Szerkesztés

Megosztás a következőn keresztül:


Az Azure Arc-kompatibilis kiszolgálók konfigurációinak kezelése

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Ez a referenciaarchitektúra bemutatja, hogy az Azure Arc hogyan teszi lehetővé a kiszolgálók helyszíni, többfelhős és peremhálózati forgatókönyvek közötti kezelését, szabályozását és védelmét, és az Azure Arc Jumpstart ArcBox for IT Pros implementáción alapul. Az ArcBox egy olyan megoldás, amely könnyen üzembe helyezhető tesztkörnyezetet biztosít az Azure Arc minden funkciójának. Az ArcBox informatikai szakemberek számára az ArcBox azon felhasználók számára készült verziója, akik szeretnék kihasználni az Azure Arc-kompatibilis kiszolgálók képességeit egy tesztkörnyezetben.

Architektúra

Hibrid Azure Arc-kiszolgálótopológia diagram az Azure-hoz csatlakoztatott Arc-kompatibilis kiszolgálókkal.

Töltse le az architektúra PowerPoint-fájlját.

Összetevők

Az architektúra az alábbi összetevőkből áll:

  • Az Azure-erőforráscsoportok olyan tárolók, amelyek egy Azure-megoldáshoz kapcsolódó erőforrásokat tárolnak. Az erőforráscsoport tartalmazhatja a megoldás összes erőforrását, vagy csak azokat az erőforrásokat, amelyeket Ön egy csoportként szeretne kezelni.
  • Az ArcBox-munkafüzet egy Azure Monitor-munkafüzet, amely egyetlen üvegablakot biztosít az ArcBox-erőforrások monitorozásához és jelentéskészítéséhez. A munkafüzet rugalmas vászonként szolgál az Azure Portalon végzett adatelemzéshez és vizualizációhoz, az ArcBox különböző adatforrásaiból származó információk gyűjtéséhez és egy integrált interaktív felülethez való egyesítéséhez.
  • Az Azure Monitor segítségével nyomon követheti az Azure-ban, a helyszínen vagy más felhőben futó rendszerek teljesítményét és eseményeit.
  • Az Azure Policy vendégkonfigurációja képes az operációs rendszerek és a gépkonfiguráció naplózására a helyszínen vagy más felhőkben futó Azure- és Arc-kompatibilis kiszolgálókon egyaránt.
  • Az Azure Log Analytics egy eszköz az Azure Portalon az Azure Monitor-naplók által gyűjtött adatok napló lekérdezéseinek szerkesztésére és futtatására, valamint az eredmények interaktív elemzésére. Log Analytics-lekérdezésekkel lekérheti az adott feltételeknek megfelelő rekordokat, trendeket azonosíthat, mintázatokat elemezhet, és különböző megállapításokat tehet az adatokról.
  • Felhőhöz készült Microsoft Defender egy felhőbeli biztonsági helyzetkezelési (CSPM) és felhőbeli számítási feladatvédelmi (CWP) megoldás. Felhőhöz készült Microsoft Defender gyenge helyeket talál a felhőkonfigurációban, segít a környezet általános biztonsági helyzetének megerősítésében, és megvédheti a számítási feladatokat a többfelhős és hibrid környezetekben a változó fenyegetésektől.
  • A Microsoft Sentinel egy méretezhető, natív felhőbeli, biztonsági információ- és eseménykezelési (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldás (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésintelligencia-információkat biztosít a vállalaton belül, egyetlen megoldást biztosítva a támadások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.
  • Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik, hogy az Azure-t az Azure-on kívül üzemeltetett Windows- és Linux-gépeihez csatlakoztassa a vállalati hálózaton. Amikor egy kiszolgáló csatlakozik az Azure-hoz, arc-kompatibilis kiszolgálóvá válik, és erőforrásként lesz kezelve az Azure-ban. Minden Arc-kompatibilis kiszolgáló rendelkezik erőforrás-azonosítóval, felügyelt rendszeridentitással, és egy előfizetésen belüli erőforráscsoport részeként van felügyelve. Az Arc-kompatibilis kiszolgálók olyan szabványos Azure-konstrukciók előnyeit élvezhetik, mint a leltár, a szabályzat, a címkék és az Azure Lighthouse.
  • A Hyper-V beágyazott virtualizálást a Jumpstart ArcBox informatikai szakemberek használják Windows Server rendszerű virtuális gépek Azure-beli virtuális gépeken belüli üzemeltetésére. Ez ugyanazt a felületet biztosítja, mint a fizikai Windows Server-gépek használata, de a hardverkövetelmények nélkül.
  • Az Azure Virtual Network egy magánhálózatot biztosít, amely lehetővé teszi az Azure-erőforráscsoporton belüli összetevők közötti kommunikációt, például a virtuális gépeket.

