Správa konfigurací pro servery s podporou Azure Arc

Tato referenční architektura znázorňuje, jak azure Arc umožňuje spravovat, řídit a zabezpečit servery napříč místními, multicloudovými a hraničními scénáři a je založená na implementaci Arc Jumpstart ArcBoxu pro IT profesionály . ArcBox je řešení, které poskytuje snadný nasazení sandboxu pro všechny věci, které Azure Arc nabízí. ArcBox pro IT profesionály je verze ArcBoxu, která je určená pro uživatele, kteří chtějí využívat funkce serverů s podporou Azure Arc v sandboxovém prostředí.

Architektura

Stáhněte si soubor PowerPointu této architektury.

Komponenty

Tato architektura se skládá z následujících součástí:

• Skupina prostředků Azure je kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků může zahrnovat všechny prostředky pro řešení nebo pouze ty prostředky, které chcete spravovat jako skupinu.
• Sešit ArcBox je sešit služby Azure Monitor, který poskytuje jediné podokno skla pro monitorování a vytváření sestav prostředků ArcBox. Sešit funguje jako flexibilní plátno pro analýzu a vizualizaci dat na webu Azure Portal, shromažďuje informace z několika zdrojů dat z celého ArcBoxu a kombinuje je do integrovaného interaktivního prostředí.
• Azure Monitor umožňuje sledovat výkon a události pro systémy spuštěné v Azure, v místním prostředí nebo v jiných cloudech.
• Konfigurace hosta služby Azure Policy může auditovat operační systémy a konfiguraci počítače pro počítače spuštěné na serverech s podporou Azure i Arc spuštěných místně nebo v jiných cloudech.
• Azure Log Analytics je nástroj na webu Azure Portal pro úpravy a spouštění dotazů protokolu z dat shromážděných protokoly služby Azure Monitor a interaktivní analýza jejich výsledků. Pomocí dotazů Log Analytics můžete načíst záznamy, které odpovídají konkrétním kritériím, identifikují trendy, analyzují vzory a poskytují různé přehledy o vašich datech.
• Microsoft Defender for Cloud je řešení pro správu stavu zabezpečení cloudu (CSPM) a řešení ochrany cloudových úloh (CWP). Microsoft Defender for Cloud najde slabá místa v konfiguraci cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a může chránit úlohy napříč vícecloudovými a hybridními prostředími před vyvíjejícími se hrozbami.
• Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa informací o zabezpečení a událostech (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jediné řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.
• Servery s podporou Azure Arc umožňují připojit Azure k počítačům s Windows a Linuxem hostovaným mimo Azure ve vaší podnikové síti. Když je server připojený k Azure, stane se serverem s podporou Arc a považuje se za prostředek v Azure. Každý server s podporou arc má ID prostředku, identitu spravovaného systému a spravuje se jako součást skupiny prostředků v rámci předplatného. Servery s podporou arc využívají standardní konstrukce Azure, jako jsou inventář, zásady, značky a Azure Lighthouse.
• Vnořenou virtualizaci Technologie Hyper-V používá Jumpstart ArcBox pro IT specialisty k hostování virtuálních počítačů s Windows Serverem uvnitř virtuálního počítače Azure. To poskytuje stejné prostředí jako použití fyzických počítačů s Windows Serverem, ale bez požadavků na hardware.
• Azure Virtual Network poskytuje privátní síť, která umožňuje komponentám ve skupině prostředků Azure komunikovat, například virtuální počítače.

