إدارة توافق الجهاز الظاهري

Azure Policy

توضح هذه المقالة كيفية إدارة توافق الجهاز الظاهري دون إعاقة ممارسات DevOps. استخدم Azure VM Image Builder وAzure Compute Gallery لتقليل المخاطر من صور النظام.

بناء الأنظمة

يتكون الحل من عمليتين:

  • عملية نشر الصورة الذهبية
  • عملية تتبع توافق الجهاز الظاهري (VM)

رسم تخطيطي للبنية يوضح كيفية إدارة الحل لصور Azure Marketplace. تتضمن الخطوات الموضحة التخصيص والتعقب والاختبار والنشر.

قم بتنزيل ملف Visio لهذه البنية.

تدفق البيانات

يتم تشغيل عملية نشر الصور الذهبية شهريا وتحتوي على الخطوات التالية:

  1. تلتقط العملية صورة أساسية من Azure Marketplace.
  2. يقوم VM Image Builder بتخصيص الصورة.
  3. عملية الوشم صورة يتعقب معلومات إصدار الصورة مثل المصدر وتاريخ النشر.
  4. تتحقق الاختبارات التلقائية من صحة الصورة.
  5. إذا فشلت الصورة في أي اختبارات، فإنها تعود إلى خطوة التخصيص للإصلاحات.
  6. تنشر العملية الصورة النهائية.
  7. يجعل معرض الحوسبة الصورة متاحة لفرق DevOps.

رسم تخطيطي للبنية يوضح كيفية إدارة الحل للتوافق عن طريق تعيين تعريفات النهج وتقييم الأجهزة وعرض البيانات في لوحة معلومات.

قم بتنزيل ملف Visio لهذه البنية.

تحتوي عملية تتبع توافق الجهاز الظاهري على الخطوات التالية:

  1. يقوم نهج Azure بتعيين تعريفات النهج إلى الأجهزة الظاهرية وتقييم الأجهزة الظاهرية للتوافق.
  2. ينشر نهج Azure بيانات التوافق للأجهزة الظاهرية وموارد Azure الأخرى إلى لوحة معلومات نهج Azure.

المكونات

  • VM Image Builder هي خدمة مدارة لتخصيص صور النظام. تنشئ هذه الخدمة الصور التي تستخدمها فرق DevOps وتوزعها.

  • يساعدك معرض الحوسبة على تنظيم الصور المخصصة وتنظيمها. من خلال تخزين الصور في المستودعات، توفر هذه الخدمة وصولًا مضبوطًا إلى الصور. يمكن أن يكون المستخدمون داخل مؤسستك وخارجها.

  • يوفر Azure Policy تعريفات النهج. يمكنك استخدام هذه التعريفات لفرض معايير مؤسستك وتقييم التوافق على نطاق واسع. تعرض لوحة معلومات نهج Azure النتائج من تقييمات نهج Azure. تبقيك هذه البيانات على علم بحالة التوافق لمواردك.

  • توفر ميزة تكوين جهاز Azure Automanage في نهج Azure طريقة للتدقيق الديناميكي أو تعيين التكوينات للأجهزة من خلال التعليمات البرمجية. تتضمن التكوينات بشكل عام إعدادات البيئة أو نظام التشغيل.

البدائل

  • يمكنك استخدام أداة جهة خارجية لإدارة التوافق. ولكن مع هذا النوع من الأدوات، تحتاج عادة إلى تثبيت عامل على الجهاز الظاهري الهدف. قد تضطر أيضًا إلى دفع رسوم ترخيص.

  • يمكنك استخدام ملحقات البرنامج النصي المخصصة لتثبيت البرامج على الأجهزة الظاهرية أو تكوين الأجهزة الظاهرية بعد التوزيع. ولكن يمكن أن يكون لكل جهاز ظاهري أو مجموعة مقياس الجهاز الظاهري ملحق برنامج نصي مخصص واحد فقط. وإذا كنت تستخدم ملحقات البرامج النصية المخصصة، فإنك تمنع فرق DevOps من تخصيص تطبيقاتها.

تفاصيل السيناريو

كل مؤسسة لديها لوائح ومعايير الامتثال الخاصة بها. فيما يتعلق بالأمان، كل شركة لديها شهية المخاطر الخاصة بها. يمكن أن تختلف معايير الأمان من مؤسسة إلى أخرى ومن منطقة إلى أخرى.