Forgatókönyv részletei

Lehetséges használati esetek

Az architektúra gyakori használati módjai többek között a következők:

  • Virtuális gépek (virtuális gépek) és kiszolgálók nagy csoportjainak rendszerezése, szabályozása és leltározása több környezetben.
  • A szervezeti szabványok érvénybe léptetése és a megfelelőség felmérése az összes erőforrásra vonatkozóan bárhol az Azure Policy használatával.
  • A támogatott virtuálisgép-bővítmények egyszerűen üzembe helyezhetők az Arc-kompatibilis kiszolgálókon.
  • Az Azure Policy konfigurálása és kényszerítése több környezetben üzemeltetett virtuális gépekhez és kiszolgálókhoz.

Ajánlások

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Az Azure Arc csatlakoztatott gép ügynökének konfigurálása

Bármely más, Windowst vagy Linuxot futtató fizikai vagy virtuális gépet csatlakoztathat az Azure Archoz. A gépek előkészítése előtt mindenképpen végezze el a csatlakoztatott gépügynök előfeltételeit, amely magában foglalja az Azure-erőforrás-szolgáltatók regisztrálását az Azure Arc-kompatibilis kiszolgálókhoz. Ha az Azure Arc használatával szeretné csatlakoztatni a gépet az Azure-hoz, telepítenie kell az Azure Connected Machine-ügynököt minden olyan gépen, amelyet az Azure Arc használatával szeretne csatlakoztatni. További információ: Az Azure Arc-kompatibilis kiszolgálóügynök áttekintése.

A konfigurálás után a Csatlakoztatott gép ügynök öt percenként rendszeres szívverési üzenetet küld az Azure-nak. Ha a szívverés nem érkezik meg, az Azure offline állapotot rendel a géphez, amely 15–30 percen belül megjelenik a portálon. Ha egy későbbi szívverési üzenetet kap a csatlakoztatott gép ügynökétől, az állapota automatikusan Csatlakoztatva állapotúra változik.

Az Azure-ban számos lehetőség áll rendelkezésre a Windows- és Linux-gépek csatlakoztatására:

  • Manuális telepítés: Az Azure Arc-kompatibilis kiszolgálók egy vagy több Windows- vagy Linux-gép számára engedélyezhetők a környezetben a Windows Felügyeleti központ eszközkészletével vagy egy lépéskészlet manuális végrehajtásával.
  • Szkriptalapú telepítés: Automatizált ügynöktelepítést az Azure Portalról letöltött sablonszkript futtatásával hajthat végre.
  • Nagy léptékű gépek csatlakoztatása egyszerű szolgáltatásnévvel: A nagy léptékű előkészítéshez használjon egyszerű szolgáltatást, és helyezze üzembe a szervezet meglévő automatizálásán keresztül.
  • Telepítés a Windows PowerShell DSC használatával

A rendelkezésre álló különböző üzembehelyezési lehetőségek átfogó dokumentációját az Azure Connected Machine-ügynök üzembe helyezési lehetőségeiben találja.

Az Azure Policy vendégkonfigurációjának engedélyezése

Az Azure Arc-kompatibilis kiszolgálók támogatják az Azure Policyt az Azure erőforrás-kezelési rétegében, valamint az egyes kiszolgálói gépeken vendégkonfigurációs szabályzatokat használva. Az Azure Policy vendégkonfigurációja képes a gép beállításainak naplózására mind az Azure-ban, mind az Arc-kompatibilis kiszolgálókon futó gépeken. Naplózhatja például a következő beállításokat:

  • Az operációs rendszer konfigurációja
  • Alkalmazás konfigurációja vagy jelenléte
  • Környezeti beállítások

Az Azure Arc számos beépített Azure Policy-definíciót tartalmaz. Ezek a szabályzatok naplózási és konfigurációs beállításokat biztosítanak Mind a Windows, mind a Linux rendszerű gépekhez.