Podrobnosti scénáře

Potenciální případy použití

Obvyklá využití pro tuto architekturu:

• Uspořádání, řízení a inventarizace velkých skupin virtuálních počítačů a serverů napříč několika prostředími
• Vynucujte standardy organizace a vyhodnoťte dodržování předpisů ve velkém měřítku pro všechny vaše prostředky kdekoli pomocí služby Azure Policy.
• Snadno nasaďte podporovaná rozšíření virtuálních počítačů na servery s podporou Arc.
• Nakonfigurujte a vynucujte Azure Policy pro virtuální počítače a servery hostované v několika prostředích.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Konfigurace agenta azure Arc Připojení ed Machine

Ke službě Azure Arc můžete připojit jakýkoli jiný fyzický nebo virtuální počítač s Windows nebo Linuxem. Než nasadíte počítače, nezapomeňte dokončit požadavky na Připojení agenta počítače, včetně registrace poskytovatelů prostředků Azure pro servery s podporou Azure Arc. Pokud chcete k připojení počítače k Azure použít Azure Arc, musíte nainstalovat agenta azure Připojení počítačů na každý počítač, ke kterému se plánujete připojit pomocí Azure Arc. Další informace najdete v tématu Přehled agenta serverů s podporou Služby Azure Arc.

Po nakonfigurování agent Připojení počítače každých pět minut do Azure odešle běžnou zprávu prezenčních signálů. Když se prezenčních signálů nedostává, Azure přiřadí počítač offline, který se projeví na portálu do 15 až 30 minut. Po přijetí následné zprávy prezenčních signálů z agenta Připojení ed Machine se jeho stav automaticky změní na Připojení.

V Azure je k dispozici několik možností pro připojení počítačů s Windows a Linuxem:

• Ruční instalace: Servery s podporou Azure Arc je možné povolit pro jeden nebo několik počítačů s Windows nebo Linuxem ve vašem prostředí pomocí sady nástrojů Windows Správa Center nebo ručním provedením sady kroků.
• Instalace založená na skriptech: Automatickou instalaci agenta můžete provést spuštěním skriptu šablony, který stáhnete z webu Azure Portal.
• Připojení počítače ve velkém měřítku pomocí instančního objektu: Pokud chcete nasadit ve velkém měřítku, použijte instanční objekt a nasaďte ho prostřednictvím stávající automatizace vaší organizace.
• Instalace pomocí Prostředí Windows PowerShell DSC

Podrobné informace o různých dostupných možnostech nasazení najdete v možnostech nasazení agenta azure Připojení ed Machine.

Povolení konfigurace hosta azure Policy

Servery s podporou Azure Arc podporují Azure Policy ve vrstvě správy prostředků Azure a také v rámci jednotlivých serverových počítačů pomocí zásad konfigurace hosta. Konfigurace hosta služby Azure Policy může auditovat nastavení v počítači, a to jak pro počítače spuštěné na serverech s podporou Azure, tak i se službou Arc. Příklady nastavení, která můžete auditovat:

• Konfigurace operačního systému
• Konfigurace nebo přítomnost aplikací
• Nastavení prostředí

Pro Azure Arc existuje několik předdefinovaných definic Azure Policy. Tyto zásady poskytují nastavení auditování a konfigurace pro počítače s Windows i Linuxem.

Povolení služby Azure Update Management

Update Management: Pro servery s podporou Arc můžete provádět správu aktualizací. Správa aktualizací ve službě Azure Automation umožňuje spravovat aktualizace operačního systému a rychle posoudit stav dostupných aktualizací na všech počítačích agentů. Můžete také spravovat proces instalace požadovaných aktualizací pro servery.

Sledování změn a inventář. Azure Automation Sledování změn a inventář pro servery s podporou Arc umožňuje určit, jaký software je ve vašem prostředí nainstalovaný. Můžete shromažďovat a sledovat inventář softwaru, souborů, linuxových démonů, služeb Systému Windows a klíčů registru Systému Windows. Sledování konfigurací vašich počítačů vám může pomoci přesně identifikovat provozní problémy napříč prostředím a lépe porozumět stavu vašich počítačů.

Monitorování serverů s podporou Služby Azure Arc

Azure Monitor můžete použít k monitorování virtuálních počítačů, škálovacích sad virtuálních počítačů a počítačů Azure Arc ve velkém měřítku. Azure Monitor analyzuje výkon a stav virtuálních počítačů s Windows a Linuxem a monitoruje jejich procesy a závislosti na jiných prostředcích a externích procesech. Zahrnuje podporu monitorování výkonu a závislostí aplikací pro virtuální počítače hostované místně nebo u jiného poskytovatele cloudu.

