描述 Azure Arc 與 Azure 原則和 Azure 監視器之間的整合
Azure Arc 可讓 Contoso 之類的組織將 Azure 功能延伸至位於內部部署資料中心,或是裝載於另一個雲端提供者的電腦作業系統。 例如,Azure 原則可用來針對作業系統、應用程式和環境的設定進行合規性稽核。 Contoso IT 人員也可以使用 Azure 原則,管理及評估已啟用 Azure Arc 的 Kubernetes 叢集的合規性。
同樣地,Contoso 可以使用 Azure 監視器來協助監視及管理其透過 Azure Arc 連線的現有內部部署伺服器資源。Azure 監視器容器深入解析可協助 Contoso 收集其已啟用 Azure Arc 的 Kubernetes 叢集健康情況和資源使用率資料。
![顯示 Azure 中 VM 之 [見解] 頁面上 [對應] 索引標籤的螢幕擷取畫面。ContosoVM1 已搭配開啟 TCP 通訊埠的詳細資料顯示。也會顯示 VM 摘要。](media/5-insights-map.png#lightbox)
如何運用 Azure 原則?
「Azure 原則」是可以協助組織針對其 Azure 環境的組織標準管理及評估合規性的服務。 Azure 原則會使用以目標 Azure 資源類型的屬性為基礎的宣告式規則。 這些規則會形成原則定義,而系統管理員可以透過將原則指派至資源群組或訂用帳戶來套用這些定義。
已啟用 ARC 的伺服器 Azure 原則功能包括:
- 在佈建新的 Azure 資源時強制執行合規性。
- 稽核現有 Azure 資源的合規性。
- 稽核 Azure VM 內的作業系統、應用程式設定及環境設定的合規性。
若要管理及指派某部電腦的 Azure Arc 原則,請在 Azure 入口網站中瀏覽至 Azure Arc。 在傳回的受控伺服器清單中,選取適當的伺服器,然後為其指派原則。 您必須設定下列設定:
- 原則範圍,以及原則範圍中排除的任何項目
- 原則定義
- 指派名稱
- 描述
- 原則強制執行 (已啟用或已停用)
![螢幕擷取畫面顯示 Azure 入口網站中的 [指派原則] 頁面。管理員正在從可用原則的清單中選取。](media/5-assign-policy.png#lightbox)
在指派原則之後,您便可以從 Azure Arc 檢閱所選取伺服器上的原則設定。
如何使用 Azure 監視器?
您可以使用監視器來將現有部署的管理最佳化,以及預測未來部署的容量需求。 監視器能透過下列方式提供專注且深入的監視功能:
- 監視和計量視覺化。
- 查詢和分析記錄。
- 警示和補救。
您可以針對已啟用 Arc 的伺服器收集及監視計量、活動和診斷記錄,以及事件。 Azure 監視器可以直接從連線的電腦將資料收集到 Log Analytics 工作區,以取得詳細的分析和相互關聯。
將 Azure 監控器代理程式部署至已啟用 Arc 的伺服器,可讓您執行下列動作:
- 使用 VM 深入解析監視電腦或伺服器上執行的作業系統和任何工作負載
- 使用 Azure 監視器進行分析及警示
- Azure 中的安全性監視是由適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 執行
- 使用 Azure 自動化變更追蹤和清查收集詳細目錄及追蹤變更
針對已啟用 Azure Arc 的 Kubernetes,您可以使用容器深入解析,這是 Azure 監視器的功能,可監視容器工作負載的效能和健康情況。 除了收集容器記錄之外,容器深入解析也有助於收集控制器、節點和容器中的記憶體和處理器計量。 您可以使用檢視集合及預先建置的活頁簿,分析 Kubernetes 叢集中針對不同元件收集到的資料。
您可以封存 Azure 儲存體中收集到的監視資料,以供長期分析或合規性之用。 您也可以將此資料路由至 Azure 串流分析或其他服務,以進行進一步分析。