Mengelola konfigurasi untuk server dengan dukungan Azure Arc

Arsitektur referensi ini menggambarkan bagaimana Azure Arc memungkinkan Anda mengelola, mengatur, dan mengamankan server di seluruh skenario lokal, multicloud, dan edge, dan didasarkan pada implementasi Azure Arc Jumpstart ArcBox for IT Pros . ArcBox adalah solusi yang menyediakan kotak pasir yang mudah disebarkan untuk semua hal Azure Arc. ArcBox for IT Pros adalah versi ArcBox yang ditujukan untuk pengguna yang ingin mengalami kemampuan server dengan dukungan Azure Arc di lingkungan kotak pasir.

Arsitektur

Unduh file PowerPoint arsitektur ini.

Komponen

Arsitektur terdiri dari komponen-komponen berikut:

• Grup Sumber Daya Azure adalah kontainer yang menyimpan sumber daya terkait untuk solusi Azure. Grup sumber daya dapat menyertakan semua sumber daya untuk solusi, atau hanya sumber daya yang ingin Anda kelola sebagai grup.
• Buku kerja ArcBox adalah buku kerja Azure Monitor, yang menyediakan satu panel kaca untuk pemantauan dan pelaporan pada sumber daya ArcBox. Buku kerja bertindak sebagai kanvas fleksibel untuk analisis dan visualisasi data di portal Azure, mengumpulkan informasi dari beberapa sumber data dari seluruh ArcBox dan menggabungkannya ke dalam pengalaman interaktif terintegrasi.
• Azure Monitor memungkinkan Anda melacak performa dan peristiwa untuk sistem yang berjalan di Azure, lokal, atau di cloud lainnya.
• Konfigurasi tamu Azure Policy dapat mengaudit sistem operasi dan konfigurasi mesin baik untuk komputer yang berjalan di server yang didukung Azure dan Arc yang berjalan di lokal atau di cloud lainnya.
• Microsoft Azure Log Analytics adalah alat di portal Microsoft Azure untuk mengedit dan menjalankan kueri log dari data yang dikumpulkan oleh Log Azure Monitor serta menganalisis hasilnya secara interaktif. Anda dapat menggunakan kueri Log Analytics untuk mengambil rekaman yang cocok dengan kriteria tertentu, mengidentifikasi tren, menganalisis pola, dan memberikan berbagai wawasan tentang data Anda.
• Microsoft Defender untuk Cloud adalah solusi manajemen postur keamanan cloud (CSPM) dan perlindungan beban kerja cloud (CWP). Microsoft Defender untuk Cloud menemukan titik lemah di seluruh konfigurasi cloud Anda, membantu memperkuat postur keamanan keseluruhan lingkungan Anda, dan dapat melindungi beban kerja di seluruh lingkungan multicloud dan hibrid dari ancaman yang berkembang.
• Microsoft Sentinel adalah informasi keamanan dan manajemen peristiwa (SIEM) yang scalable dan cloud-native serta solusi orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Sentinel memberikan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan, memberikan solusi tunggal untuk deteksi serangan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.
• Server berkemampuan Azure Arc memungkinkan Anda menyambungkan Azure ke komputer Windows dan Linux yang dihosting di luar Azure di jaringan perusahaan Anda. Saat server tersambung ke Azure, server tersebut menjadi server berkemampuan Arc dan diperlakukan sebagai sumber daya di Azure. Setiap server berkemampuan Arc memiliki ID Sumber Daya, identitas sistem terkelola, dan dikelola sebagai bagian dari grup sumber daya di dalam langganan. Server berkemampuan Arc mendapat manfaat dari konstruksi Azure standar seperti inventarisasi, kebijakan, tag, dan Azure Lighthouse.
• Virtualisasi berlapis Hyper-V digunakan oleh Jumpstart ArcBox untuk IT Pros untuk menghosting komputer virtual Windows Server di dalam komputer virtual Azure. Ini memberikan pengalaman yang sama seperti menggunakan komputer Windows Server fisik, tetapi tanpa persyaratan perangkat keras.
• Azure Virtual Network menyediakan jaringan privat yang memungkinkan komponen dalam Grup Sumber Daya Azure berkomunikasi, seperti komputer virtual.