Agenti Azure Monitoru by se měli automaticky nasadit na servery s Windows a Linuxem s podporou Azure Arc prostřednictvím služby Azure Policy. Projděte si, jak agent Log Analytics funguje a shromažďuje data před nasazením.

Navrhněte a naplánujte nasazení pracovního prostoru služby Log Analytics. Bude to kontejner, ve kterém se data shromažďují, agregují a později analyzují. Pracovní prostor služby Log Analytics představuje zeměpisné umístění vašich dat, izolaci dat a rozsah konfigurace, jako je uchovávání dat. Použijte jeden pracovní prostor služby Azure Monitor Log Analytics, jak je popsáno v osvědčených postupech správy a monitorování architektury přechodu na cloud.

Zabezpečení serverů s podporou Služby Azure Arc

Pomocí Azure RBAC můžete řídit a spravovat oprávnění pro spravované identity serverů s podporou Azure Arc a provádět pravidelné kontroly přístupu pro tyto identity. Řídit privilegované role uživatelů, aby se zabránilo zneužití identit spravovaných systémem za účelem získání neoprávněného přístupu k prostředkům Azure.

Zvažte použití služby Azure Key Vault ke správě certifikátů na serverech s podporou Azure Arc. Rozšíření virtuálního počítače trezoru klíčů umožňuje spravovat životní cyklus certifikátů na počítačích s Windows a Linuxem.

Připojení servery s podporou Azure Arc do Microsoft Defenderu pro cloud. To vám pomůže začít shromažďovat konfigurace a protokoly událostí souvisejících se zabezpečením, abyste mohli doporučit akce a zlepšit celkový stav zabezpečení Azure.

Připojení servery s podporou Azure Arc do Služby Microsoft Sentinel. Díky tomu můžete začít shromažďovat události související se zabezpečením a začít je korovat s jinými zdroji dat.

Ověření síťové topologie

Agent Připojení počítače pro Linux a Windows bezpečně komunikuje s Azure Arc přes port TCP 443. Agent Připojení ed Machine se může připojit k řídicí rovině Azure pomocí následujících metod:

• Přímé připojení k veřejným koncovým bodům Azure, volitelně zezadu za bránou firewall nebo proxy serverem
• Azure Private Link s využitím modelu oboru služby Private Link , který umožňuje více serverům nebo počítačům komunikovat s prostředky Azure Arc pomocí jednoho privátního koncového bodu.

Podrobné pokyny k síti pro implementaci serverů s podporou Arc najdete v topologii sítě a připojení k serverům s podporou služby Azure Arc.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

• Ve většině případů by umístění, které vyberete při vytváření instalačního skriptu, mělo být geograficky nejblíže oblasti Azure k umístění vašeho počítače. Zbývající data budou uložená v zeměpisné oblasti Azure obsahující zadaná oblast, která může mít vliv i na vaši volbu oblasti, pokud máte požadavky na rezidenci dat. Pokud výpadek ovlivní oblast Azure, ke které je počítač připojený, výpadek neovlivní server s podporou Arc. Operace správy pomocí Azure ale nemusí být dostupné.
• Pokud máte více umístění, která poskytují geograficky redundantní službu, je nejlepší připojit počítače v každém umístění k jiné oblasti Azure kvůli odolnosti v případě regionálního výpadku.
• Pokud agent připojených počítačů Azure přestane odesílat prezenčních signálů do Azure nebo přejde do offline režimu, nebudete s ním moct provádět provozní úlohy. Proto je nutné vytvořit plán pro oznámení a odpovědi.
• Nastavte upozornění služby Resource Health, která budou dostávat oznámení téměř v reálném čase, když se prostředky změní ve svém stavu. Definujte zásady monitorování a upozorňování ve službě Azure Policy , které identifikují servery s podporou Azure Arc, které nejsou v pořádku.
• Rozšiřte své aktuální řešení zálohování do Azure, nebo jednoduše nakonfigurujte replikaci s podporou aplikací a zálohování konzistentní s aplikacemi, které se škálují podle vašich obchodních potřeb. Centralizované rozhraní pro správu pro Azure Backup a Azure Site Recovery usnadňuje definování zásad pro nativní ochranu, monitorování a správu serverů s Windows a Linuxem s podporou Arc.
• Projděte si pokyny k provozní kontinuitě a zotavení po havárii a zjistěte, jestli jsou splněny vaše podnikové požadavky.
• Další aspekty spolehlivosti pro vaše řešení jsou popsané v části Principy návrhu spolehlivosti v architektuře Microsoft Azure Well-Architected Framework.

Zabezpečení

• Vhodné řízení přístupu na základě role v Azure (Azure RBAC) by se mělo spravovat pro servery s podporou Arc. Pokud chcete připojit počítače, musíte být členem role azure Připojení onboardingu počítače. Pokud chcete číst, upravovat, znovu připojit a odstranit počítač, musíte být členem role prostředku počítače Azure Připojení ed Machine Správa istrator.
• Microsoft Defender pro cloud může monitorovat místní systémy, virtuální počítače Azure, prostředky Azure Monitoru a dokonce i virtuální počítače hostované jinými poskytovateli cloudu. Povolte Microsoft Defender pro servery pro všechna předplatná, která obsahují servery s podporou Azure Arc, pro účely monitorování standardních hodnot zabezpečení, správy stavu zabezpečení a ochrany před hrozbami.
• Microsoft Sentinel může zjednodušit shromažďování dat napříč různými zdroji, včetně Azure, místních řešení a cloudů pomocí integrovaných konektorů.
• Azure Policy můžete použít ke správě zásad zabezpečení na serverech s podporou Arc, včetně implementace zásad zabezpečení v Programu Microsoft Defender pro cloud. Zásady zabezpečení definují požadovanou konfiguraci vašich úloh a pomáhají zajistit, abyste dodržovali požadavky vaší společnosti nebo regulačních orgánů na zabezpečení. Zásady Defenderu pro cloud jsou založené na iniciativách zásad vytvořených ve službě Azure Policy.
• Pokud chcete omezit, která rozšíření se dají nainstalovat na server s podporou Arc, můžete nakonfigurovat seznamy rozšíření, která chcete povolit a blokovat na serveru. Správce rozšíření vyhodnotí všechny požadavky na instalaci, aktualizaci nebo upgrade rozšíření na seznam povolených a blokovaných, aby zjistil, jestli je možné rozšíření nainstalovat na server.
• Azure Private Link umožňuje bezpečně propojit služby Azure PaaS s virtuální sítí pomocí privátních koncových bodů. Místní nebo multicloudové servery můžete připojit pomocí Služby Azure Arc a posílat veškerý provoz přes připojení VPN typu Site-to-Site přes Azure ExpressRoute místo veřejných sítí. Model oboru služby Private Link můžete použít k tomu, abyste umožnili více serverům nebo počítačům komunikovat s jejich prostředky Azure Arc pomocí jednoho privátního koncového bodu.
• Přehled zabezpečení serverů s podporou služby Azure Arc najdete v komplexním přehledu funkcí zabezpečení na serveru s podporou Azure Arc.
• Další aspekty zabezpečení pro vaše řešení jsou popsány v části principy návrhu zabezpečení v architektuře Microsoft Azure Well-Architected Framework.

Optimalizace nákladů

• Funkce řídicí roviny Azure Arc se poskytuje bez dalších poplatků. To zahrnuje podporu pro organizaci prostředků prostřednictvím skupin pro správu Azure a značek a řízení přístupu prostřednictvím řízení přístupu na základě role v Azure (RBAC). Služby Azure používané ve spojení se servery s podporou Azure Arc účtují náklady podle jejich využití.
• Další pokyny k optimalizaci nákladů najdete v zásadách správného řízení nákladů na servery s podporou služby Azure Arc.
• Další aspekty optimalizace nákladů pro vaše řešení jsou popsány v části Principy optimalizace nákladů v architektuře Microsoft Azure Well-Architected Framework.
• K odhadu nákladů použijte cenovou kalkulačku Azure.
• Při nasazování referenční implementace ArcBoxu jumpstartu pro IT specialisty pro tuto architekturu mějte na paměti, že prostředky ArcBox generují poplatky za využití Azure ze základních prostředků Azure. Mezi tyto prostředky patří základní výpočetní prostředky, úložiště, sítě a pomocné služby.

Provozní dokonalost

• Automatizujte nasazení prostředí serverů s podporou Arc. Referenční implementace této architektury je plně automatizovaná pomocí kombinace šablon Azure ARM, rozšíření virtuálních počítačů, konfigurací Azure Policy a skriptů PowerShellu. Tyto artefakty můžete také použít pro vlastní nasazení. Další pokyny pro automatizaci serverů s podporou Služby Arc najdete v pokynech pro automatizaci serverů s podporou služby Arc v rozhraní CAF (Cloud Adoption Framework).
• V Azure je k dispozici několik možností pro automatizaci onboardingu serverů s podporou Arc. Pokud chcete provést nasazení ve velkém měřítku, použijte instanční objekt a nasaďte ho prostřednictvím stávající platformy automatizace vaší organizace.
• Rozšíření virtuálních počítačů je možné nasadit na servery s podporou Arc, aby se zjednodušila správa hybridních serverů během jejich životního cyklu. Při správě serverů ve velkém zvažte automatizaci nasazení rozšíření virtuálních počítačů prostřednictvím služby Azure Policy.
• Povolte opravu a řešení Update Management na nasazených serverech s podporou Azure Arc, abyste usnadnili správu životního cyklu operačního systému.
• Projděte si případy použití sjednocených operací Azure Arc a seznamte se s dalšími scénáři efektivity provozu pro servery s podporou Azure Arc.
• Další aspekty efektivity provozu pro vaše řešení jsou popsány v části Principy návrhu efektivity provozu v architektuře Microsoft Azure Well-Architected Framework.

Efektivita výkonu

• Před konfigurací počítačů se servery s podporou Azure Arc byste měli zkontrolovat limity předplatného Azure Resource Manageru a omezení skupin prostředků a naplánovat počet počítačů, které se mají připojit.
• Postup postupného nasazení, jak je popsáno v průvodci nasazením, vám může pomoct určit požadavky na kapacitu prostředků pro vaši implementaci.
• Pomocí služby Azure Monitor můžete shromažďovat data přímo ze serverů s podporou Služby Azure Arc do pracovního prostoru služby Log Analytics pro účely podrobné analýzy a korelace. Projděte si možnosti nasazení pro agenty služby Azure Monitor.
• Další aspekty efektivity výkonu pro vaše řešení jsou popsány v části Principy efektivity výkonu v architektuře Microsoft Azure Well-Architected Framework.

Nasazení tohoto scénáře

Referenční implementaci této architektury najdete v Jumpstart ArcBoxu pro IT profesionály, který je součástí projektu Arc Jumpstart . ArcBox je navržený tak, aby byl zcela samostatný v rámci jednoho předplatného Azure a skupiny prostředků. ArcBox usnadňuje uživateli praktické zkušenosti se všemi dostupnými technologiemi Azure Arc, které nemají víc než dostupné předplatné Azure.

Pokud chcete nasadit referenční implementaci, postupujte podle kroků v úložišti GitHubu výběrem tlačítka Jumpstart ArcBox for IT Pros níže.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Pieter de Bruin | Vedoucí programový manažer

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Další informace o službě Azure Arc
• Další informace o serverech s podporou Služby Azure Arc
• Studijní program azure Arc
• Projděte si scénáře jumpstartu Azure Arc v jumpstartu Služby Arc.
• Kontrola akcelerátoru cílových zón serverů s podporou arc v CAF

Související prostředky

Prozkoumejte související architektury:

• Správa konfigurací pro servery s podporou Azure Arc
• Hybridní správa a nasazení Azure Arc pro clustery Kubernetes