Az Azure Update Manager engedélyezése

Update Manager. Frissítéskezelést kell alkalmaznia az Arc-kompatibilis kiszolgálókhoz. Az Update Manager használata javasolt az operációs rendszer frissítéseinek kezeléséhez és az összes ügynökgépen elérhető frissítések állapotának felméréséhez. Az Update Managert a kiszolgálókhoz szükséges frissítések telepítésének folyamatának kezelésére is használni kell.

változáskövetés és leltározás. Az Arc-kompatibilis kiszolgálókhoz készült Azure Automation változáskövetés és leltározás lehetővé teszi annak meghatározását, hogy milyen szoftverek vannak telepítve a környezetben. A szoftverekkel, fájlokkal, Linux démonokkal, Windows-szolgáltatásokkal és Windows beállításkulcsokkal kapcsolatos leltárt gyűjthet és figyelhet meg. A gépek konfigurációjának nyomon követésével megtalálhatja a környezetben felmerülő működési problémákat, és alaposabban megismerheti a gépek állapotát.

Azure Arc-kompatibilis kiszolgálók monitorozása

Az Azure Monitor használatával nagy méretekben monitorozhatja a virtuális gépeket, a virtuálisgép-méretezési csoportokat és az Azure Arc-gépeket. Az Azure Monitor elemzi a Windows- és Linux rendszerű virtuális gépek teljesítményét és állapotát, valamint figyeli azok folyamatait és függőségeit más erőforrásoktól és külső folyamatoktól. A helyszínen vagy másik felhőszolgáltatónál futtatott virtuális gépek teljesítménye és alkalmazásfüggőségei monitorozásának támogatását is tartalmazza.

Az Azure Monitor-ügynököket automatikusan üzembe kell helyezni az Azure Arc-kompatibilis Windows- és Linux-kiszolgálókon az Azure Policy használatával. Tekintse át és ismerje meg a Log Analytics-ügynök működését, és gyűjti az adatokat az üzembe helyezés előtt.

Tervezze meg és tervezze meg a Log Analytics-munkaterület üzembe helyezését. Ez lesz az a tároló, ahol az adatokat összegyűjtik, összesítik és később elemzik. A Log Analytics-munkaterületek az adatok földrajzi helyét, az adatelkülönítést és az olyan konfigurációk hatókörét jelölik, mint az adatmegőrzés. Használjon egyetlen Azure Monitor Log Analytics-munkaterületet a felhőadaptálási keretrendszer felügyeleti és monitorozási ajánlott eljárásaiban leírtak szerint.

Az Azure Arc-kompatibilis kiszolgálók védelme

Az Azure RBAC használatával szabályozhatja és kezelheti az Azure Arc-kompatibilis kiszolgálók felügyelt identitásainak engedélyeit, és rendszeres hozzáférési felülvizsgálatokat végezhet ezekhez az identitásokhoz. A kiemelt felhasználói szerepkörök szabályozásával elkerülhető, hogy a rendszer által felügyelt identitásokkal visszaéljenek az Azure-erőforrásokhoz való jogosulatlan hozzáférés érdekében.

Fontolja meg az Azure Key Vault használatát az Azure Arc-kompatibilis kiszolgálók tanúsítványainak kezeléséhez. A Key Vault virtuálisgép-bővítmény lehetővé teszi a tanúsítvány életciklusának kezelését Windows és Linux rendszerű gépeken.

Azure Arc-kompatibilis kiszolgálók csatlakoztatása Felhőhöz készült Microsoft Defender. Ez segít a biztonsággal kapcsolatos konfigurációk és eseménynaplók gyűjtésében, hogy műveleteket javasoljon, és javítsa az Azure általános biztonsági helyzetét.

Azure Arc-kompatibilis kiszolgálók csatlakoztatása a Microsoft Sentinelhez. Így megkezdheti a biztonsággal kapcsolatos események gyűjtését, és megkezdheti azok más adatforrásokkal való korrelálását.

Hálózati topológia ellenőrzése

A Linuxhoz és Windowshoz készült Csatlakoztatott gép ügynök biztonságosan kommunikál a kimenő adatokkal az Azure Arc felé a 443-es TCP-porton keresztül. A Csatlakoztatott gép ügynök a következő módszerekkel tud csatlakozni az Azure vezérlősíkhoz:

Az Arc-kompatibilis kiszolgálók implementálásával kapcsolatos átfogó hálózati útmutatásért tekintse meg az Azure Arc-kompatibilis kiszolgálók hálózati topológiáját és kapcsolatát.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Megbízhatóság