Detail skenario

Kemungkinan kasus penggunaan

Penggunaan umum untuk arsitektur ini meliputi:

• Mengatur, mengelola, dan menginventarisasi kelompok besar mesin virtual (VM) dan server di berbagai lingkungan.
• Terapkan standar organisasi dan nilai kepatuhan dalam skala besar untuk semua sumber daya Anda di mana saja dengan Azure Policy.
• Menyebarkan ekstensi VM yang didukung dengan mudah ke server berkemampuan Arc.
• Mengonfigurasi dan menerapkan Azure Policy untuk VM dan server yang dihosting di beberapa lingkungan.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Mengonfigurasi agen Azure Arc Koneksi ed Machine

Anda dapat menyambungkan komputer fisik atau virtual lain yang menjalankan Windows atau Linux ke Azure Arc. Sebelum onboarding mesin, pastikan untuk menyelesaikan prasyarat agen mesin yang Koneksi, yang mencakup mendaftarkan penyedia sumber daya Azure untuk server dengan dukungan Azure Arc. Untuk menggunakan Azure Arc untuk menyambungkan komputer ke Azure, Anda perlu menginstal agen Azure Koneksi ed Machine pada setiap komputer yang Anda rencanakan untuk terhubung menggunakan Azure Arc. Untuk informasi selengkapnya, lihat Gambaran Umum agen server dengan dukungan Azure Arc.

Setelah dikonfigurasi, agen Connected Machine mengirimkan pesan heartbeat reguler setiap lima menit ke Azure. Saat heartbeat tidak diterima, Azure menetapkan status Offline mesin, yang tercermin di portal dalam waktu 15 hingga 30 menit. Setelah menerima pesan heartbeat berikutnya dari agen Connected Machine, statusnya akan secara otomatis berubah menjadi Connected.

Ada beberapa opsi yang tersedia di Azure untuk menyambungkan komputer Windows dan Linux Anda:

• Penginstalan manual: Server berkemampuan Azure Arc dapat diaktifkan untuk satu atau beberapa komputer Windows atau Linux di lingkungan Anda dengan menggunakan set alat Pusat Admin Windows atau dengan melakukan serangkaian langkah secara manual.
• Penginstalan berbasis skrip: Anda dapat melakukan penginstalan agen otomatis dengan menjalankan skrip templat yang Anda unduh dari portal Azure.
• Koneksi mesin dalam skala besar menggunakan perwakilan layanan: Untuk onboard dalam skala besar, gunakan perwakilan layanan dan sebarkan melalui otomatisasi yang ada organisasi Anda.
• Penginstalan menggunakan DSC Windows PowerShell

Lihat opsi penyebaran agen Azure Koneksi ed Machine untuk dokumentasi komprehensif tentang berbagai opsi penyebaran yang tersedia.

Mengaktifkan konfigurasi tamu Azure Policy

Server dengan dukungan Azure Arc mendukung Azure Policy di lapisan manajemen sumber daya Azure, dan juga dalam masing-masing komputer server menggunakan kebijakan konfigurasi tamu. Konfigurasi tamu Azure Policy dapat mengaudit pengaturan di dalam komputer, baik untuk komputer yang berjalan di server yang didukung Azure maupun Arc. Misalnya, Anda dapat mengaudit pengaturan seperti:

• Konfigurasi sistem operasi
• Konfigurasi aplikasi atau kehadiran
• Pengaturan lingkungan

Ada beberapa definisi bawaan Azure Policy untuk Azure Arc. Kebijakan ini menyediakan pengaturan audit dan konfigurasi untuk mesin berbasis Windows dan Linux.

Mengaktifkan Azure Update Management

Perbarui Manajemen. Anda dapat melakukan manajemen pembaruan untuk server berkemampuan Arc. Manajemen pembaruan di Azure Automation memungkinkan Anda mengelola pembaruan sistem operasi dan dengan cepat menilai status pembaruan yang tersedia di semua mesin agen. Anda juga dapat mengelola proses pemasangan pembaruan yang diperlukan untuk server.

Mengubah Penelusuran dan Inventaris. Pelacakan Perubahan dan Inventarisasi Azure Automation untuk server berkemampuan Arc memungkinkan Anda menentukan perangkat lunak apa yang diinstal di lingkungan Anda. Anda dapat mengumpulkan dan mengamati inventori untuk perangkat lunak, file, daemon Linux, layanan Windows, dan kunci Windows Registry. Melacak konfigurasi komputer dapat membantu menentukan masalah operasional di lingkungan Anda dan lebih memahami keadaan komputer Anda.

Memantau server dengan dukungan Azure Arc

Anda dapat menggunakan Azure Monitor untuk memantau VM, set timbangan mesin virtual, dan mesin Azure Arc dalam skala besar. Azure Monitor menganalisis performa dan kesehatan VM Windows dan Linux Anda, serta memantau proses dan dependensinya pada sumber daya lain dan proses eksternal. Dukungan juga diberikan untuk memantau kinerja dan dependensi aplikasi untuk VM yang dihosting lokal atau di penyedia cloud lain.

Agen Azure Monitor harus secara otomatis disebarkan ke server Windows dan Linux dengan dukungan Azure Arc, melalui Azure Policy. Tinjau dan pahami bagaimana agen Analitik Log beroperasi dan mengumpulkan data sebelum penyebaran.

Desain dan rencanakan penyebaran ruang kerja Analitik Log Anda. Ini akan menjadi kontainer tempat data dikumpulkan, diagregasi, dan kemudian dianalisis. Ruang kerja Analitik Log mewakili lokasi geografis data, isolasi data, dan cakupan untuk konfigurasi seperti retensi data. Gunakan satu ruang kerja Azure Monitor Log Analytics seperti yang dijelaskan dalam manajemen dan pemantauan praktik terbaik Cloud Adoption Framework.

Mengamankan server dengan dukungan Azure Arc

Gunakan Azure RBAC untuk mengontrol dan mengelola izin untuk identitas terkelola server yang didukung Azure Arc dan melakukan tinjauan akses berkala untuk identitas ini. Kontrol peran pengguna istimewa untuk menghindari identitas yang dikelola sistem yang disalahgunakan untuk mendapatkan akses tidak sah ke sumber daya Azure.

Pertimbangkan untuk menggunakan Azure Key Vault untuk mengelola sertifikat di server dengan dukungan Azure Arc Anda. Ekstensi VM brankas kunci memungkinkan Anda mengelola siklus hidup sertifikat pada komputer Windows dan Linux.

Koneksi server dengan dukungan Azure Arc untuk Microsoft Defender untuk Cloud. Ini membantu Anda mulai mengumpulkan konfigurasi terkait keamanan dan log peristiwa sehingga Anda dapat merekomendasikan tindakan dan meningkatkan postur keamanan Azure Anda secara keseluruhan.

Koneksi server dengan dukungan Azure Arc ke Microsoft Azure Sentinel. Hal ini memungkinkan Anda untuk mulai mengumpulkan peristiwa terkait keamanan dan mulai menghubungkannya dengan sumber data lain.

Memvalidasi topologi jaringan

Agen Connected Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Agen Komputer yang Koneksi dapat tersambung ke sarana kontrol Azure menggunakan metode berikut:

• Koneksi langsung ke titik akhir publik Azure, secara opsional dari belakang firewall atau server proksi.
• Azure Private Link menggunakan model Private Link Scope untuk memungkinkan beberapa server atau mesin berkomunikasi dengan sumber daya Azure Arc mereka menggunakan satu titik akhir privat.

Lihat Topologi jaringan dan konektivitas untuk server berkemampuan Azure Arc untuk panduan jaringan komprehensif untuk implementasi server berkemampuan Arc Anda.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

• Dalam kebanyakan kasus, lokasi yang Anda pilih saat membuat skrip penginstalan harus menjadi wilayah Azure yang paling dekat secara geografis dengan lokasi komputer Anda. Sisa data akan disimpan dalam geografi Azure yang berisi wilayah yang Anda tentukan, yang mungkin juga memengaruhi pilihan wilayah Anda jika Anda memiliki persyaratan residensi data. Jika pemadaman memengaruhi wilayah Azure tempat komputer Anda tersambung, pemadaman tidak akan memengaruhi server yang diaktifkan Arc. Namun, operasi manajemen menggunakan Azure mungkin tidak tersedia.
• Jika Anda memiliki beberapa lokasi yang menyediakan layanan redundan geografis, yang terbaik adalah menghubungkan komputer di setiap lokasi ke wilayah Azure yang berbeda untuk ketahanan jika terjadi pemadaman regional.
• Jika agen mesin yang terhubung dengan Azure berhenti mengirim heartbeat ke Azure, atau offline, Anda tidak akan dapat melakukan tugas operasional di atasnya. Oleh karena itu, perlu untuk mengembangkan rencana untuk pemberitahuan dan respons.
• Siapkan pemberitahuan kesehatan sumber daya untuk mendapatkan pemberitahuan mendekati real-time saat sumber daya memiliki perubahan status kesehatannya. Dan tentukan kebijakan pemantauan dan pemberitahuan di Azure Policy yang mengidentifikasi server dengan dukungan Azure Arc yang tidak sehat.
• Perluas solusi pencadangan Anda saat ini ke Azure, atau konfigurasikan replikasi berbasis aplikasi dan pencadangan konsisten aplikasi kami dengan mudah yang diskalakan berdasarkan kebutuhan bisnis Anda. Antarmuka manajemen terpusat untuk Azure Backup dan Azure Site Recovery memudahkan untuk menentukan kebijakan untuk melindungi, memantau, dan mengelola server Windows dan Linux dengan dukungan Arc Anda secara asli.
• Tinjau panduan kelangsungan bisnis dan pemulihan bencana untuk menentukan apakah persyaratan perusahaan Anda terpenuhi.
• Pertimbangan keandalan lainnya untuk solusi Anda dijelaskan di bagian prinsip desain keandalan di Microsoft Azure Well-Architected Framework.

Keamanan

• Kontrol akses berbasis peran Azure (Azure RBAC) yang sesuai harus dikelola untuk server berkemampuan Arc. Untuk me-onboard mesin, Anda harus menjadi anggota peran Azure Connected Machine Onboarding. Untuk membaca, memodifikasi, me-onboard ulang, dan menghapus mesin, Anda harus menjadi anggota peran Azure Connected Machine Resource Administrator.
• Microsoft Defender untuk Cloud dapat memantau sistem lokal, VM Azure, sumber daya Azure Monitor, dan bahkan VM yang dihosting oleh penyedia cloud lainnya. Aktifkan Pertahanan Microsoft untuk server untuk semua langganan yang berisi server dengan dukungan Azure Arc untuk pemantauan garis besar keamanan, manajemen postur keamanan, dan perlindungan ancaman.
• Microsoft Sentinel dapat membantu menyederhanakan pengumpulan data di berbagai sumber, termasuk Azure, solusi lokal, dan lintas cloud menggunakan konektor bawaan.
• Anda dapat menggunakan Azure Policy untuk mengelola kebijakan keamanan di seluruh server dengan dukungan Arc, termasuk menerapkan kebijakan keamanan di Microsoft Defender untuk Cloud. Kebijakan keamanan menentukan konfigurasi beban kerja Anda yang diinginkan dan membantu memastikan Anda mematuhi persyaratan keamanan perusahaan atau regulator Anda. Kebijakan Defender untuk Cloud didasarkan pada inisiatif kebijakan yang dibuat di Azure Policy.
• Untuk membatasi ekstensi mana yang dapat diinstal di server berkemampuan Arc, Anda dapat mengonfigurasi daftar ekstensi yang ingin Anda izinkan dan blokir di server. Manajer ekstensi akan mengevaluasi semua permintaan untuk menginstal, memperbarui, atau meningkatkan ekstensi terhadap daftar yang diizinkan dan daftar blokir untuk menentukan apakah ekstensi dapat diinstal di server.
• Azure Private Link memungkinkan Anda menautkan layanan Azure PaaS dengan aman ke jaringan virtual Anda menggunakan titik akhir privat. Anda dapat menyambungkan server lokal atau multicloud Anda dengan Azure Arc dan mengirim semua lalu lintas melalui Azure ExpressRoute atau koneksi VPN situs-ke-situs alih-alih menggunakan jaringan publik. Anda dapat menggunakan model Private Link Scope untuk memungkinkan beberapa server atau mesin berkomunikasi dengan sumber daya Azure Arc mereka menggunakan satu titik akhir privat.
• Lihat gambaran umum keamanan server dengan dukungan Azure Arc untuk gambaran umum komprehensif tentang fitur keamanan di server dengan dukungan Azure Arc.
• Pertimbangan keamanan lainnya untuk solusi Anda dijelaskan di bagian prinsip desain keamanan di Microsoft Azure Well-Architected Framework.

Pengoptimalan biaya

• Fungsionalitas sarana kontrol Azure Arc disediakan tanpa biaya tambahan. Ini termasuk dukungan untuk organisasi sumber daya melalui grup dan tag manajemen Azure, dan kontrol akses melalui kontrol akses berbasis peran (RBAC) Azure. Layanan Azure yang digunakan bersama dengan server dengan dukungan Azure Arc dikenakan biaya sesuai dengan penggunaannya.
• Lihat Tata kelola biaya untuk server berkemampuan Azure Arc untuk panduan pengoptimalan biaya Azure Arc tambahan.
• Pertimbangan pengoptimalan biaya lainnya untuk solusi Anda dijelaskan di bagian Prinsip pengoptimalan biaya di Microsoft Azure Well-Architected Framework.
• Gunakan kalkulator harga Azure untuk memperkirakan biaya.
• Saat menyebarkan implementasi referensi Jumpstart ArcBox for IT Pros untuk arsitektur ini, perlu diingat sumber daya ArcBox menghasilkan biaya Konsumsi Azure dari sumber daya Azure yang mendasar. Sumber daya ini termasuk komputasi inti, penyimpanan, jaringan, dan layanan tambahan.

Keunggulan operasional

• Mengotomatiskan penyebaran lingkungan server berkemampuan Arc Anda. Implementasi referensi arsitektur ini sepenuhnya otomatis menggunakan kombinasi templat Azure ARM, ekstensi VM, konfigurasi Azure Policy, dan skrip PowerShell. Anda juga dapat menggunakan kembali artefak ini untuk penyebaran Anda sendiri. Lihat disiplin Automation untuk server berkemampuan Azure Arc untuk panduan otomatisasi server berkemampuan Arc tambahan dalam Cloud Adoption Framework (CAF).
• Ada beberapa opsi yang tersedia di Azure untuk mengotomatiskan onboarding server yang diaktifkan Arc. Untuk onboarding dalam skala besar, gunakan perwakilan layanan dan sebarkan melalui platform otomatisasi yang ada organisasi Anda.
• Ekstensi VM dapat disebarkan ke server berkemampuan Arc untuk menyederhanakan manajemen server hibrid sepanjang siklus hidupnya. Pertimbangkan untuk mengotomatiskan penyebaran ekstensi VM melalui Azure Policy saat mengelola server dalam skala besar.
• Aktifkan patch dan Manajemen Pembaruan di server berkemampuan Azure Arc onboarding Anda untuk memudahkan manajemen siklus hidup OS.
• Tinjau Kasus Penggunaan Operasi Terpadu Jumpstart Azure Arc untuk mempelajari tentang skenario keunggulan operasional tambahan untuk server dengan dukungan Azure Arc.
• Pertimbangan keunggulan operasional lainnya untuk solusi Anda dijelaskan di bagian Prinsip desain keunggulan operasional di Microsoft Azure Well-Architected Framework.

Efisiensi kinerja

• Sebelum mengonfigurasi komputer Anda dengan server berkemampuan Azure Arc, Anda harus meninjau batas langganan Azure Resource Manager dan batas grup sumber daya untuk merencanakan jumlah komputer yang akan disambungkan.
• Pendekatan penyebaran bertahap seperti yang dijelaskan dalam panduan penyebaran dapat membantu Anda menentukan persyaratan kapasitas sumber daya untuk implementasi Anda.
• Gunakan Azure Monitor untuk mengumpulkan data langsung dari server berkemampuan Azure Arc Anda ke ruang kerja Log Analytics untuk analisis dan korelasi terperinci. Tinjau opsi penyebaran untuk agen Azure Monitor.
• Pertimbangan efisiensi performa tambahan untuk solusi Anda dijelaskan di bagian Prinsip efisiensi performa di Microsoft Azure Well-Architected Framework.

Menyebarkan skenario ini

Implementasi referensi arsitektur ini dapat ditemukan di Jumpstart ArcBox untuk PRO IT, termasuk sebagai bagian dari proyek Arc Jumpstart . ArcBox dirancang untuk sepenuhnya mandiri dalam satu langganan Azure dan grup sumber daya. ArcBox memudahkan pengguna untuk mendapatkan pengalaman langsung dengan semua teknologi Azure Arc yang tersedia tanpa lebih dari langganan Azure yang tersedia.

Untuk menyebarkan implementasi referensi, ikuti langkah-langkah dalam repositori GitHub dengan memilih tombol Jumpstart ArcBox for IT Pros di bawah ini.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Pieter de Bruin | Manajer Program Senior

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

• Pelajari selengkapnya tentang Azure Arc
• Pelajari selengkapnya tentang server dengan dukungan Azure Arc
• Jalur pembelajaran Azure Arc
• Tinjau skenario Jumpstart Azure Arc di Arc Jumpstart
• Tinjau akselerator zona pendaratan server berkemampuan Arc di CAF

Sumber daya terkait

Jelajahi arsitektur terkait:

• Mengelola konfigurasi untuk server dengan dukungan Azure Arc
• Manajemen dan penyebaran hibrid Azure Arc untuk kluster Kubernetes