Pianificare e distribuire server abilitati per Azure Arc

Articolo
10/24/2023

La distribuzione di un servizio di infrastruttura IT o di un'applicazione aziendale è una sfida per qualsiasi azienda. Per eseguirlo bene ed evitare sorprese indesiderate e costi non pianificati, è necessario pianificarlo accuratamente per assicurarsi di essere il più pronto possibile. Per pianificare la distribuzione di server abilitati per Azure Arc su qualsiasi scala, deve coprire i criteri di progettazione e distribuzione che devono essere soddisfatti per completare correttamente le attività.

Affinché la distribuzione proceda senza problemi, il piano deve stabilire una chiara comprensione di:

Ruoli e responsabilità.
Inventario di server fisici o macchine virtuali per verificare che soddisfino i requisiti di rete e di sistema.
Il set di competenze e il training necessari per abilitare la corretta distribuzione e la gestione in corso.
Criteri di accettazione e come tenere traccia del successo.
Strumenti o metodi da usare per automatizzare le distribuzioni.
Sono stati identificati i rischi e i piani di mitigazione per evitare ritardi, interruzioni e così via.
Come evitare interruzioni durante la distribuzione.
Qual è il percorso di escalation quando si verifica un problema significativo?

Lo scopo di questo articolo è assicurarsi di essere preparati per una corretta distribuzione di server abilitati per Azure Arc in più server fisici di produzione o macchine virtuali nell'ambiente in uso.

Per altre informazioni sulle raccomandazioni sulla distribuzione su larga scala, è anche possibile fare riferimento a questo video.

Prerequisiti

Quando si pianifica la distribuzione, considerare i requisiti di base seguenti:

I computer devono eseguire un sistema operativo supportato per l'agente computer Connessione ed.
I computer devono avere connettività dalla rete locale o da un altro ambiente cloud alle risorse in Azure, direttamente o tramite un server proxy.
Per installare e configurare l'agente del computer di Azure Connessione ed, è necessario disporre di un account con privilegi elevati ( ovvero un amministratore o come radice) nei computer.
Per eseguire l'onboarding dei computer, è necessario avere il ruolo predefinito Azure Connessione ed Machine Onboarding di Azure.
Per leggere, modificare ed eliminare un computer, è necessario avere il ruolo predefinito Azure Connessione ed Machine Resource Amministrazione istrator di Azure.

Per altri dettagli, vedere i prerequisiti e i requisiti di rete per l'installazione dell'agente del computer Connessione ed.

Programma pilota

Prima di eseguire la distribuzione in tutti i computer di produzione, iniziare valutando il processo di distribuzione prima di adottarlo su larga scala nell'ambiente in uso. Per un progetto pilota, identificare un campionamento rappresentativo di macchine che non sono essenziali per le aziende in grado di svolgere attività aziendali. È consigliabile assicurarsi di consentire un tempo sufficiente per eseguire il progetto pilota e valutarne l'impatto: è consigliabile un minimo di 30 giorni.

Definire un piano formale che descrive l'ambito e i dettagli del progetto pilota. Di seguito è riportato un esempio di ciò che deve includere un piano per iniziare.

Obiettivi: descrive i driver aziendali e tecnici che hanno portato alla decisione che un pilota è necessario.
Criteri di selezione: specifica i criteri usati per selezionare gli aspetti della soluzione da dimostrare tramite un progetto pilota.
Ambito: descrive l'ambito del progetto pilota, che include, a titolo esemplificativo, i componenti della soluzione, la pianificazione prevista, la durata del progetto pilota e il numero di computer di destinazione.
Criteri di successo e metriche: definire i criteri di successo del progetto pilota e misure specifiche usate per determinare il livello di successo.
Piano di training: descrive il piano per i tecnici del sistema di formazione, gli amministratori e così via, che non hanno esperienza con Azure e i servizi durante il progetto pilota.
Piano di transizione: descrive la strategia e i criteri usati per guidare la transizione dalla distribuzione pilota alla produzione.
Rollback: descrive le procedure per il rollback di un progetto pilota allo stato di pre-distribuzione.
Rischi: elencare tutti i rischi identificati per condurre il progetto pilota e associato alla distribuzione di produzione.

Fase 1: Creare una base

In questa fase, i tecnici di sistema o gli amministratori consentono alle funzionalità di base nella sottoscrizione di Azure dell'organizzazione di avviare le basi prima di abilitare i computer per la gestione da server abilitati per Azure Arc e altri servizi di Azure.

Attività	Dettagli	Durata stimata
Creare un gruppo di risorse	Un gruppo di risorse dedicato per includere solo server abilitati per Azure Arc e centralizzare la gestione e il monitoraggio di queste risorse.	Un'ora
Applicare tag per organizzare i computer.	Valutare e sviluppare una strategia di assegnazione di tag allineata all'IT che consente di ridurre la complessità della gestione dei server abilitati per Azure Arc e semplificare le decisioni di gestione.	Un giorno
Progettare e distribuire i log di Monitoraggio di Azure	Valutare le considerazioni sulla progettazione e sulla distribuzione per determinare se l'organizzazione deve usare un'area di lavoro Log Analytics esistente o implementare un'altra area di lavoro Log Analytics per archiviare i dati di log raccolti da server e computer ibridi.¹	Un giorno
Sviluppare un piano di governance Criteri di Azure	Determinare come implementare la governance di server e computer ibridi nell'ambito della sottoscrizione o del gruppo di risorse con Criteri di Azure.	Un giorno
Configurare il controllo degli accessi in base al ruolo	Sviluppare un piano di accesso per controllare chi può accedere per gestire i server abilitati per Azure Arc e la possibilità di visualizzare i dati da altri servizi e soluzioni di Azure.	Un giorno
Identificare i computer con l'agente di Log Analytics già installato	Eseguire la query di log seguente in Log Analytics per supportare la conversione delle distribuzioni esistenti dell'agente di Log Analytics nell'agente gestito dall'estensione: Battito cardiaco \| summarize arg_max(TimeGenerated, OSType, ResourceId, ComputerEnvironment) by Computer \| dove ComputerEnvironment == "Non-Azure" e isempty(ResourceId) \| project Computer, OSType	Un'ora

¹ Quando si valuta la progettazione dell'area di lavoro Log Analytics, prendere in considerazione l'integrazione con Automazione di Azure a supporto della relativa funzionalità gestione aggiornamenti e Rilevamento modifiche e inventario, nonché Microsoft Defender per il cloud e Microsoft Sentinel. Se l'organizzazione ha già un account di Automazione e ha abilitato le funzionalità di gestione collegate a un'area di lavoro Log Analytics, valutare se è possibile centralizzare e semplificare le operazioni di gestione, nonché ridurre al minimo i costi, usando tali risorse esistenti rispetto alla creazione di un account duplicato, un'area di lavoro e così via.

Fase 2: Distribuire server abilitati per Azure Arc

Successivamente, si aggiunge alla base definita nella fase 1 preparando e distribuendo l'agente di Azure Connessione ed Machine.

Attività	Dettagli	Durata stimata
Scaricare lo script di installazione predefinito	Esaminare e personalizzare lo script di installazione predefinito per la distribuzione su larga scala dell'agente del computer Connessione ed per supportare i requisiti di distribuzione automatica. Esempio di risorse di onboarding su larga scala: Script di distribuzione di base su larga scala Onboarding su larga scala di macchine virtuali Windows Server VMware vSphere Onboarding su larga scala di macchine virtuali Linux VMware vSphere Onboarding su larga scala di istanze di AWS EC2 con Ansible	Uno o più giorni a seconda dei requisiti, dei processi organizzativi (ad esempio, Gestione modifiche e rilascio) e del metodo di automazione usato.
Creare un'entità servizio	Creare un'entità servizio per connettere i computer in modo non interattivo usando Azure PowerShell o dal portale.	Un'ora
Distribuire l'agente computer Connessione ed nei server e nei computer di destinazione	Usare lo strumento di automazione per distribuire gli script ai server e connetterli ad Azure.	Uno o più giorni a seconda del piano di rilascio e se si segue un'implementazione in più fasi.

Attività

Dettagli

Durata stimata

Scaricare lo script di installazione predefinito

Esaminare e personalizzare lo script di installazione predefinito per la distribuzione su larga scala dell'agente del computer Connessione ed per supportare i requisiti di distribuzione automatica.

Esempio di risorse di onboarding su larga scala:

Script di distribuzione di base su larga scala

Onboarding su larga scala di macchine virtuali Windows Server VMware vSphere

Onboarding su larga scala di macchine virtuali Linux VMware vSphere

Onboarding su larga scala di istanze di AWS EC2 con Ansible

Uno o più giorni a seconda dei requisiti, dei processi organizzativi (ad esempio, Gestione modifiche e rilascio) e del metodo di automazione usato.

Creare un'entità servizio

Creare un'entità servizio per connettere i computer in modo non interattivo usando Azure PowerShell o dal portale.

Un'ora

Distribuire l'agente computer Connessione ed nei server e nei computer di destinazione

Usare lo strumento di automazione per distribuire gli script ai server e connetterli ad Azure.

Uno o più giorni a seconda del piano di rilascio e se si segue un'implementazione in più fasi.

Fase 3: Gestire e operare

La fase 3 è quando gli amministratori o i tecnici di sistema possono abilitare l'automazione delle attività manuali per gestire e gestire l'agente del computer Connessione e i computer durante il ciclo di vita.

Attività	Dettagli	Durata stimata
Creare un avviso di Integrità risorse	Se un server arresta l'invio di heartbeat ad Azure per più di 15 minuti, può significare che è offline, la connessione di rete è stata bloccata o l'agente non è in esecuzione. Sviluppare un piano per rispondere e analizzare questi eventi imprevisti e usare gli avvisi Integrità risorse per ricevere una notifica all'avvio. Specificare quanto segue durante la configurazione dell'avviso: Tipo di = risorsa Server abilitati per Azure Arc Stato risorsa = corrente Non disponibile Stato della risorsa = precedente Disponibile	Un'ora
Creare un avviso di Azure Advisor	Per una migliore esperienza e correzioni di bug e sicurezza più recenti, è consigliabile mantenere aggiornato l'agente del computer Connessione di Azure. Gli agenti non aggiornati verranno identificati con un avviso di Azure Advisor. Specificare quanto segue durante la configurazione dell'avviso: Tipo di = raccomandazione Eseguire l'aggiornamento alla versione più recente dell'agente del computer Connessione di Azure	Un'ora
Assegnare criteri di Azure all'ambito della sottoscrizione o del gruppo di risorse	Assegnare il criterio Abilita Monitoraggio di Azure per le macchine virtuali (e altri che soddisfano le proprie esigenze) all'ambito della sottoscrizione o del gruppo di risorse. Criteri di Azure consente di assegnare definizioni di criteri che installano gli agenti necessari per informazioni dettagliate sulle macchine virtuali nell'ambiente.	Variabile
Abilitare Gestione aggiornamenti per i server abilitati per Azure Arc	Configurare Gestione aggiornamenti in Automazione di Azure per gestire gli aggiornamenti del sistema operativo per le macchine virtuali Windows e Linux registrate con i server abilitati per Azure Arc.	15 minuti

Passaggi successivi

Informazioni sulle procedure consigliate e sui modelli di progettazione tramite l'acceleratore di zona di destinazione di Azure Arc per il cloud ibrido e multicloud.
Informazioni sulla riconfigurazione, l'aggiornamento e la rimozione dell'agente del computer Connessione ed.
Esaminare le informazioni sulla risoluzione dei problemi nella guida alla risoluzione dei problemi di connessione dell'agente.
Informazioni su come semplificare la distribuzione con altri servizi di Azure, ad esempio Automazione di Azure State Configuration e altre estensioni di macchine virtuali di Azure supportate.