Editar

Administración de configuraciones para servidores habilitados para Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Esta arquitectura de referencia muestra cómo Azure Arc permite administrar, controlar y proteger servidores en escenarios locales, multi-nube y perimetrales, y se basa en la implementación de Arc Jumpstart ArcBox para profesionales de TI de Azure Arc. ArcBox es una solución que proporciona un sandbox fácil de desplegar para todo lo relacionado con Azure Arc. ArcBox para Profesionales de TI es una versión de ArcBox destinada a los usuarios que desean experimentar las capacidades de los servidores habilitados para Azure Arc en un entorno de caja de arena.

Architecture

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

Descargue un archivo de PowerPoint de esta arquitectura.

Componentes

La arquitectura consta de los siguientes componentes:

  • Un grupo de recursos de Azure es un contenedor que almacena los recursos relacionados con una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo aquellos que se desean administrar como grupo.
  • El libro ArcBox es un libro de Azure Monitor, que proporciona un único panel para supervisar e informar sobre los recursos de ArcBox. El libro actúa como un lienzo flexible para el análisis y la visualización de datos en el Azure Portal, recopilando información de varios orígenes de datos de ArcBox y combinándolos en una experiencia interactiva integrada.
  • Azure Monitor le permite realizar un seguimiento del rendimiento y los eventos de los sistemas que se ejecutan en Azure, en el entorno local o en otras nubes.
  • La configuración de invitado de Azure Policy puede auditar los sistemas operativos y la configuración de máquina para las máquinas que se ejecutan en Azure y los servidores habilitados para Arc que se ejecutan en el entorno local o en otras nubes.
  • Azure Log Analytics es una herramienta de Azure Portal para editar y ejecutar consultas de registro a partir de los datos que recopila Registros de Azure Monitor, y analizar sus resultados de forma interactiva. Puede usar consultas de Log Analytics para recuperar registros que coincidan con determinados criterios, identificar tendencias, analizar patrones y proporcionar varias conclusiones sobre los datos.
  • Microsoft Defender for Cloud es una solución de gestión de la postura de seguridad en la nube (CSPM) y de protección de la carga de trabajo en la nube (CWP). Microsoft Defender for Cloud encuentra puntos débiles en toda la configuración de la nube, ayuda a reforzar la posición de seguridad general de su entorno y puede proteger las cargas de trabajo en entornos multinube e híbrido frente a amenazas en constante evolución.
  • Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.
  • Los servidores habilitados para Azure Arc le permiten conectar Azure a sus máquinas Windows y Linux alojadas fuera de Azure en su red corporativa. Cuando un servidor se conecta a Azure, se convierte en un servidor habilitado para Arc y se trata como un recurso de Azure. Cada servidor habilitado para Arc tiene un identificador de recurso y una identidad del sistema administrada y se administra como parte de un grupo de recursos dentro de una suscripción. Los servidores habilitados para Arc se benefician de las construcciones de Azure estándar, como el inventario, la directiva, las etiquetas y Azure Lighthouse.
  • La virtualización anidada de Hyper-V es utilizada por Jumpstart ArcBox para Profesionales de TI para alojar máquinas virtuales de Windows Server dentro de una máquina virtual de Azure. Esto proporciona la misma experiencia que el uso de máquinas físicas de Windows Server, pero sin los requisitos de hardware.
  • Azure Virtual Network proporciona una red privada que permite que los componentes dentro del Azure Resource Group se comuniquen, como las máquinas virtuales.

Detalles del escenario

Posibles casos de uso

Los usos habituales de esta arquitectura incluyen:

  • Organice, controle e inventaríe grupos grandes de máquinas virtuales (VM) y servidores en varios entornos.
  • Aplique los estándares de la organización y evalúe el cumplimiento a gran escala de todos los recursos en cualquier lugar con Azure Policy.
  • Implemente fácilmente extensiones de VM admitidas en servidores habilitados para Arc.
  • Configure y aplique Azure Policy para las máquinas virtuales y los servidores hospedados en varios entornos.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Configure el agente de la máquina conectada a Azure Arc

Puede conectar cualquier otra máquina física o virtual que ejecute Windows o Linux a Azure Arc. Antes de incorporar máquinas, asegúrese de completar los requisitos previos del agente de máquina conectada, que incluye el registro de los proveedores de recursos de Azure para servidores habilitados para Azure Arc. Para usar Azure Arc para conectar la máquina a Azure, debe instalar el agente de Azure Connected Machine en cada máquina que planee conectarse mediante Azure Arc. Para más información, consulte Introducción al agente de servidores habilitados para Azure Arc.

Una vez configurado, el agente de Connected Machine envía un mensaje de latido regular a Azure cada 5 minutos. Cuando no se recibe el latido, Azure asigna a la máquina el estado Sin conexión, que se refleja en el portal en un plazo de 15 a 30 minutos. Al recibir un mensaje de latido subsiguiente del agente de Connected Machine, su estado se cambiará automáticamente a Conectado.

Hay varias opciones disponibles en Azure para conectar sus máquinas Windows y Linux:

  • Instalación manual: se pueden habilitar servidores habilitados para Azure Arc para una o varias máquinas Windows o Linux en su entorno mediante el conjunto de herramientas de Windows Admin Center o la realización de una serie de pasos manualmente.
  • Instalación basada en scripts: Puede realizar la instalación automatizada del agente mediante la ejecución de un script de plantilla que descargue de Azure Portal.
  • Conecte las máquinas a escala utilizando un servicio principal: Para incorporarlas a escala, utilice un servicio principal y despliegue a través de la automatización existente en su organización.
  • Instalación mediante DSC de Windows PowerShell

Consulte las opciones de implementación del agente de Azure Connected Machine para obtener documentación completa sobre las distintas opciones de implementación disponibles.

Habilite la configuración de invitado de Azure Policy

Los servidores habilitados para Azure Arc admiten Azure Policy en el nivel de administración de recursos de Azure y también en la máquina de servidor individual mediante las directivas de configuración de invitado. La configuración de invitados de Azure Policy puede auditar la configuración dentro de una máquina, tanto para las máquinas que se ejecutan en Azure como para los servidores habilitados para Arc. Por ejemplo, puede auditar la configuración de la siguiente forma:

  • Configuración del sistema operativo
  • Configuración de la aplicación o presencia
  • Configuración del entorno

Hay varias definiciones de directivas integradas de Azure Policy para Azure Arc. Estas directivas proporcionan opciones de configuración y auditoría para máquinas basadas en Windows y Linux.

Habilitación de Azure Update Management

Administración de la actualización. Puede realizar la administración de actualizaciones para los servidores habilitados para Arc. La administración de actualizaciones en Azure Automation permite administrar las actualizaciones del sistema operativo y evaluar rápidamente el estado de las actualizaciones disponibles en todas las máquinas de agente. También puede administrar el proceso de instalación de las actualizaciones necesarias para los servidores.

Seguimiento de cambios e inventario. Puede usar Change Tracking e Inventario de Azure Automation para servidores habilitados para Arc le permite determinar qué software está instalado en el entorno. Puede recopilar y observar el inventario de software, archivos, demonios de Linux, servicios de Windows y claves del Registro de Windows. Realizar un seguimiento de las configuraciones de sus máquinas puede ayudarle a identificar problemas de funcionamiento en el entorno y comprender mejor el estado de las máquinas.

Supervisar los servidores habilitados para Azure Arc

Puede usar Azure Monitor para supervisar las máquinas virtuales, los conjuntos de escalado de máquinas virtuales y las máquinas de Azure Arc a gran escala. Azure Monitor analiza el rendimiento y el estado de las VM Windows y Linux, y supervisa sus procesos y dependencias en otros recursos y procesos externos. Permite supervisar el rendimiento y las dependencias de las aplicaciones en máquinas virtuales que están hospedadas en el entorno local o en otro proveedor de servicios en la nube.

Los agentes de Azure Monitor se deben implementar automáticamente en servidores de Linux y Windows habilitados para Azure Arc, a través de Azure Policy. Revise y comprenda cómo funciona y recopila datos el agente de Log Analytics antes de la implementación.

Diseñe y planee la implementación del área de trabajo de Log Analytics. Recuerde que será el contenedor donde se recopilan, agregan y analizan los datos. Un área de trabajo de Log Analytics representa una ubicación geográfica de los datos, el aislamiento de datos y el ámbito de las configuraciones como la retención de datos. Use una única área de trabajo de Log Analytics de Azure Monitor tal como se describe en los procedimientos recomendados de administración y supervisión de Cloud Adoption Framework.

Proteja los servidores habilitados para Azure Arc

Use RBAC de Azure para controlar y administrar el permiso de las identidades administradas de servidores habilitados para Azure Arc y realizar revisiones de acceso periódicas para estas identidades. Controle los roles de usuario con privilegios para evitar que se usen incorrectamente las identidades administradas por el sistema para obtener acceso no autorizado a los recursos de Azure.

Considere la posibilidad de usar Azure Key Vault para administrar certificados en los servidores habilitados para Azure Arc. La extensión de VM del almacén de claves le permite administrar el ciclo de vida del certificado en máquinas de Windows y Linux.

