Jaké jsou základní možnosti správy a zásad správného řízení serverů s podporou Azure Arc?

  • 10 min

Azure Arc vám umožňuje rozšířit rozsah několika služeb Azure na servery se systémy Windows a Linux mimo Azure. To pomáhá společnostem, jako je Contoso, standardizovat strategii správy při provozu v hybridních scénářích. V této lekci se seznámíte s možnostmi Azure Arc a zaměříte se na funkce dostupné výhradně pro servery s podporou Azure a Azure Arc.

Jaké jsou základní možnosti správy prostředků serverů s podporou Azure Arc?

Řada výhod Azure Arc je nezávislá na typu prostředku, protože odráží možnosti Azure Resource Manageru. Mezi tyto výhody patří:

  • Možnost organizovat všechny organizační prostředky pomocí skupin pro správu, předplatných, skupin prostředků a značek Azure.

  • Jeden komplexní inventář organizačních prostředků napříč více cloudy a místním prostředím, včetně podpory vyhledávání a indexování pomocí Azure Resource Graphu.

  • Konsolidované zobrazení prostředků s podporou Azure a Azure Arc prostřednictvím webu Azure Portal, rozhraní příkazového řádku Azure (CLI), Azure PowerShellu a přenosu stavu reprezentace (REST) aplikačního programovacího rozhraní (API).

  • Přímý přístup z webu Azure Portal k většině funkcí správy serverů s podporou Azure Arc:

    • Řízení přístupu na základě role (RBAC) pro zobrazení protokolů a dat inventáře serverů
    • Rozšíření virtuálních počítačů pro nasazení softwarových agentů a spouštění skriptů na serveru
    • Guest Configuration pro Azure Policy pro auditování konfigurace operačního systému a softwaru
    • Spravovaná identita přiřazená systémem Microsoft Entra pro aplikace běžící na serveru, které se mají použít při ověřování v jiných službách Azure

Snímek obrazovky se stránkou Řízení přístupu (IAM) na webu Azure Portal pro vybraný virtuální počítač: ContosoVM1 V podokně podrobností se zobrazí několik karet: Kontrola přístupu (vybrané), přiřazení rolí, přiřazení zamítnutí, klasická správci a role.

Existují také výhody specifické pro servery s podporou služby Azure Arc, například:

  • Možnost použít rozšíření virtuálních počítačů Azure ke konzistentní automatizaci konfigurace serverů Azure a jiných než Azure se systémem Windows a Linux.
  • Podpora Guest Configuration pro Azure Policy. Azure Policy podporuje auditování serverů s podporou Azure Arc stejným způsobem jako jejich protějšky s rezidenty Azure. To vám umožní použít stejný přístup k vyhodnocení toho, jestli konfigurace všech serverů ve vašem prostředí vyhovují standardům organizace.

Co jsou rozšíření virtuálních počítačů a jak se používají se servery s podporou Azure Arc?

Rozšíření virtuálních počítačů jsou jednoduché softwarové komponenty, které automatizují konfiguraci po nasazení operačního systému a úlohy automatizace. Rozšíření virtuálních počítačů byla tradičně dostupná jenom na virtuálních počítačích Azure, ale teď je možné použít vybrané na serverech s podporou Azure Arc. Následující tabulka popisuje rozšíření, která můžete přidat na servery s podporou Azure Arc, na kterých běží operační systém Windows Server nebo Linux:

Rozšíření Další informace
Agent Log Analytics Nainstaluje agenta Log Analytics na cílový server s podporou arc a nakonfiguruje ho pro předávání protokolů do pracovního prostoru služby Log Analytics.
Agent závislostí Nainstaluje závislého agenta na cílový server s podporou arc, který usnadňuje identifikaci interních a externích závislostí úloh serveru.
Agent Azure Key Vault Synchronizuje certifikáty z instance služby Azure Key Vault na server s podporou Arc.
Rozšíření Qualys Řešení kontroly posouzení ohrožení zabezpečení v programu Microsoft Defender pro servery
Konfigurace požadovaného stavu Použije konfiguraci PowerShell DSC na cílovém serveru s podporou arc.
Rozšíření vlastních skriptů Spustí skript na cílovém serveru s podporou arc.

Co je Azure Policy a jak se používá pro zásady správného řízení serverů s podporou Azure Arc?

Azure Policy je služba, která pomáhá organizacím spravovat a vyhodnocovat interní a regulační dodržování předpisů serverů s podporou Arc, a to kromě široké škály služeb Azure. Azure Policy používá deklarativní pravidla založená na vlastnostech cílových typů prostředků, včetně operačních systémů Windows a Linux. Tato pravidla můžou správci zásad formuláře použít prostřednictvím přiřazení zásad skupinám prostředků, předplatným nebo skupinám pro správu, které hostují servery s podporou Azure Arc. Pokud chcete zjednodušit správu definic zásad, můžete do iniciativ zkombinovat více zásad a pak vytvořit několik přiřazení iniciativ místo několika přiřazení zásad.

Azure Policy podporuje auditování stavu serveru s podporou arc pomocí zásad konfigurace hosta. Zásady konfigurace hosta nepoužívají konfigurace, ale auditují nastavení v rámci cílového operačního systému a vyhodnocují dodržování předpisů. Azure Policy ale můžete použít k použití konfigurace prostředku Azure představujícího server s podporou Arc. Azure Policy můžete také použít k nasazení konfigurací pomocí rozšíření virtuálních počítačů.

Contoso může například použít Azure Policy k implementaci následujících pravidel:

  • Přiřazení konkrétní značky k prostředkům představujícím servery s podporou Arc během jejich registrace
  • Identifikujte servery s podporou arc se zakázanými ochranami Exploit Guard v programu Windows Defender.
  • Identifikujte servery s podporou arc se systémem Windows, které nejsou připojené ke konkrétní doméně Doména služby Active Directory Services (AD DS).
  • Identifikujte servery s podporou arc se systémem Windows nebo Linux bez nainstalovaného agenta Log Analytics.
  • Identifikujte servery s podporou arc, na kterých běží Linux, které pro ověřování nepoužívají klíče SSH.

Poznámka:

Zásady, které podporují nápravu, nemusí vyhodnocovat logiku zásad v operačním systému serveru s podporou Azure Arc, ale místo toho se spoléhají na metadata prostředků Azure. Příklady takových zásad zahrnují vynucování dodržování předpisů u značek nebo nasazení rozšíření virtuálních počítačů.

Poznámka:

Azure Policy podporuje virtuální počítače Azure a servery s podporou Služby Azure Arc a poskytuje konzistentní přehled informací o dodržování předpisů v celé organizaci.

Jak přiřadíte zásady Azure serverům s podporou Azure Arc?

Zásady Azure můžete spravovat a přiřazovat k serverům s podporou Azure Arc přímo z webu Azure Portal.

Snímek obrazovky znázorňující stránku Přiřadit zásadu na webu Azure Portal Správce vybírá ze seznamu dostupných zásad.

Jakmile vytvoříte přiřazení zásad, krátce potom budete moct zkontrolovat výsledek vyhodnocení zásad na cílových serverech s podporou Azure Arc.

Snímek obrazovky znázorňující použité zásady na virtuálním počítači ContosoVM1 Použijí se dvě zásady a virtuální počítač vyhovuje jednomu, ale ne druhému.

Jaké jsou výhody Azure Update Manageru v hybridních scénářích?

Azure Update Manager je jednotná služba, která pomáhá spravovat a řídit aktualizace pro všechny hybridní počítače, včetně hybridních počítačů. Dodržování předpisů aktualizací windows a Linuxu můžete monitorovat napříč hybridními počítači z jediného podokna správy. Pomocí Update Manageru můžete provádět aktualizace v reálném čase nebo je naplánovat v rámci definovaného časového období údržby.

Azure Update Manager umožňuje:

  • Okamžitě zkontrolujte aktualizace nebo nasaďte aktualizace nebo důležité aktualizace, které vám pomůžou zabezpečit hybridní počítače.
  • Povolte pravidelné hodnocení a zkontrolujte nejnovější aktualizace dostupné pro vaše hybridní počítače.
  • Používejte flexibilní možnosti oprav, jako jsou plány údržby definované zákazníkem a opravy za provozu.
  • Sestavte vlastní řídicí panely pro vytváření sestav stavu aktualizace a nakonfigurujte výstrahy pro určité podmínky.
  • Dohled nad dodržováním předpisů aktualizací pro všechny vaše hybridní počítače.

Jaké jsou výhody služby Azure Automation Desired State Configuration (DSC) v hybridních scénářích?

PowerShell DSC je technologie, která implementuje správu deklarativních konfigurací prostřednictvím kombinace skriptů PowerShellu a funkcí operačního systému. Konfigurace může být stejně jednoduchá jako povolení konkrétní funkce Windows nebo stejně složitá jako nasazení SharePointu. Konfiguraci DSC můžete nasadit buď v režimu nabízení, nebo v režimu vyžádání obsahu. Režim nabízení replikace zahrnuje vyvolání nasazení z počítače pro správu proti minimálně jednomu spravovanému počítači. V režimu vyžádání obsahu spravované počítače provádějí nasazení automaticky na základě konfiguračních dat z určeného umístění označovaného jako server vyžádané replikace. Azure Automation zahrnuje spravovaný server vyžádané replikace DSC v Azure. Konfiguraci DSC můžete použít v režimu nabízení pro počítače mimo Azure, včetně serverů s podporou Azure Arc pomocí rozšíření virtuálního počítače. Alternativně můžete do Azure Automation nasadit oba typy systémů a spravovat jejich konfiguraci prostřednictvím serveru vyžádané replikace.

Jaké jsou výhody služby Azure Automanage v hybridních scénářích?

Osvědčené postupy pro počítače Azure Automanage jsou služba, která eliminuje nutnost zjišťovat, vědět, jak nasadit a jak nakonfigurovat určité služby v Azure, které by pro váš server s podporou Arc mohly být přínosné. Po nasazení počítačů do služby Azure Automanage se každá služba osvědčených postupů nakonfiguruje na doporučená nastavení. Azure Automanage také automaticky monitoruje a opravuje odchylky při zjištění. Mezi zúčastněné služby patří:

  • Monitorování Služby Machines Insights
  • Change Tracking a Inventory
  • Konfigurace hosta Azure
  • Účet Azure Automation
  • Pracovní prostor Log Analytics

Na každou z následujících otázek zvolte nejlepší odpověď.

Kontrola znalostí

1.

Které rozšíření virtuálního počítače může správce přidat na servery s podporou Azure Arc, aby ho mohl začít monitorovat pomocí služeb Azure?

2.

Co může správce udělat, aby mohl auditovat změny stavu operačního systému serverů s podporou Azure Arc?