يمكن أن يكون اتباع المعايير المختلفة أكثر تحديًا في تحجيم البيئات السحابية ديناميكيًا مقارنة بالأنظمة المحلية. عندما تستخدم الفرق ممارسات DevOps، عادة ما تكون هناك قيود أقل على من يمكنه إنشاء موارد Azure مثل الأجهزة الظاهرية. هذه الحقيقة تعقد تحديات التوافق.

باستخدام نهج Azure وتعيينات التحكم في الوصول المستندة إلى الأدوار، يمكن للمؤسسات فرض المعايير على موارد Azure. ولكن مع الأجهزة الظاهرية، تؤثر هذه الآليات فقط على مستوى التحكم، أو المسار إلى الجهاز الظاهري. لا تزال صور النظام التي تعمل على جهاز ظاهري تشكل تهديدًا أمنيًا. تمنع بعض الشركات المطورين من الوصول إلى الأجهزة الظاهرية. يضعف هذا النهج السرعة، مما يجعل من الصعب اتباع ممارسات DevOps.

تقدم هذه المقالة حلًا لإدارة توافق الأجهزة الظاهرية التي تعمل على Azure. بالإضافة إلى تتبع التوافق، يقلل الحل أيضًا من المخاطر الناجمة عن صور النظام التي تعمل على الأجهزة الظاهرية. في الوقت نفسه، الحل متوافق مع ممارسات DevOps. تتضمن المكونات الأساسية Azure VM Image Builder وAzure Compute Gallery وAzure Policy.

حالات الاستخدام المحتملة

ينطبق هذا الحل على المؤسسات التي لها مناطق هبوط Azure التي تكمل هذه المهام:

  • توفير صور ذهبية لفرق DevOps. الصورة الذهبية هي الإصدار المنشور من صورة السوق.
  • اختبار الصور والتحقق من صحتها قبل إتاحتها لفرق DevOps.
  • تعقب الصورة التي يستخدمها كل فريق DevOps.
  • فرض معايير الشركة دون تدهور الإنتاجية.
  • التأكد من أن فرق DevOps تستخدم أحدث إصدارات الصور.
  • إدارة التوافق مع خوادم الحيوانات الأليفة، والتي هي صيانة مكثفة، وخوادم الماشية، والتي يمكن استبدالها بسهولة.

النهج

توفر الأقسام التالية وصفًا مفصلًا لنهج الحل.

تحديد الحيوانات الأليفة والماشية

تستخدم فرق DevOps قياسا يسمى الحيوانات الأليفة والماشية لتحديد نماذج الخدمة. لتعقب توافق الجهاز الظاهري، حدد أولًا ما إذا كان خادم حيوان أليف أو ماشية:

  • تتطلب الحيوانات الأليفة اهتمامًا كبيرًا. ليس من السهل الاستغناء عنها. يتطلب استرداد خادم الحيوانات الأليفة استثمار قدر كبير من الوقت والموارد المالية. على سبيل المثال، قد يكون الخادم الذي يقوم بتشغيل SAP حيوانًا أليفًا. بالإضافة إلى البرنامج الذي يتم تشغيله على الخادم، يمكن لاعتبارات أخرى أيضًا تحديد نموذج الخدمة. إذا كان لديك تسامح منخفض مع الفشل، يمكن أن تكون خوادم الإنتاج في الوقت الحقيقي والأنظمة القريبة من الوقت الحقيقي حيوانات أليفة أيضًا.

  • خوادم الماشية هي جزء من مجموعة متطابقة. يمكنك استبدالها بسهولة. على سبيل المثال، الأجهزة الظاهرية التي تعمل في مجموعة مقياس الجهاز الظاهري هي ماشية. إذا كانت هناك أجهزة ظاهرية كافية في المجموعة، يستمر نظامك في التشغيل، ولا تحتاج إلى معرفة اسم كل جهاز ظاهري. يوفر اختبار خوادم البيئة التي تفي بالشروط التالية مثالًا آخر للماشية:

    • يمكنك استخدام إجراء تلقائي لإنشاء الخوادم من البداية.
    • بعد الانتهاء من تشغيل الاختبارات، يمكنك إيقاف تشغيل الخوادم.

