VM 规模集上的修补程序合规性扫描
Patch compliance scanning on VM Scalesets
在我的公司,我们有一个显示 Azure 上所有虚拟机的仪表板,突出显示任何缺失的 Windows 或 Linux 补丁,然后将缺失补丁超过 30 天的虚拟机标记为不合规,以提醒团队修补虚拟机(由于停机时间,自动修补并不总是一种选择)。
我们现在想将 VM ScaleSet VM 添加到此墙板,但我看不到如何添加。 Microsoft Monitoring 代理似乎没有安装在任何 ScaleSet VM 上,因此我看不到如何查询它们。目前使用标准 VM,我使用日志分析查询进行查询。
是否有任何解决方案,而无需要求开发团队在所有规模集 VM 上安装监视代理(如果可能的话)。
首先,在没有安装代理的情况下,您将 not be able to collect any logs from within that machine. It's definitely possible to install the Log Analytics Agent (Will be replaced by the Azure Monitor Agent,目前处于预览状态)在规模集上。你可以让你的开发团队去做,但我们遇到了很多问题。
我们通过管道构建图像,并不是所有图像都经常重建,我们注意到我们开始面临 MMA 证书由于某种原因过期的问题。由于政策已经推出,我们几乎没有时间进行调查。
将 MMA 部署到规模集的最佳做法是使用 Azure Policy - 它还可以确保合规性。任何自动构建的机器都会获得它,您可以确信它会被安装。它将DeployIfNotExists
。下面的两个链接会将您重定向到您自己的 Azure 门户中的 Azure Policy。
您应该注意的一件事是,如果您的规模集上的升级模式是 Manual
而不是 Rolling
/Automatic
那么您需要手动升级它们代理安装生效。
在我的公司,我们有一个显示 Azure 上所有虚拟机的仪表板,突出显示任何缺失的 Windows 或 Linux 补丁,然后将缺失补丁超过 30 天的虚拟机标记为不合规,以提醒团队修补虚拟机(由于停机时间,自动修补并不总是一种选择)。 我们现在想将 VM ScaleSet VM 添加到此墙板,但我看不到如何添加。 Microsoft Monitoring 代理似乎没有安装在任何 ScaleSet VM 上,因此我看不到如何查询它们。目前使用标准 VM,我使用日志分析查询进行查询。
是否有任何解决方案,而无需要求开发团队在所有规模集 VM 上安装监视代理(如果可能的话)。
首先,在没有安装代理的情况下,您将 not be able to collect any logs from within that machine. It's definitely possible to install the Log Analytics Agent (Will be replaced by the Azure Monitor Agent,目前处于预览状态)在规模集上。你可以让你的开发团队去做,但我们遇到了很多问题。
我们通过管道构建图像,并不是所有图像都经常重建,我们注意到我们开始面临 MMA 证书由于某种原因过期的问题。由于政策已经推出,我们几乎没有时间进行调查。
将 MMA 部署到规模集的最佳做法是使用 Azure Policy - 它还可以确保合规性。任何自动构建的机器都会获得它,您可以确信它会被安装。它将DeployIfNotExists
。下面的两个链接会将您重定向到您自己的 Azure 门户中的 Azure Policy。
您应该注意的一件事是,如果您的规模集上的升级模式是 Manual
而不是 Rolling
/Automatic
那么您需要手动升级它们代理安装生效。