Wat zijn de kernbeheer- en governancemogelijkheden van servers met Azure Arc?

10 minuten

Met Azure Arc kunt u het bereik van verschillende Azure-services uitbreiden naar niet-Azure Windows- en Linux-servers. Zo kunnen bedrijven zoals Contoso hun beheerstrategie standaardiseren als ze opereren in hybride scenario's. In deze les leert u meer over de mogelijkheden van Azure Arc, waarbij u zich richt op de mogelijkheden die exclusief beschikbaar zijn voor Servers met Azure En Azure Arc.

Wat zijn de belangrijkste mogelijkheden voor resourcebeheer van servers met Azure Arc?

Een aantal voordelen van Azure Arc is onafhankelijk van het resourcetype, omdat dit de mogelijkheden van Azure Resource Manager weergeeft. Dit zijn enkele voordelen:

De mogelijkheid om alle organisatieresources in te delen met behulp van Azure-beheergroepen, -abonnementen, -resourcegroepen en -tags.
Eén uitgebreide inventarisatie van organisatieactiva in meerdere clouds en on-premises, waaronder ondersteuning voor zoeken en indexeren met behulp van Azure Resource Graph.
Een geconsolideerde weergave van Azure- en Azure Arc-resources via Azure Portal, Azure Command Line Interface (CLI), Azure PowerShell en REST (Representational State Transfer) Application Programming Interface (API).
Directe toegang vanuit Azure Portal tot de meeste beheerfuncties van de servers met Azure Arc:
- Op rollen gebaseerd toegangsbeheer (RBAC) voor het weergeven van logboeken en serverinventarisgegevens
- VM-extensies voor het implementeren van software-agents en het uitvoeren van scripts op uw server
- Azure Policy-gastconfiguratie voor het controleren van het besturingssysteem en de softwareconfiguratie
- Een door het Microsoft Entra-systeem toegewezen beheerde identiteit voor apps die op de server worden uitgevoerd om te gebruiken bij verificatie bij andere Azure-services

Screenshot of the Access control (IAM) page in the Azure portal for the selected VM: ContosoVM1. The details pane displays a number of tabs: Check access (selected), Role assignments, Deny assignments, Classic administrators, and Roles.

Er zijn ook voordelen die specifiek zijn voor servers met Azure Arc, zoals:

De mogelijkheid om extensies van virtuele Azure-machines (VM's) toe te passen om de configuratie van Azure- en niet-Azure-servers en Linux-servers op consistente wijze te automatiseren.
De ondersteuning voor Azure Policy-gastconfiguratie. Azure Policy biedt ondersteuning voor het controleren van servers met Azure Arc op dezelfde manier als hun azure-residente tegenhangers. Zo kunt u dezelfde benadering gebruiken om te evalueren of configuraties van alle servers in uw omgeving voldoen aan de standaarden van de organisatie.

Wat zijn VM-extensies en hoe worden ze gebruikt met servers met Azure Arc?

VM-extensies zijn lichtgewicht softwareonderdelen waarmee de configuratie- en automatiseringstaken van de implementatie na het besturingssysteem worden geautomatiseerd. Vm-extensies waren traditioneel alleen beschikbaar op Virtuele Azure-machines, maar nu is het mogelijk om geselecteerde extensies te gebruiken op servers met Azure Arc. In de volgende tabel worden de extensies beschreven die u kunt toevoegen aan servers met Windows Server of Linux met Windows Server of Linux:

Toestel	Aanvullende informatie
Log Analytics-agent	Installeert de Log Analytics-agent op de doelserver met Arc en configureert deze voor het doorsturen van logboeken naar een Log Analytics-werkruimte.
Agent voor afhankelijkheden	Installeert de afhankelijkheidsagent op de doelserver met Arc om het identificeren van interne en externe afhankelijkheden van serverworkloads te vergemakkelijken.
Azure Key Vault-agent	Hiermee worden certificaten van een Azure Key Vault-exemplaar gesynchroniseerd met de server met Arc.
De Qualys-extensie	Scanoplossing voor microsoft Defender voor servers voor evaluatie van beveiligingsproblemen.
Desired State Configuration	Hiermee past u een PowerShell DSC-configuratie toe op de doelserver met Arc.
Aangepaste scriptextensie	Hiermee wordt een script uitgevoerd op de doelserver met Arc.

Wat is Azure Policy en hoe wordt deze gebruikt voor serverbeheer met Azure Arc?

Azure Policy is een service die organisaties kan helpen bij het beheren en evalueren van interne en wettelijke naleving van hun Servers met Arc, naast een breed scala aan Azure-services. Azure Policy gebruikt declaratieve regels op basis van eigenschappen van doelresourcetypen, waaronder Windows- en Linux-besturingssystemen. Deze regels vormen beleidsdefinities die beheerders kunnen toepassen via beleidstoewijzing op resourcegroepen, abonnementen of beheergroepen waarop Servers met Azure Arc worden gehost. Als u het beheer van beleidsdefinities wilt vereenvoudigen, kunt u meerdere beleidsregels combineren in initiatieven en vervolgens enkele initiatieftoewijzingen maken in plaats van meerdere beleidstoewijzingen.

Azure Policy biedt ondersteuning voor het controleren van de status van de server met Arc met beleidsregels voor gastconfiguratie. Beleidsregels voor gastconfiguratie passen geen configuraties toe, maar controleren instellingen binnen het doelbesturingssysteem en evalueren hun naleving. U kunt echter Azure Policy gebruiken om de configuratie van de Azure-resource toe te passen die een server met Arc vertegenwoordigt. U kunt Azure Policy ook gebruiken om configuraties te implementeren met behulp van VM-extensies.

Contoso kan bijvoorbeeld met Azure Policy de volgende regels implementeren:

Een specifieke tag toewijzen aan resources die servers met Arc vertegenwoordigen tijdens hun registratie.
Identificeer servers met Arc waarop Windows wordt uitgevoerd met Windows Defender Exploit Guard uitgeschakeld.
Identificeer servers met Arc waarop Windows wordt uitgevoerd en die niet zijn gekoppeld aan een specifiek ad DS-domein (Active Directory-domein Services).
Identificeer servers met Arc waarop Windows of Linux wordt uitgevoerd zonder dat de Log Analytics-agent is geïnstalleerd.
Identificeer servers met Arc waarop Linux wordt uitgevoerd die geen SSH-sleutels gebruiken voor verificatie.

Notitie

Beleidsregels die ondersteuning bieden voor herstel hoeven niet de beleidslogica binnen het besturingssysteem van de Server met Azure Arc te evalueren, maar zijn in plaats daarvan afhankelijk van metagegevens van Azure-resources. Voorbeelden van dergelijke beleidsregels zijn het afdwingen van tagcompatibiliteit of implementatie van VM-extensies.

Notitie

Azure Policy biedt ondersteuning voor Azure-VM's en servers met Azure Arc en biedt een consistent, organisatiebreed overzicht van nalevingsinformatie.

Hoe wijst u Azure-beleid toe aan servers met Azure Arc?

U kunt Azure-beleid rechtstreeks vanuit Azure Portal beheren en toewijzen aan servers met Azure Arc.

Screenshot that depicts the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

Zodra u een beleidstoewijzing hebt gemaakt, kunt u kort daarna het resultaat van de beleidsevaluatie bekijken op de doelservers met Azure Arc.

Screenshot that depicts the applied policies on ContosoVM1. Two policies are applied, and the VM is compliant with one but not the other.

Wat zijn de voordelen van Azure Automation Updatebeheer in hybride scenario's?

Azure Automation is een Azure-service die u helpt bij het automatiseren van onderhoudstaken in Azure en in on-premises omgevingen met behulp van aangepaste PowerShell- of Python-scripts. Daarnaast ondersteunt Azure Automation configuratiebeheer door gebruik te maken van verschillende ingebouwde oplossingen, waaronder Updatebeheer.

Azure Automation Updatebeheer is een hybride oplossing waarmee het beheer en de bewaking van besturingssysteemupdates wordt gefaciliteerd in hybride scenario's. Het biedt uitgebreide informatie over de updatestatus en helpt u hiaten op een geautomatiseerde manier te verhelpen. Het biedt ondersteuning voor integratie met een van de standaardtechnologieën voor update-implementatie, waaronder Windows Update Services, Windows Server Update Services (WSUS) en Endpoint Configuration Manager.

Net als Microsoft Defender voor Cloud is de oplossing Updatebeheer afhankelijk van gegevens die zijn verzameld van Windows-servers door Azure Monitor en zijn opgeslagen in de Log Analytics-werkruimte die u aanwijst. Dit vereist op zijn beurt een lokaal geïnstalleerde Log Analytics-agent, waarmee beheerde computers worden geregistreerd bij de Log Analytics-werkruimte en voortdurend worden geüpload naar lokaal verzamelde gegevens. De Log Analytics-engine analyseert verzamelde gegevens om de compatibiliteitsstatus van elke beheerde server te bepalen.

Over het algemeen kunt u met Updatebeheer het volgende doen:

Houd de status van updates op uw servers bij: de service bevat de interface op basis van Azure Portal, waar u de updatestatussen in uw beheerde omgeving kunt bekijken.
Configureer dynamische groepen machines om implementaties van updates te targeten: de service ondersteunt gerichte updates voor groepen op basis van Log Analytics-query's of groepen die zijn geïmporteerd uit een andere bron, zoals WSUS of Endpoint Configuration Manager.
Azure Monitor-logboeken doorzoeken: met de service kunt u query's uitvoeren op logboeken die zijn opgeslagen in Log Analytics.

Wat zijn de voordelen van Azure Automation Desired State Configuration (DSC) in hybride scenario's?

PowerShell DSC is een technologie waarmee declaratief configuratiebeheer wordt geïmplementeerd via een combinatie van PowerShell-scripts en functies van het besturingssysteem. De configuratie kan zo eenvoudig zijn als het waarborgen dat een specifieke Windows-functie is ingeschakeld of zo complex als het implementeren van SharePoint. U kunt een DSC-configuratie implementeren in de push- of pull-modus. De push-modus omvat het aanroepen van de implementatie vanaf een beheercomputer voor een of meer beheerde computers. In de pull-modus worden beheerde computers automatisch geïmplementeerd op basis van configuratiegegevens van een aangewezen locatie, een pull-server genoemd. Azure Automation bevat een beheerde, Azure-residente DSC-pull-server. U kunt een DSC-configuratie in de pushmodus toepassen op niet-Azure-computers, inclusief servers met Azure Arc met behulp van de VM-extensie. U kunt ook beide typen systemen onboarden in Azure Automation en de configuratie ervan beheren via een pull-server.

Wat zijn de voordelen van Azure Automanage in hybride scenario's?

Aanbevolen procedures voor Azure Automanage-machines zijn een service waarmee u niet meer hoeft te ontdekken, weet hoe u onboardt en hoe u bepaalde services in Azure configureert die ten goede komen aan uw server met Arc. Nadat de onboarding van uw machines naar Azure Automanage is uitgevoerd, wordt elke best practice-service geconfigureerd voor de aanbevolen instellingen. Azure Automanage bewaakt en corrigeert ook automatisch afwijkingen wanneer deze worden gedetecteerd. Deelnemende services zijn onder andere:

Bewaking van machinesinzichten
Updatebeheer
Wijzigingen bijhouden & Inventaris
Azure-gastconfiguratie
Azure Automation Account
Log Analytics-werkruimte

Kies het beste antwoord voor elk van de volgende vragen en selecteer vervolgens Uw antwoorden controleren.

Test uw kennis

Welke VM-extensie kan de beheerder toevoegen aan servers met Azure Arc om deze te controleren met Azure-services?

De Qualys-extensie. Met deze VM-extensie wordt de integratie met Azure Defender geïmplementeerd voor het uitvoeren van scans om beveiligingsproblemen op servers te evalueren.

De Azure Key Vault-extensie.

Log Analytics-agent.

Wat kan de beheerder doen om de status van het besturingssysteem van servers met Azure Arc te controleren?

Azure Advisor controleren.

Doorzoek de activiteitenlogboeken in Azure Portal.

Azure-beleid op basis van gastconfiguratie toepassen.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.

Doorgaan