Conecte los servidores habilitados para Azure Arc a Microsoft Defender for Cloud.Esto le ayuda a empezar a recopilar configuraciones y registros de eventos relacionados con la seguridad para poder recomendar acciones y mejorar su postura general de seguridad en Azure.

Conexión de servidores habilitados para Azure Arc a Microsoft Sentinel. Esto le permite empezar a recopilar eventos relacionados con la seguridad y a correlacionarlos con otros orígenes de datos.

Valide la topología de red

El agente de Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc a través del puerto TCP 443. El agente de Connected Machine puede conectarse al plano de control de Azure mediante los métodos siguientes:

Consulte Topología de red y conectividad para servidores habilitados para Azure Arc para obtener instrucciones de red completas para la implementación de servidores habilitados para Arc.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

  • En la mayoría de los casos, la ubicación que seleccione al crear el script de instalación debe ser la región de Azure más cercana geográficamente a la ubicación de la máquina. El resto de los datos se almacenarán en la geografía de Azure que contiene la región que especifique, lo que también puede afectar a su elección de región si tiene requisitos de residencia de datos. Si una interrupción afecta a la región de Azure a la que está conectada su máquina, la interrupción no afectará al servidor habilitado para Arc. Sin embargo, es posible que las operaciones de administración que usan Azure no estén disponibles.
  • Para lograr resistencia en caso de una interrupción regional, si dispone de varias ubicaciones que proporcionan un servicio con redundancia geográfica, es mejor conectar las máquinas de cada ubicación a una región diferente de Azure.
  • Si el agente de Azure Connected Machine deja de enviar latidos a Azure o se queda sin conexión, no podrá realizar tareas operativas en él. Por lo tanto, es necesario desarrollar un plan de notificaciones y respuestas.
  • Configure las alertas de salud de los recursos para recibir notificaciones casi en tiempo real cuando los recursos tengan un cambio en su estado de salud. Defina una directiva de supervisión y alertas que identifique los servidores habilitados para Azure Arc incorrectos.
  • Amplíe la solución de copia de seguridad actual a Azure o configure fácilmente nuestra replicación compatible con aplicaciones y la copia de seguridad coherente con la aplicación que se escala según sus necesidades empresariales. La interfaz de gestión centralizada para Azure Backup y Azure Site Recovery facilita la definición de políticas para proteger, supervisar y gestionar de forma nativa sus servidores Windows y Linux habilitados para Arc.
  • Revise la guía de continuidad del negocio y recuperación de desastres para determinar si se cumplen los requisitos de su empresa.
  • Otras consideraciones de confiabilidad para la solución se describen en la sección principios de diseño de confiabilidad de Microsoft Azure Well-Architected Framework.

Seguridad

  • Debe administrarse el control de acceso basado en roles de Azure (RBAC de Azure) adecuado para los servidores habilitados para Arc. Para incorporar máquinas, debe ser miembro del rol Incorporación de Azure Connected Machine. Para leer, modificar, volver a incorporar y eliminar una máquina, debe ser miembro del rol Administrador de recursos de Azure Connected Machine.
  • Microsoft Defender for Cloud puede supervisar sistemas locales, máquinas virtuales de Azure, recursos de Azure Monitor e incluso máquinas virtuales hospedadas por otros proveedores de nube. Habilite Microsoft Defender para servidores para todas las suscripciones que contengan servidores habilitados para Azure Arc, y así poder realizar la supervisión de línea de base de seguridad, la administración de la posición de seguridad y la protección contra amenazas.
  • Microsoft Sentinel puede ayudar a simplificar la recopilación de datos de diferentes orígenes, como Azure, soluciones locales y entre nubes mediante conectores integrados.
  • Puede usar Azure Policy para administrar las directivas de seguridad en los servidores habilitados para Arc, incluida la implementación de directivas de seguridad en Microsoft Defender for Cloud. Una directiva de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o de empresa. Las directivas de Defender for Cloud se basan en las iniciativas de directiva creadas en Azure Policy.
  • Para limitar las extensiones que pueden instalarse en su servidor habilitado para Arc, puede configurar las listas de extensiones que desea permitir y bloquear en el servidor. El administrador de extensiones evaluará todas las solicitudes para instalar o actualizar extensiones con respecto a la lista de permitidos y la lista de bloqueados para decidir si la extensión se puede instalar en el servidor.
  • Azure Private Link le permite vincular de forma segura los servicios PaaS de Azure a la red virtual mediante puntos de conexión privados. Puede conectar servidores locales o de varias nubes con Azure Arc y enviar todo el tráfico a través de Azure ExpressRoute o una conexión VPN de sitio a sitio en lugar de utilizar redes públicas. Puede utilizar un modelo Private Link Scope para permitir que varios servidores o máquinas se comuniquen con sus recursos de Azure Arc utilizando un único punto final privado.
  • Consulte información general sobre la seguridad de los servidores habilitados para Azure Arc para obtener información general sobre las características de seguridad en el servidor habilitado para Azure Arc.
  • Otras consideraciones de seguridad para la solución se describen en la sección principios de diseño de seguridad de Microsoft Azure Well-Architected Framework.

Optimización de costos

  • La funcionalidad del plano de control de Azure Arc se proporciona sin coste adicional. Esto incluye el apoyo a la organización de los recursos a través de los grupos de gestión y las etiquetas de Azure, y el control de acceso a través del control de acceso basado en roles de Azure (RBAC). Los servicios de Azure utilizados conjuntamente con los servidores habilitados para Azure Arc incurren en costes en función de su uso.
  • Consulte Gobernanza de costos para servidores habilitados para Azure Arc para obtener instrucciones adicionales sobre la optimización de costes de Azure Arc.
  • Otras consideraciones de optimización de costes para su solución se describen en la sección Principios de optimización de costes en el marco de Microsoft Azure Well-Architected.
  • Puede usar la calculadora de precios de Azure para calcular los costos.
  • Al implementar la implementación de referencia de ArcBox de Jumpstart para profesionales de TI para esta arquitectura, tenga en cuenta que los recursos de ArcBox generan cargos de consumo de Azure a partir de los recursos de Azure subyacentes. Estos recursos incluyen los servicios básicos de proceso, almacenamiento, redes y auxiliares.

Excelencia operativa

  • Automatice la implementación del entorno de servidores habilitados para Arc. La implementación de referencia de esta arquitectura se automatiza completamente mediante una combinación de plantillas de Azure ARM, extensiones de máquina virtual, configuraciones de Azure Policy y scripts de PowerShell. También puede reutilizar estos artefactos para sus propias implementaciones. Consulte las materias de Automatización para servidores habilitados para Azure Arc para obtener instrucciones de automatización de servidores habilitados para Arc adicionales en la Cloud Adoption Framework (CAF).
  • Hay varias opciones disponibles en Azure para automatizar la incorporación de servidores habilitados para Arc. Para incorporar a escala, utilice un servicio principal y despliegue a través de la plataforma de automatización existente en su organización.
  • Las extensiones de VM pueden desplegarse en servidores habilitados por Arc para simplificar la gestión de los servidores híbridos a lo largo de su ciclo de vida. Considere la posibilidad de automatizar la implementación de extensiones de máquina virtual a través de Azure Policy al administrar servidores a escala.
  • Habilite la gestión de parches y actualizaciones en sus servidores habilitados para Azure Arc para facilitar la gestión del ciclo de vida del sistema operativo.
  • Consulte Casos de uso de operaciones unificadas de Azure Arc Jumpstart para obtener información sobre escenarios de excelencia operativa adicionales para servidores habilitados para Azure Arc.
  • Otras consideraciones de excelencia operativa para la solución se describen en la sección Principios de diseño de excelencia operativa de Microsoft Azure Well-Architected Framework.

Eficiencia del rendimiento

  • Antes de configurar las máquinas con servidores habilitados para Azure Arc, debe revisar los límites de suscripción y los límites del grupo de recursos de Azure Resource Manager para planear el número de máquinas que se van a conectar.
  • Un enfoque de implementación por fases, tal como se describe en la guía de implementación, puede ayudarle a determinar los requisitos de capacidad de recursos para la implementación.
  • Utilice Azure Monitor para recopilar datos directamente de sus servidores habilitados para Azure Arc en un espacio de trabajo de Log Analytics para un análisis y correlación detallados. Revise las opciones de despliegue de los agentes de Azure Monitor.
  • Las consideraciones adicionales sobre la eficiencia del rendimiento de la solución se describen en la sección Principios de eficiencia del rendimiento de Microsoft Azure Well-Architected Framework.

Implementación de este escenario

La implementación de referencia de esta arquitectura se puede encontrar en Jumpstart ArcBox para profesionales de TI, incluidos como parte del proyecto jumpstart de Arc. ArcBox está diseñado para ser completamente independiente dentro de una sola suscripción y grupo de recursos de Azure. ArcBox facilita al usuario la experiencia práctica con toda la tecnología disponible de Azure Arc con nada más que una suscripción a Azure.

Para implementar la implementación de referencia, siga los pasos del repositorio de GitHub seleccionando el botón Jumpstart ArcBox para Profesionales de TI a continuación.

Jumpstart ArcBox para profesionales de TI

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Explore las arquitecturas relacionadas: