Jaké jsou základní možnosti správy a zásad správného řízení serverů s podporou Azure Arc?
Azure Arc vám umožňuje rozšířit rozsah několika služeb Azure na servery se systémy Windows a Linux mimo Azure. To pomáhá společnostem, jako je Contoso, standardizovat strategii správy při provozu v hybridních scénářích. V této lekci se seznámíte s možnostmi Azure Arc a zaměříte se na funkce dostupné výhradně pro servery s podporou Azure a Azure Arc.
Jaké jsou základní možnosti správy prostředků serverů s podporou Azure Arc?
Řada výhod Azure Arc je nezávislá na typu prostředku, protože odráží možnosti Azure Resource Manageru. Mezi tyto výhody patří:
Možnost organizovat všechny organizační prostředky pomocí skupin pro správu, předplatných, skupin prostředků a značek Azure.
Jeden komplexní inventář organizačních prostředků napříč více cloudy a místním prostředím, včetně podpory vyhledávání a indexování pomocí Azure Resource Graphu.
Konsolidované zobrazení prostředků s podporou Azure a Azure Arc prostřednictvím webu Azure Portal, rozhraní příkazového řádku Azure (CLI), Azure PowerShellu a přenosu stavu reprezentace (REST) aplikačního programovacího rozhraní (API).
Přímý přístup z webu Azure Portal k většině funkcí správy serverů s podporou Azure Arc:
- Řízení přístupu na základě role (RBAC) pro zobrazení protokolů a dat inventáře serverů
- Rozšíření virtuálních počítačů pro nasazení softwarových agentů a spouštění skriptů na serveru
- Guest Configuration pro Azure Policy pro auditování konfigurace operačního systému a softwaru
- Spravovaná identita přiřazená systémem Microsoft Entra pro aplikace běžící na serveru, které se mají použít při ověřování v jiných službách Azure
Existují také výhody specifické pro servery s podporou služby Azure Arc, například:
- Možnost použít rozšíření virtuálních počítačů Azure ke konzistentní automatizaci konfigurace serverů Azure a jiných než Azure se systémem Windows a Linux.
- Podpora Guest Configuration pro Azure Policy. Azure Policy podporuje auditování serverů s podporou Azure Arc stejným způsobem jako jejich protějšky s rezidenty Azure. To vám umožní použít stejný přístup k vyhodnocení toho, jestli konfigurace všech serverů ve vašem prostředí vyhovují standardům organizace.
Co jsou rozšíření virtuálních počítačů a jak se používají se servery s podporou Azure Arc?
Rozšíření virtuálních počítačů jsou jednoduché softwarové komponenty, které automatizují konfiguraci po nasazení operačního systému a úlohy automatizace. Rozšíření virtuálních počítačů byla tradičně dostupná jenom na virtuálních počítačích Azure, ale teď je možné použít vybrané na serverech s podporou Azure Arc. Následující tabulka popisuje rozšíření, která můžete přidat na servery s podporou Azure Arc, na kterých běží operační systém Windows Server nebo Linux:
| Rozšíření | Další informace |
|---|---|
| Agent Log Analytics | Nainstaluje agenta Log Analytics na cílový server s podporou arc a nakonfiguruje ho pro předávání protokolů do pracovního prostoru služby Log Analytics. |
| Agent závislostí | Nainstaluje závislého agenta na cílový server s podporou arc, který usnadňuje identifikaci interních a externích závislostí úloh serveru. |
| Agent Azure Key Vault | Synchronizuje certifikáty z instance služby Azure Key Vault na server s podporou Arc. |
| Rozšíření Qualys | Řešení kontroly posouzení ohrožení zabezpečení v programu Microsoft Defender pro servery |
| Konfigurace požadovaného stavu | Použije konfiguraci PowerShell DSC na cílovém serveru s podporou arc. |
| Rozšíření vlastních skriptů | Spustí skript na cílovém serveru s podporou arc. |
Co je Azure Policy a jak se používá pro zásady správného řízení serverů s podporou Azure Arc?
Azure Policy je služba, která pomáhá organizacím spravovat a vyhodnocovat interní a regulační dodržování předpisů serverů s podporou Arc, a to kromě široké škály služeb Azure. Azure Policy používá deklarativní pravidla založená na vlastnostech cílových typů prostředků, včetně operačních systémů Windows a Linux. Tato pravidla můžou správci zásad formuláře použít prostřednictvím přiřazení zásad skupinám prostředků, předplatným nebo skupinám pro správu, které hostují servery s podporou Azure Arc. Pokud chcete zjednodušit správu definic zásad, můžete do iniciativ zkombinovat více zásad a pak vytvořit několik přiřazení iniciativ místo několika přiřazení zásad.
Azure Policy podporuje auditování stavu serveru s podporou arc pomocí zásad konfigurace hosta. Zásady konfigurace hosta nepoužívají konfigurace, ale auditují nastavení v rámci cílového operačního systému a vyhodnocují dodržování předpisů. Azure Policy ale můžete použít k použití konfigurace prostředku Azure představujícího server s podporou Arc. Azure Policy můžete také použít k nasazení konfigurací pomocí rozšíření virtuálních počítačů.
Contoso může například použít Azure Policy k implementaci následujících pravidel:
- Přiřazení konkrétní značky k prostředkům představujícím servery s podporou Arc během jejich registrace
- Identifikujte servery s podporou arc se zakázanými ochranami Exploit Guard v programu Windows Defender.
- Identifikujte servery s podporou arc se systémem Windows, které nejsou připojené ke konkrétní doméně Doména služby Active Directory Services (AD DS).
- Identifikujte servery s podporou arc se systémem Windows nebo Linux bez nainstalovaného agenta Log Analytics.
- Identifikujte servery s podporou arc, na kterých běží Linux, které pro ověřování nepoužívají klíče SSH.
Poznámka:
Zásady, které podporují nápravu, nemusí vyhodnocovat logiku zásad v operačním systému serveru s podporou Azure Arc, ale místo toho se spoléhají na metadata prostředků Azure. Příklady takových zásad zahrnují vynucování dodržování předpisů u značek nebo nasazení rozšíření virtuálních počítačů.
Poznámka:
Azure Policy podporuje virtuální počítače Azure a servery s podporou Služby Azure Arc a poskytuje konzistentní přehled informací o dodržování předpisů v celé organizaci.
Jak přiřadíte zásady Azure serverům s podporou Azure Arc?
Zásady Azure můžete spravovat a přiřazovat k serverům s podporou Azure Arc přímo z webu Azure Portal.
Jakmile vytvoříte přiřazení zásad, krátce potom budete moct zkontrolovat výsledek vyhodnocení zásad na cílových serverech s podporou Azure Arc.
Jaké jsou výhody řešení Update Management služby Azure Automation v hybridních scénářích?
Azure Automation je služba Azure, která pomáhá automatizovat úlohy údržby v Azure a v místních prostředích pomocí vlastních skriptů PowerShellu nebo Pythonu. Kromě toho Azure Automation podporuje správu konfigurace pomocí několika předdefinovaných řešení, která zahrnují Update Management.
Azure Automation Update Management je hybridní řešení, které usnadňuje správu a monitorování aktualizací operačního systému v hybridních scénářích. Poskytuje ucelené informace o stavu aktualizace a pomáhá automaticky vyplnit všechny mezery. Podporuje integraci s některou ze standardních technologií nasazení aktualizací, včetně služeb služba Windows Update Services, služby Windows Server Update Services (WSUS) a Endpoint Configuration Manageru.
Stejně jako Microsoft Defender pro cloud řešení Update Management spoléhá na data shromážděná ze serverů s Windows službou Azure Monitor a uložená v pracovním prostoru služby Log Analytics, který určíte. To zase vyžaduje místně nainstalovaného agenta Log Analytics, který registruje spravované počítače v pracovním prostoru služby Log Analytics a průběžně do něj nahrává místně shromážděná data. Modul Log Analytics analyzuje shromážděná data a zjišťuje stav dodržování předpisů aktualizací jednotlivých spravovaných serverů.
Obecně Update Management umožňuje:
- Sledujte stav aktualizací na vašich serverech: Služba zahrnuje rozhraní založené na webu Azure Portal, kde můžete zkontrolovat stav aktualizací ve vašem spravovaném prostředí.
- Nakonfigurujte dynamické skupiny počítačů tak, aby cílily na nasazení aktualizací: Služba podporuje cílení aktualizací na skupiny založené na dotazech nebo skupinách log Analytics importovaných z jiného zdroje, jako je WSUS nebo Endpoint Configuration Manager.
- Prohledávání protokolů služby Azure Monitor: Služba umožňuje spouštět dotazy na protokoly uložené v Log Analytics.
Jaké jsou výhody služby Azure Automation Desired State Configuration (DSC) v hybridních scénářích?
PowerShell DSC je technologie, která implementuje správu deklarativních konfigurací prostřednictvím kombinace skriptů PowerShellu a funkcí operačního systému. Konfigurace může být stejně jednoduchá jako povolení konkrétní funkce Windows nebo stejně složitá jako nasazení SharePointu. Konfiguraci DSC můžete nasadit buď v režimu nabízení, nebo v režimu vyžádání obsahu. Režim nabízení replikace zahrnuje vyvolání nasazení z počítače pro správu proti minimálně jednomu spravovanému počítači. V režimu vyžádání obsahu spravované počítače provádějí nasazení automaticky na základě konfiguračních dat z určeného umístění označovaného jako server vyžádané replikace. Azure Automation zahrnuje spravovaný server vyžádané replikace DSC v Azure. Konfiguraci DSC můžete použít v režimu nabízení pro počítače mimo Azure, včetně serverů s podporou Azure Arc pomocí rozšíření virtuálního počítače. Alternativně můžete do Azure Automation nasadit oba typy systémů a spravovat jejich konfiguraci prostřednictvím serveru vyžádané replikace.
Jaké jsou výhody služby Azure Automanage v hybridních scénářích?
Osvědčené postupy pro počítače Azure Automanage jsou služba, která eliminuje nutnost zjišťovat, vědět, jak nasadit a jak nakonfigurovat určité služby v Azure, které by pro váš server s podporou Arc mohly být přínosné. Po nasazení počítačů do služby Azure Automanage se každá služba osvědčených postupů nakonfiguruje na doporučená nastavení. Azure Automanage také automaticky monitoruje a opravuje odchylky při zjištění. Mezi zúčastněné služby patří:
- Monitorování Přehledy počítačů
- Update Management
- Change Tracking a Inventory
- Konfigurace hosta Azure
- Účet Azure Automation
- Pracovní prostor Log Analytics
Zvolte nejlepší odpověď pro každou z následujících otázek a pak vyberte Zkontrolovat odpovědi.