作業問題。

安全性

安全性是任何架構中最為重要的部分。 Azure 監視器提供了採用最低權限和深度防禦準則的功能。 使用下列資訊來監視虛擬機器的安全性。

設計檢查清單

  • 使用其他服務來監視 VM 的安全性。
  • 請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。

組態建議

建議 描述
使用其他服務來監視 VM 的安全性。 雖然 Azure 監視器可以從您的 VM 收集安全性事件,但不適合用於安全性監視。 Azure 包含多個服務,例如適用於雲端的 Microsoft DefenderMicrosoft Sentinel,可共同提供完整的安全性監視解決方案。 如需這些服務的比較,請參閱安全性監視
請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。 透過端對端加密來保護與公用端點的連線。 如果您需要私人端點,您可以使用 Azure 私人連結,讓 VM 透過授權的私人網路連線到 Azure 監視器。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。 請參閱設計您的 Azure Private Link 設定,以判斷您環境的最佳網路和 DNS 拓撲。

成本最佳化

成本最佳化是指設法減少不必要的費用,並提升營運效率。 您可以了解不同設定選項和機會來減少 Azure 監視器收集的資料量,藉此大幅降低其成本。 查看 Azure 監視器成本和使用量,了解 Azure 監視器收費的不同方式,以及如何檢視每月帳單。

注意

如需 Azure 監視器所有功能的成本最佳化建議,請參閱將 Azure 監視器中的成本最佳化

設計檢查清單

  • 從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。
  • 從代理程式篩選不需要的資料。
  • 判斷是否要使用 VM 深入解析及要收集的資料。
  • 減少效能計數器的輪詢頻率。
  • 確定 VM 不會傳送重複的資料。
  • 使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。
  • 將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。

組態建議

建議 描述
從 Log Analytics 代理程式遷移至 Azure 監視器代理程式,以進行細微的資料篩選。 如果您仍有使用 Log Analytics 代理程式的 VM,請將其遷移至 Azure 監視器代理程式,以利用更好的資料篩選功能,並搭配不同的 VM 集合使用獨特設定。 Log Analytics 代理程式的資料收集設定會在工作區上完成,因此所有代理程式都會接收到相同的設定。 Azure 監視器代理程式使用的資料收集規則可以根據不同 VM 集合的特定監視需求進行調整。 Azure 監視器代理程式也可讓您使用轉換來篩選所收集的資料。
從代理程式篩選不需要的資料。 篩選您不用於警示或分析的資料,以減少資料擷取成本。 請參閱使用 Azure 監視器監視虛擬機器:收集資料,了解如何針對不同監視案例收集資料,並請參閱控制成本,取得篩選資料以降低成本的特定指引。
判斷要使用 VM 深入解析收集哪些資料。 VM 深入解析是一項絕佳的功能,可快速開始監視您的 VM,並提供強大的功能,例如對應和效能趨勢檢視。 如果您未使用對應功能或其收集的資料,則應該停用 VM 深入解析設定中的程序和相依性資料收集,以節省資料擷取成本。
減少效能計數器的輪詢頻率。 如果您使用資料收集規則傳送效能資料至 Log Analytics 工作區,您可以減少其輪詢頻率,以減少收集的資料量。
確定 VM 不會傳送重複的資料。 如果您將代理程式設為多宿主或建立類似的資料收集規則,請務必將唯一資料傳送至每個工作區。 如需對所收集資料進行分析的相關指引,請參閱在 Log Analytics 工作區中分析使用量,以確保您不會收集重複的資料。 如果您在代理程式之間遷移,請繼續使用 Log Analytics 代理程式,直到您遷移至 Azure 監視器代理程式,而不是同時使用這兩者,除非您可以確保每個代理程式都是收集唯一的資料。
使用 Log Analytics 工作區深入解析來分析可計費的成本,並找出節省成本的機會。 Log Analytics 工作區深入解析會顯示每個資料表中和從每個 VM 中收集的可計費資料。 請使用此資訊來識別您的最上層機器和資料表,因為其代表您可藉由篩選資料來降低成本的最佳機會。 使用此深入解析和分析 Log Analytics 工作區中的使用量中的記錄查詢,進一步分析設定變更的影響。
將您的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體。 將現有的 SCOM 環境遷移至 Azure 監視器 SCOM 受控執行個體,以支援任何無法由 Azure 監視器取代的管理組件。 SCOM 受控執行個體不需要維護本機管理伺服器和資料庫伺服器,可降低維護 SCOM 基礎結構的整體成本。

卓越營運

卓越營運是指服務在生產環境中可靠地執行所需的作業程式。 使用下列資訊,將監視虛擬機器的作業需求降到最低。

設計檢查清單

  • 從舊版代理程式遷移至 Azure 監視器代理程式。
  • 使用 Azure Arc 監視 Azure 外部的 VM。
  • 使用 Azure 原則來部署代理程式,並指派資料收集規則。
  • 建立資料收集規則結構的策略。
  • 請考慮將 System Center Operations Manager (SCOM) 用戶端管理組件移轉至 Azure 監視器。

組態建議

建議 描述
從舊版代理程式遷移至 Azure 監視器代理程式。 Azure 監視器代理程式比舊版 Log Analytics 代理程式更容易管理,並且可在 Log Analytics 工作區設計中提供更多彈性。 Windows 和 Linux 代理程式都允許多重主機,這表示其可以連線到多個工作區。 資料收集規則可讓您大規模管理資料收集設定,並為機器子集設定唯一範圍設定。 如需考量和移轉方法,請參閱從 Log Analytics 代理程式移轉至 Azure 監視器代理程式
使用 Azure Arc 監視 Azure 外部的 VM。 適用於伺服器的 Azure Arc 可讓您管理裝載於 Azure 外部、公司網路上或其他雲端提供者上實體伺服器和虛擬機器。 就地使用 Azure 連線機器代理程式,您可以使用您為 Azure VM 執行的相同方法,將 Azure 監視器代理程式部署至這些 VM,然後使用相同的 Azure 監視器工具監視整個 VM 集合。
使用 Azure 原則來部署代理程式,並指派資料收集規則。 Azure 原則可讓您將代理程式自動部署至現有 VM 集合,以及所建立的任何新 VM。 這可確保所有 VM 在系統管理員最少介入的情況下受到監視。 如果您使用 VM 深入解析,請參閱使用 Azure 原則啟用 VM 深入解析。 如果您想要在沒有 VM 深入解析的情況下管理 Azure 監視器代理程式,請參閱使用 Azure 原則 啟用 Azure 監視器代理程式。 請參閱 [管理 Azure 監視器中的數據收集規則關聯](.。/essentials/data-collection-rule-associations.md#create-new-association for a template to create a data collection rule association.
建立資料收集規則結構的策略。 資料收集規則會定義使用 Azure 監視器代理程式從虛擬機器收集的資料,以及傳送該資料的位置。 每個 DCR 都可以包含多個集合案例,並與任意數目的 VM 建立關聯。 建立策略來設定 DCR,以僅收集不同 VM 群組的必要資料,同時將您需要管理的 DCR 數目降到最低。
請考慮將 SCOM 用戶端管理組件移轉至 Azure 監視器。 如果您有監視用戶端工作負載的現有 SCOM 環境,可將足夠的管理組件邏輯遷移至 Azure 監視器,讓您淘汰 SCOM 環境,或至少淘汰某些管理組件。 請參閱從 System Center Operations Manager (SCOM) 遷移至 Azure 監視器

效能效益

效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 使用下列資訊來監視虛擬機器的效能。

設計檢查清單

  • 設定資料收集和警示,以監視用戶端工作流程的效能。

組態建議

建議 描述
設定資料收集和警示,以監視用戶端工作流程的效能。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:收集資料來設定用戶端資料收集,以測量您用戶端工作負載的效能。 使用監視虛擬機器中的資訊與使用 Azure 監視器監視虛擬機器:警示來建立警示規則,以主動通知用戶端工作負載的任何潛在效能問題。

後續步驟