  • A legtöbb esetben a telepítési szkript létrehozásakor kiválasztott helynek a számítógép helyéhez földrajzilag legközelebbi Azure-régiónak kell lennie. A többi adat az Ön által megadott régiót tartalmazó Azure-beli földrajzi helyen lesz tárolva, ami hatással lehet a régió kiválasztására is, ha rendelkezik adattárolási követelményekkel. Ha egy üzemkimaradás hatással van arra az Azure-régióra, amelyhez a gép csatlakozik, a kimaradás nem érinti az Arc-kompatibilis kiszolgálót. Előfordulhat azonban, hogy az Azure-t használó felügyeleti műveletek nem érhetők el.
  • Ha több földrajzilag redundáns szolgáltatást biztosító telephelye van, a legjobb, ha az egyes helyeken lévő gépeket egy másik Azure-régióhoz csatlakoztatja, hogy regionális kimaradás esetén rugalmasságot biztosítson.
  • Ha az Azure-hoz csatlakoztatott gépügynök nem küld szívveréseket az Azure-ba, vagy offline állapotba kerül, akkor nem fog tudni operatív feladatokat végrehajtani rajta. Ezért ki kell dolgozni egy tervet az értesítésekhez és a válaszokhoz.
  • Állítson be erőforrás-állapotriasztásokat , hogy közel valós időben értesüljenek arról, ha az erőforrások állapota megváltozik. És definiáljon egy monitorozási és riasztási szabályzatot az Azure Policyban, amely azonosítja a nem megfelelő Azure Arc-kompatibilis kiszolgálókat.
  • Kiterjesztheti aktuális biztonsági mentési megoldását az Azure-ban, vagy egyszerűen konfigurálhatja az alkalmazásfüggő replikálást és alkalmazáskonzisztens biztonsági mentést, amely az üzleti igények alapján méretezhető. Az Azure Backup és az Azure Site Recovery központosított felügyeleti felülete egyszerűvé teszi az Arc-kompatibilis Windows- és Linux-kiszolgálók natív védelmére, monitorozására és kezelésére szolgáló szabályzatok meghatározását.
  • Tekintse át az üzletmenet-folytonossági és vészhelyreállítási útmutatót annak megállapításához, hogy teljesülnek-e a vállalati követelmények.
  • A megoldás egyéb megbízhatósági szempontjait a Microsoft Azure Well-Architected Framework megbízhatósági tervezési alapelvei című szakasza ismerteti.

Biztonság

  • A megfelelő Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) arc-kompatibilis kiszolgálókhoz kell felügyelni. A gépek előkészítéséhez az Azure Connected Machine Onboarding szerepkör tagjának kell lennie. Egy gép olvasásához, módosításához, újbóli előkészítéséhez és törléséhez az Azure Connected Machine Resource Administrator szerepkör tagjának kell lennie.
  • Felhőhöz készült Microsoft Defender figyelheti a helyszíni rendszereket, az Azure-beli virtuális gépeket, az Azure Monitor-erőforrásokat és a más felhőszolgáltatók által üzemeltetett virtuális gépeket is. Engedélyezze a Microsoft Defendert az Azure Arc-kompatibilis kiszolgálókat tartalmazó összes előfizetés kiszolgálói számára a biztonsági alapkonfiguráció monitorozásához, a biztonsági helyzet kezeléséhez és a veszélyforrások elleni védelemhez.
  • A Microsoft Sentinel segíthet leegyszerűsíteni az adatgyűjtést különböző forrásokban, például az Azure-ban, a helyszíni megoldásokban és a felhőkben, beépített összekötőkkel.
  • Az Azure Policy használatával biztonsági szabályzatokat kezelhet az Arc-kompatibilis kiszolgálókon, beleértve a biztonsági szabályzatok implementálását Felhőhöz készült Microsoft Defender. A biztonsági szabályzat meghatározza a számítási feladatok kívánt konfigurációját, és segít biztosítani, hogy megfeleljen a vállalat vagy a szabályozók biztonsági követelményeinek. Felhőhöz készült Defender szabályzatok az Azure Policyban létrehozott házirend-kezdeményezéseken alapulnak.
  • Ha korlátozni szeretné, hogy mely bővítmények telepíthetők az Arc-kompatibilis kiszolgálón, konfigurálhatja az engedélyezni és letiltani kívánt bővítmények listáját a kiszolgálón. A bővítménykezelő kiértékeli a bővítmények telepítésére, frissítésére vagy frissítésére vonatkozó összes kérést az engedélyezési listán és a tiltólistán annak megállapításához, hogy a bővítmény telepíthető-e a kiszolgálón.
  • Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások biztonságos csatlakoztatását a virtuális hálózathoz privát végpontok használatával. A helyszíni vagy többfelhős kiszolgálókat csatlakoztathatja az Azure Archoz, és a nyilvános hálózatok használata helyett az Azure ExpressRoute-on vagy a helyek közötti VPN-kapcsolaton keresztül küldheti el az összes forgalmat. A Private Link Scope modellel több kiszolgáló vagy gép is kommunikálhat az Azure Arc-erőforrásaikkal egyetlen privát végpont használatával.
  • Az Azure Arc-kompatibilis kiszolgálók biztonsági áttekintésével átfogó áttekintést kaphat az Azure Arc-kompatibilis kiszolgálók biztonsági funkcióiról.
  • A megoldás egyéb biztonsági szempontjait a Microsoft Azure Well-Architected Framework biztonsági tervezési alapelvei című szakasza ismerteti.

Költségoptimalizálás

  • Az Azure Arc vezérlősík funkciói külön költség nélkül érhetők el. Ez magában foglalja az erőforrás-szervezet azure-beli felügyeleti csoportokon és címkéken keresztüli támogatását, valamint az Azure szerepköralapú hozzáférés-vezérlésén (RBAC) keresztüli hozzáférés-vezérlést. Az Azure Arc-kompatibilis kiszolgálókhoz kapcsolódó Azure-szolgáltatások használatuknak megfelelően költségekkel járnak.
  • További Azure Arc-költségoptimalizálási útmutatásért tekintse meg az Azure Arc-kompatibilis kiszolgálók költségszabályozását.
  • A megoldás egyéb költségoptimalizálási szempontjait a Microsoft Azure Well-Architected Framework költségoptimalizálási alapelvei című szakasza ismerteti.
  • Az Azure díjkalkulátorával megbecsülheti költségeit.
  • Az architektúra Jumpstart ArcBox for IT Pros referencia-implementációjának üzembe helyezésekor vegye figyelembe, hogy az ArcBox-erőforrások azure-használati díjakat hoznak létre az alapul szolgáló Azure-erőforrásokból. Ezek az erőforrások közé tartoznak az alapvető számítási, tárolási, hálózatkezelési és kiegészítő szolgáltatások.

Működés eredményessége

  • Automatizálhatja az Arc-kompatibilis kiszolgálók környezetének üzembe helyezését. Az architektúra referencia-implementációja teljes mértékben automatizált az Azure ARM-sablonok, virtuálisgép-bővítmények, Azure Policy-konfigurációk és PowerShell-szkriptek kombinációjával. Ezeket az összetevőket saját üzemelő példányaihoz is felhasználhatja. Az Azure Arc-kompatibilis kiszolgálók automatizálási szemléleteiért tekintse meg az Felhőadaptálási keretrendszer (CAF) további, Arc-kompatibilis kiszolgálók automatizálási útmutatóját.
  • Az Azure-ban számos lehetőség áll rendelkezésre az Arc-kompatibilis kiszolgálók előkészítésének automatizálására. A nagy léptékű előkészítéshez használjon egyszerű szolgáltatást, és helyezze üzembe a szervezet meglévő automatizálási platformján keresztül.
  • A virtuálisgép-bővítmények az Arc-kompatibilis kiszolgálókon helyezhetők üzembe a hibrid kiszolgálók teljes életciklusuk során történő felügyeletének egyszerűsítése érdekében. Fontolja meg a virtuálisgép-bővítmények Azure Policyn keresztüli üzembe helyezésének automatizálását a kiszolgálók nagy léptékű kezelésekor.
  • Az operációs rendszer életciklus-felügyeletének megkönnyítése érdekében engedélyezze a javítás- és frissítéskezelést a beépített Azure Arc-kompatibilis kiszolgálókon.
  • Tekintse át az Azure Arc Jumpstart Egyesített műveletek használati eseteit , és ismerje meg az Azure Arc-kompatibilis kiszolgálók további működési kiválósági forgatókönyveit.
  • A megoldáshoz kapcsolódó egyéb működési kiválósági szempontokat a Microsoft Azure Well-Architected Framework működési kiválósági tervezési alapelvei című szakasza ismerteti.

Teljesítmény hatékonysága

A forgatókönyv üzembe helyezése

Az architektúra referencia-implementációja az ArcBox for IT-szakemberek számára készült Jumpstart ArcBoxban található, az Arc Jumpstart projekt részeként. Az ArcBox úgy lett kialakítva, hogy teljesen önálló legyen egyetlen Azure-előfizetésben és erőforráscsoportban. Az ArcBox megkönnyíti a felhasználók számára, hogy gyakorlati tapasztalatot szerezzenek az összes elérhető Azure Arc-technológiával kapcsolatban, amely nem más, mint egy elérhető Azure-előfizetés.

A referencia-implementáció üzembe helyezéséhez kövesse a GitHub-adattár lépéseit az alábbi Jumpstart ArcBox for IT Pros gombra kattintva.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

Ismerkedjen meg a kapcsolódó architektúrákkal: