如何在 Microsoft Azure 上部署和管理 Elastic Stack

作者：来自 Elastic Osman Ishaq

Elastic® 用户可以从 Azure 门户中查找、部署和管理 Elasticsearch®。此集成提供了简化的入门体验，所有这些都使用你已知的 Azure 门户和工具，因此你可以轻松部署 Elastic，而无需注册外部服务或配置计费信息。

在这篇博文中，你将了解如何在 Azure 上创建和管理 Elasticsearch，以及如何自动将 Azure 日志和指标引入 Elastic。

Azure 入门

首先，登录 Azure 门户。我们将逐步完成在 Azure 上创建 Elasticsearch 资源所需的步骤。在幕后，此流程将通过 Elastic Cloud 提供市场订阅。

1. 确保你的 Azure 帐户配置了对要在其中部署 Elasticsearch 的订阅的所有者访问权限。你可以在 Microsoft Azure 文档中阅读有关 Azure 订阅的更多信息。

2. 从 Azure 搜索栏搜索 Elasticsearch。或者，你可以从此市场列表访问集成。

3. 单击 “Add” 开始创建 Elasticsearch 资源。

4. 输入所需的资源详细信息：

Subscription：此市场购买将驻留在的 Azure 订阅
Resource group：资源组与 Elasticsearch 资源关联
Resource name：Elasticsearch 资源的名称
Region：将部署 Elasticsearch 的区域（随着时间的推移，将添加其他 Azure 区域。请查看我们的文档以了解更多信息。）
Version：Elastic Stack版本；默认为最新可用版本
Size：Elasticsearch 资源的大小（默认集群大小为 480GB 存储和 16GB RAM。你可以在创建资源后修改集群大小。）
Pricing plan：Elasticsearch 采用按需付费定价
Price：大致价格，基于区域和部署规模（创建资源后可编辑）（有关完整价目表，请参阅 Elastic Cloud 定价计算器。）

5. 配置日志和指标。这些标志可以自动将 Azure 订阅活动日志和资源日志引入 Elasticsearch 集群。

6. 指定资源标签 — 与任何其他 Azure 资源类似。

7. 检查你的信息并选择 “Review + Create”。这将部署 Elasticsearch。

恭喜，你已从 Azure 门户成功部署 Elasticsearch！稍等几分钟，你将在门户中看到 Elasticsearch 资源概述页面。你可能还会注意到你的 Azure 帐户中有一个 Elastic 订阅。 Elasticsearch 资源也将显示在你的 Azure 合并账单中。

在 Azure 中管理 Elasticsearch

现在你的 Elasticsearch 资源已经配置完毕，让我们仔细看看 Elasticsearch 资源概述页面。你已经熟悉我们上面介绍的字段，但此页面还显示了一些其他值得注意的详细信息：

Status：Elasticsearch 资源的状态 — 如果你的集群运行顺利，你将看到 Healthy
Version：部署的 Elasticsearch 版本（默认情况下，Azure 部署可用的最新版本。如果你要部署旧版本，请参阅下面的 Advanced settings。）
Advanced settings：Elastic Cloud 控制台的链接，允许你根据需要对资源进行其他更改 — 你可以在 Elastic Cloud 控制台中执行的操作包括：
- 调整集群大小
- 启用自动缩放
- 升级到较新版本的 Elasticsearch
- 设置流量过滤器以确保连接安全
Elasticsearch endpoint：Elasticsearch API 的端点
Deployment URL：Kibana® 链接将帮助你开始使用 Elastic

探索 Elastic 解决方案

你现在可以探索 Elastic 为搜索、可观察性、安全性和分析用例提供的所有功能。首先，请从 Azure 中的 Elasticsearch 概述页面单击 Kibana。选择你的 Azure 帐户，然后直接单点登录到 Elastic。

在 Elastic 中，你可以按照产品内指南来配置集成、提取数据并开始探索数据以获得有意义的见解。你还可以利用 Fleet 来优化数据摄取流程。只需导航到左侧菜单中的 “Fleet”，然后选择 “Integrations” 即可查看你可以提取的各种类型的数据。

Azure 日志和指标

Elastic 集成允许你自动将 Azure 日志和指标引入 Elastic。有两个集成点：

Azure 订阅和资源日志

Azure 订阅日志可让你深入了解任何订阅级别的事件。 Azure 资源日志描述这些服务或资源的操作。这些日志共同提供了 Azure 平台的概述，以帮助分析师和管理员更好地审核 Azure 内的活动。借助这一 Elastic 集成增强功能，只需单击几下即可轻松将这些日志从 Azure 导出到 Elastic，从而无需手动部署代理或配置摄取工作负载。

要开始提取订阅和资源日志：

1. 导航到 Logs & metrics 选项卡。可以从 Create Elastic Resource 流程或从概述页面的现有 Elasticsearch 资源访问此内容。

2. 单击订阅活动日志和/或资源日志的复选框。

3. （可选）你可以指定标签规则以在日志收集中包含或排除特定资源。默认情况下，如果未指定标签规则，则将提取来自所有受支持资源的日志。

4. 选择 Save（或完成资源创建）。不久之后，日志数据将开始出现在 Elastic 中。

5. 要查看日志数据，请登录 Kibana，你可以从 Azure 中的 Elasticsearch 概述页面访问它。进入 Kibana 后，你可以查看 “Discover” 选项卡来查看原始日志数据。 “Dashboard” 选项卡显示一些为 Azure 数据预配置的现成仪表板。

请注意，此集成的日志收集取决于是否支持 Azure 服务以及部署 Azure 服务的区域。请参阅我们的文档了解更多详细信息。

虚拟机日志和指标

来自虚拟机的系统日志可以轻松发送到 Elastic 进行更深入的分析。通过 Elastic，你可以对虚拟机数据进行搜索、可视化、获取警报和故障排除。

开始：

1. 导航到 Elastic resource 的 Virtual machines 选项卡。

2. 选择你要监控的虚拟机，然后单击 Install Extension。此操作将在你的虚拟机上安装 Elastic VM Extension，这将部署 Elastic Agent 以收集系统日志和指标。

3. 安装扩展程序后，日志和指标将开始流入 Elastic。在 “View data” 列下，你可以找到两个快速链接，将你链接到 Elastic，以便你查看数据：

Logs：这会将你链接到 Elastic 中的日志流，以便你可以查看和搜索日志数据。
Metrics：这会将你链接到预过滤的仪表板，该仪表板提供虚拟机运行状况的概述。

4. 你可以使用 Fleet 直接在 Elastic 内进一步管理 Elastic Agent 及其收集的数据。

现在你的平台日志和虚拟机数据已位于 Elastic 中，请探索 Elastic 提供的功能：

在你的环境中摄取额外的数据。
通过异常检测发现数据中的异常模式。
将你的日志和指标数据与系统跟踪合并以进行应用程序性能监控。
使用 Elastic Security 通过威胁检测和端点防护来保护你的环境。
使用 Elastic Search 构建高度定制的搜索体验。

合并计费

你的所有 Elastic 使用量都将作为行项目显示在你的 Microsoft 合并发票上，并将计入你的 Azure 支出承诺中。你可以从 Elastic 成本分析页面按区域和部署探索 Elastic 使用费用。

如何获得支持

Elastic 提供了对此集成的支持。我们随时为你提供帮助，你可以通过单击 Elasticsearch 资源概述中的 “New support request” 从 Azure 门户与我们联系。这将带你进入 Elastic Cloud 控制台，你可以在其中为 Elastic 支持团队创建支持案例。