قد تحتوي البيئة على خوادم الحيوانات الأليفة فقط، أو قد تحتوي على خوادم الماشية فقط. في المقابل، يمكن أن تكون مجموعة من الأجهزة الظاهرية في بيئة حيوانات أليفة. مجموعة مختلفة من الأجهزة الظاهرية في نفس البيئة يمكن أن تكون الماشية.

لإدارة التوافق:

  • يمكن أن يكون الامتثال للحيوانات الأليفة أكثر صعوبة في تتبعه من الامتثال للماشية. عادة، يمكن لفرق DevOps فقط تتبع الامتثال لبيئات الحيوانات الأليفة والخوادم والحفاظ عليها. ولكن حل هذه المقالة يزيد من رؤية حالة كل حيوان أليف، مما يسهل على كل شخص في المؤسسة تتبع الامتثال.
  • بالنسبة لبيئات الماشية، قم بتحديث الأجهزة الظاهرية وإعادة بنائها من الصفر بانتظام. وينبغي أن تكون هذه الخطوات كافية للامتثال. يمكنك محاذاة دورة التحديث هذه مع إيقاع الإصدار العادي لفريق DevOps.

تقييد الصور

لا تسمح لفرق DevOps باستخدام صور الجهاز الظاهري Azure Marketplace. السماح فقط لصور الجهاز الظاهري التي ينشرها معرض الحوسبة. يعد هذا التقييد أمرًا بالغ الأهمية لضمان توافق الجهاز الظاهري. يمكنك استخدام نهج مخصص في نهج Azure لفرض هذا التقييد. للحصول على عينة، راجع السماح لناشري الصور.

كجزء من هذا الحل، يجب أن يستخدم VM Image Builder صورة Azure Marketplace. من الضروري استخدام أحدث صورة متوفرة في Azure Marketplace. تطبيق أي تخصيصات أعلى تلك الصورة. Azure Marketplace يتم تحديث الصور في كثير من الأحيان، وتحتوي كل صورة على تكوينات معينة محددة مسبقًا، مما يضمن أمان صورك بشكل افتراضي.

تخصيص الصور

الصورة الذهبية هي إصدار صورة السوق التي يتم نشرها في معرض الحوسبة. تتوفر الصور الذهبية للاستهلاك من قبل فرق DevOps. قبل نشر الصورة، يتم التخصيص. أنشطة التخصيص فريدة لكل مؤسسة. تتضمن الأنشطة العامة ما يلي:

  • تصلب نظام التشغيل.
  • نشر عوامل مخصصة لبرامج الجهات الخارجية.
  • تثبيت شهادات جذر المرجع المصدق للمؤسسة (CA).

يمكنك استخدام VM Image Builder لتخصيص الصور عن طريق ضبط إعدادات نظام التشغيل وتشغيل البرامج النصية والأوامر المخصصة. يدعم VM Image Builder صور Windows وLinux. لمزيد من المعلومات حول تخصيص الصور، راجع عناصر تحكم التوافق التنظيمي لسياسة Azure لأجهزة Azure الظاهرية.

تعقب وشْم الصور

وشم الصور هي عملية تتبع جميع معلومات تعيين إصدار الصور التي يستخدمها الجهاز الظاهري. هذه المعلومات لا تقدر بثمن في أثناء استكشاف الأخطاء وإصلاحها ويمكن أن تتضمن:

  • المصدر الأصلي للصورة، مثل اسم الناشر وإصداره.
  • سلسلة إصدار نظام التشغيل، والتي تحتاج إليها إذا كانت هناك ترقية موضعية.
  • إصدار الصورة المخصصة.
  • تاريخ النشر الخاص بك.

يعتمد مقدار ونوع المعلومات التي تتعقبها على مستوى التوافق في مؤسستك.

لرسم وشم الصورة على الأجهزة الظاهرية Windows، قم بإعداد سجل مخصص. أضف جميع المعلومات المطلوبة إلى مسار التسجيل هذا كأزواج قيم المفاتيح. على أجهزة Linux الظاهرية، أدخل بيانات وشم الصور في متغيرات البيئة أو ملف. ضع الملف في المجلد /etc/، حيث لا يتعارض مع عمل المطور أو تطبيقاته. إذا كنت ترغب في استخدام Azure Policy لتتبع بيانات الوشم أو الإبلاغ عنها، فخزن كل قطعة من البيانات كزوج فريد من قيم المفاتيح. للحصول على معلومات حول تحديد إصدار صورة Marketplace، راجع كيفية العثور على إصدار صورة Marketplace.

التحقق من صحة الصور الذهبية باستخدام الاختبارات التلقائية

بشكل عام، يجب تحديث الصور الذهبية شهريًا للبقاء على اطلاع بأحدث التحديثات والتغييرات في الصور Azure Marketplace. استخدم إجراء اختبار متكرر لهذا الغرض. كجزء من عملية إنشاء الصورة، استخدم مسار Azure أو سير عمل تلقائي آخر للاختبار. إعداد البنية الأساسية لبرنامج ربط العمليات التجارية لنشر جهاز ظاهري جديد لتشغيل الاختبارات قبل بداية كل شهر. يجب أن تؤكد الاختبارات الصور الموزعة قبل نشرها للاستهلاك. أتمتة الاختبارات باستخدام حل أتمتة الاختبار أو عن طريق تشغيل الأوامر أو الدفعات على الجهاز الظاهري.

تتضمن سيناريوهات الاختبار الشائعة ما يلي:

  • التحقق من صحة وقت تمهيد الجهاز الظاهري.
  • تأكيد أي تخصيص للصورة، مثل إعدادات تكوين نظام التشغيل أو عمليات توزيع العامل.

يجب أن يقطع الاختبار الفاشل العملية. كرر الاختبار بعد معالجة السبب الجذري للمشكلة. إذا كانت الاختبارات تعمل دون مشكلة، فإن أتمتة عملية الاختبار تقلل من الجهد الذي يذهب إلى الحفاظ على حالة دائمة الخضرة.

نشر الصور الذهبية

نشر الصور النهائية على معرض الحوسبة كصورة مدارة أو كقرص ثابت ظاهري (VHD) يمكن لفرق DevOps استخدامها. وضع علامة على أي صور سابقة كصور مسنة. إذا لم تقم بتعيين تاريخ انتهاء العمر الافتراضي لإصدار صورة في معرض الحوسبة، فقد تفضل إيقاف أقدم صورة. يعتمد هذا القرار على نهج شركتك.

للحصول على معلومات حول الحدود التي تنطبق عند استخدام معرض الحوسبة، راجع تخزين الصور ومشاركتها في معرض حوسبة Azure.

ومن الممارسات الجيدة الأخرى نشر أحدث الصور عبر مناطق مختلفة. باستخدام معرض الحوسبة، يمكنك إدارة دورة حياة الصور ونسخها نسخًا متماثلًا عبر مناطق Azure المختلفة.

لمزيد من المعلومات حول Compute Gallery، راجع تخزين الصور ومشاركتها في Azure Compute Gallery.

تحديث الصور الذهبية

عند استخدام صورة لتطبيق ما، قد يكون من الصعب تحديث صورة نظام التشغيل الأساسية بتغييرات التوافق الأخيرة. يمكن أن تعقد متطلبات العمل الصارمة عملية تحديث الجهاز الظاهري الأساسي. يكون التحديث معقدًا أيضًا عندما يكون الجهاز الظاهري أمرًا بالغ الأهمية للأعمال.

نظرًا لأن خوادم الماشية قابلة للاستغناء عنها، يمكنك التنسيق مع فرق DevOps لتحديث هذه الخوادم في نافذة الصيانة المخطط لها كنشاش عمل كالمعتاد.

من الصعب تحديث خوادم الحيوانات الأليفة. يمكن أن يؤدي إيقاف الصورة إلى تعريض التطبيقات للخطر. في سيناريوهات التوسع، لا يمكن لـAzure العثور على الصور المعنية، مما يؤدي إلى حالات فشل.

ضع في اعتبارك هذه الإرشادات عند تحديث خوادم الحيوانات الأليفة:

تحسين الرؤية

بشكل عام، يجب عليك استخدام نهج Azure لإدارة أي نشاط توافق لمستوى التحكم. يمكنك أيضًا استخدام نهج Azure من أجل:

  • تتبع توافق الجهاز الظاهري.
  • تثبيت عوامل Azure.
  • التقاط سجلات التشخيص.
  • تحسين رؤية توافق الجهاز الظاهري.

استخدم ميزة Azure Automanage Machine Configuration في Azure Policy لتدقيق تغييرات التكوين التي تجريها أثناء تخصيص الصورة. عند حدوث الانحراف، تسرد لوحة معلومات Azure Policy الجهاز الظاهري المتأثر على أنه غير متوافق. يمكن لـAzure Policy استخدام معلومات وشم الصور لتتبع متى تستخدم صورًا قديمة أو أنظمة تشغيل.

تدقيق خوادم الحيوانات الأليفة لكل تطبيق. باستخدام نهج Azure مع تأثير التدقيق، يمكنك تحسين رؤية هذه الخوادم. اضبط عملية التدقيق وفقا لرغبة شركتك في المخاطر وعمليات إدارة المخاطر الداخلية.

يمكن لكل فريق DevOps تتبع مستويات توافق تطبيقاته في لوحة معلومات Azure Policy واتخاذ الإجراءات التصحيحية المناسبة. عند تعيين هذه النهج إلى مجموعة إدارة أو اشتراك، امنح وصف التعيين عنوان URL يؤدي إلى موقع wiki على مستوى الشركة. يمكنك أيضًا استخدام عنوان URL قصير مثل ⁧aka.ms/policy-21⁩. في wiki، قم بإدراج الخطوات التي يجب أن تتخذها فرق DevOps لجعل الأجهزة الظاهرية الخاصة بهم متوافقة.

يمكن لمديري مخاطر تكنولوجيا المعلومات ومسؤولي الأمان أيضا استخدام لوحة معلومات Azure Policy لإدارة مخاطر الشركة وفقًا لرغبة الشركة في المخاطر.

باستخدام ميزة تكوين جهاز Azure Automanage في نهج Azure مع خيارات المعالجة، يمكنك تطبيق الإجراءات التصحيحية تلقائيا. ولكن التحقيق مع جهاز ظاهري بشكل متكرر أو إجراء تغييرات على جهاز ظاهري تستخدمه لتطبيق الأعمال الحرجة يمكن أن يؤدي إلى تدهور الأداء. تخطيط إجراءات المعالجة بعناية لأحمال عمل الإنتاج. امنح فريق DevOps ملكية توافق التطبيق في جميع البيئات. هذا النهج ضروري لخوادم الحيوانات الأليفة والبيئات، والتي عادة ما تكون مكونات Azure طويلة الأجل.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

قابلية التوسع

يمكنك تكوين عدد النسخ المتماثلة التي يخزنها معرض الحوسبة لكل صورة. يقلل عدد أكبر من النسخ المتماثلة من خطر التقييد عند توفير أجهزة ظاهرية متعددة في وقت واحد. للحصول على إرشادات عامة حول تحجيم وتكوين عدد مناسب من النسخ المتماثلة، راجع التحجيم لمعرض حساب Azure.

مرونة

يستخدم هذا الحل المكونات المدارة التي تكون مرنة تلقائيًا على المستوى الإقليمي. للحصول على إرشادات عامة حولَ تصميم حلول مرنة، راجع تصميم تطبيقات مرنة لـ Azure.

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

ما لم تستخدم خدمة تابعة لجهة خارجية مثل Ansible أو Terraform، فإن هذا النهج مجاني تقريبًا. قد تنطبق تكاليف التخزين والخروج. تتضمن الرسوم المحتملة الأخرى هذه المكونات:

  • Azure Policy وتكوين Azure Automanage Machine مجانيان لموارد Azure. إذا كانت شركتك تستخدم نهجا مختلطا، فهناك رسوم إضافية لموارد Azure Arc.

  • في أثناء فترة المعاينة العامة، يستخدم VM Image Builder نوع مثيل حساب واحد مع وحدة معالجة مركزية ظاهرية واحدة و3.5 غيغابايت من ذاكرة الوصول العشوائي. قد تنطبق الرسوم على تخزين البيانات ونقلها.

  • لا يحتوي معرض الحوسبة على أي رسوم باستثناء:

    • تكلفة تخزين النسخ المتماثلة.
    • رسوم خروج الشبكة لنسخ الصور نسخًا متماثلًا.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية