Ta architektura referencyjna ilustruje sposób, w jaki usługa Azure Arc umożliwia zarządzanie, zarządzanie i zabezpieczanie serwerów w scenariuszach lokalnych, wielochmurowych i brzegowych oraz jest oparte na implementacji usługi Arc Jumpstart ArcBox dla informatyków . ArcBox to rozwiązanie, które umożliwia łatwe wdrażanie piaskownicy dla wszystkich elementów usługi Azure Arc. ArcBox for IT Pros to wersja rozwiązania ArcBox przeznaczona dla użytkowników, którzy chcą korzystać z możliwości serwerów z obsługą usługi Azure Arc w środowisku piaskownicy.
Architektura
Pobierz plik programu PowerPoint tej architektury.
Składniki
Niniejsza architektura zawiera następujące składniki:
- Grupa zasobów platformy Azure to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa.
- Skoroszyt ArcBox to skoroszyt usługi Azure Monitor, który udostępnia jedno okienko szkła do monitorowania i raportowania zasobów Usługi ArcBox. Skoroszyt działa jako elastyczna kanwa do analizy danych i wizualizacji w witrynie Azure Portal, zbierając informacje z kilku źródeł danych z całego urządzenia ArcBox i łącząc je w zintegrowane interaktywne środowisko.
- Usługa Azure Monitor umożliwia śledzenie wydajności i zdarzeń dla systemów działających na platformie Azure, lokalnie lub w innych chmurach.
- Konfiguracja gościa usługi Azure Policy może przeprowadzać inspekcję systemów operacyjnych i konfiguracji maszyn zarówno dla maszyn działających na platformie Azure, jak i na serwerach z obsługą usługi Arc działających lokalnie lub w innych chmurach.
- Azure Log Analytics to narzędzie w witrynie Azure Portal służące do edytowania i uruchamiania zapytań dzienników z danych zebranych przez dzienniki usługi Azure Monitor i interaktywnego analizowania ich wyników. Za pomocą zapytań usługi Log Analytics można pobierać rekordy spełniające określone kryteria, identyfikować trendy, analizować wzorce i udostępniać różne szczegółowe informacje o danych.
- Microsoft Defender dla Chmury to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP). Microsoft Defender dla Chmury znajduje słabe punkty w konfiguracji chmury, pomaga zwiększyć ogólny stan zabezpieczeń środowiska i chronić obciążenia w wielu chmurach i środowiskach hybrydowych przed zmieniającymi się zagrożeniami.
- Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając pojedyncze rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.
- Serwery z obsługą usługi Azure Arc umożliwiają łączenie platformy Azure z maszynami z systemem Windows i Linux hostowanymi poza platformą Azure w sieci firmowej. Gdy serwer jest połączony z platformą Azure, staje się serwerem z obsługą usługi Arc i jest traktowany jako zasób na platformie Azure. Każdy serwer z obsługą usługi Arc ma identyfikator zasobu, tożsamość systemu zarządzanego i jest zarządzany jako część grupy zasobów w ramach subskrypcji. Serwery z obsługą usługi Arc korzystają ze standardowych konstrukcji platformy Azure, takich jak spis, zasady, tagi i usługa Azure Lighthouse.
- Wirtualizacja zagnieżdżona funkcji Hyper-V jest używana przez aplikację Jumpstart ArcBox dla informatyków do hostowania maszyn wirtualnych z systemem Windows Server wewnątrz maszyny wirtualnej platformy Azure. Zapewnia to takie samo środowisko jak korzystanie z fizycznych maszyn z systemem Windows Server, ale bez wymagań sprzętowych.
- Usługa Azure Virtual Network udostępnia sieć prywatną, która umożliwia składnikom w grupie zasobów platformy Azure komunikację, taką jak maszyny wirtualne.
Szczegóły scenariusza
Potencjalne przypadki użycia
Przykładowe typowe zastosowania tej architektury:
- Organizowanie, zarządzanie i tworzenie spisu dużych grup maszyn wirtualnych i serwerów w wielu środowiskach.
- Wymuszanie standardów organizacji i ocenianie zgodności na dużą skalę dla wszystkich zasobów w dowolnym miejscu za pomocą usługi Azure Policy.
- Łatwe wdrażanie obsługiwanych rozszerzeń maszyn wirtualnych na serwerach z obsługą usługi Arc.
- Konfigurowanie i wymuszanie usługi Azure Policy dla maszyn wirtualnych i serwerów hostowanych w wielu środowiskach.
Zalecenia
Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.
Konfigurowanie agenta połączonej maszyny usługi Azure Arc
Możesz połączyć dowolną inną maszynę fizyczną lub wirtualną z systemem Windows lub Linux z usługą Azure Arc. Przed dołączaniem maszyn upewnij się, że spełniono wymagania wstępne połączonego agenta maszyny, które obejmują rejestrowanie dostawców zasobów platformy Azure dla serwerów z obsługą usługi Azure Arc. Aby połączyć maszynę z platformą Azure za pomocą usługi Azure Arc, musisz zainstalować agenta maszyny połączonej platformy Azure na każdej maszynie, którą planujesz nawiązać połączenie przy użyciu usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie agenta serwerów z obsługą usługi Azure Arc.
Po skonfigurowaniu agent connected machine wysyła zwykły komunikat pulsu co pięć minut do platformy Azure. Gdy puls nie zostanie odebrany, platforma Azure przypisuje stan offline maszyny, która jest odzwierciedlona w portalu w ciągu 15 do 30 minut. Po otrzymaniu kolejnego komunikatu pulsu z agenta połączonej maszyny jego stan zostanie automatycznie zmieniony na Połączony.
Na platformie Azure dostępnych jest kilka opcji łączenia maszyn z systemami Windows i Linux:
- Instalacja ręczna: serwery z obsługą usługi Azure Arc można włączyć dla jednego lub kilku maszyn z systemem Windows lub Linux w środowisku przy użyciu zestawu narzędzi Windows Admin Center lub ręcznie wykonując zestaw kroków.
- Instalacja oparta na skryptach: automatyczną instalację agenta można wykonać, uruchamiając skrypt szablonu pobrany z witryny Azure Portal.
- Łączenie maszyn na dużą skalę przy użyciu jednostki usługi: aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejących organizacji automatyzacji.
- Instalacja przy użyciu rozszerzenia DSC programu Windows PowerShell
Zapoznaj się z opcjami wdrażania agenta połączonej maszyny platformy Azure, aby uzyskać kompleksową dokumentację dotyczącą różnych dostępnych opcji wdrażania.
Włączanie konfiguracji gościa usługi Azure Policy
Serwery z obsługą usługi Azure Arc obsługują usługę Azure Policy w warstwie zarządzania zasobami platformy Azure, a także na poszczególnych maszynach serwerowych przy użyciu zasad konfiguracji gościa. Konfiguracja gościa usługi Azure Policy może przeprowadzać inspekcję ustawień na maszynie, zarówno dla maszyn działających na serwerach platformy Azure, jak i na serwerach z obsługą usługi Arc. Na przykład można przeprowadzać inspekcję ustawień, takich jak:
- Konfiguracja systemu operacyjnego
- Konfiguracja lub obecność aplikacji
- Ustawienia środowiska
Istnieje kilka wbudowanych definicji usługi Azure Policy dla usługi Azure Arc. Te zasady zapewniają ustawienia inspekcji i konfiguracji dla maszyn z systemem Windows i Linux.
Włączanie usługi Azure Update Manager
Update Manager. Należy wdrożyć zarządzanie aktualizacjami dla serwerów z obsługą usługi Arc. Menedżer aktualizacji jest zalecany do zarządzania aktualizacjami systemu operacyjnego i oceny stanu dostępnych aktualizacji na wszystkich maszynach agentów. Menedżer aktualizacji powinien również służyć do zarządzania procesem instalowania wymaganych aktualizacji serwerów.
Śledzenie zmian i spis. Usługa Azure Automation Śledzenie zmian i spis dla serwerów z obsługą usługi Arc umożliwia określenie, jakie oprogramowanie jest zainstalowane w danym środowisku. Można zbierać i obserwować spis oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows. Śledzenie konfiguracji maszyn ułatwia identyfikowanie problemów operacyjnych w środowisku oraz lepsze rozumienie stanu maszyn.
Monitorowanie serwerów z obsługą usługi Azure Arc
Za pomocą usługi Azure Monitor można monitorować maszyny wirtualne, zestawy skalowania maszyn wirtualnych i maszyny usługi Azure Arc na dużą skalę. Usługa Azure Monitor analizuje wydajność i kondycję maszyn wirtualnych z systemem Windows i Linux oraz monitoruje ich procesy i zależności od innych zasobów i procesów zewnętrznych. Obejmuje ona obsługę wydajności monitorowania i zależności aplikacji dla maszyn wirtualnych hostowanych lokalnie lub u innych dostawców usług w chmurze.
Agenci usługi Azure Monitor powinni być automatycznie wdrażani na serwerach z systemem Windows i Linux z obsługą usługi Azure Arc za pośrednictwem usługi Azure Policy. Zapoznaj się z agentem usługi Log Analytics i dowiedz się, jak działa i zbiera dane przed wdrożeniem.
Projektowanie i planowanie wdrożenia obszaru roboczego usługi Log Analytics. Będzie to kontener, w którym są zbierane, agregowane i analizowane później. Obszar roboczy usługi Log Analytics reprezentuje lokalizację geograficzną danych, izolację danych oraz zakres konfiguracji, takich jak przechowywanie danych. Użyj jednego obszaru roboczego usługi Log Analytics usługi Azure Monitor zgodnie z opisem w temacie Zarządzanie i monitorowanie najlepszych rozwiązań dotyczących przewodnika Cloud Adoption Framework.
Zabezpieczanie serwerów z obsługą usługi Azure Arc
Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie tożsamości zarządzanych serwerów z obsługą usługi Azure Arc i zarządzanie nimi oraz przeprowadzanie okresowych przeglądów dostępu dla tych tożsamości. Kontrolowanie ról uprzywilejowanych użytkowników w celu uniknięcia nieprawidłowego użycia tożsamości zarządzanych przez system w celu uzyskania nieautoryzowanego dostępu do zasobów platformy Azure.
Rozważ użycie usługi Azure Key Vault do zarządzania certyfikatami na serwerach z obsługą usługi Azure Arc. Rozszerzenie maszyny wirtualnej magazynu kluczy umożliwia zarządzanie cyklem życia certyfikatu na maszynach z systemami Windows i Linux.
Połącz serwery z obsługą usługi Azure Arc w celu Microsoft Defender dla Chmury. Ułatwia to rozpoczęcie zbierania konfiguracji i dzienników zdarzeń związanych z zabezpieczeniami, dzięki czemu można zalecić akcje i poprawić ogólny stan zabezpieczeń platformy Azure.
Łączenie serwerów z obsługą usługi Azure Arc z usługą Microsoft Sentinel. Umożliwia to rozpoczęcie zbierania zdarzeń związanych z zabezpieczeniami i rozpoczynanie korelowania ich z innymi źródłami danych.
Weryfikowanie topologii sieci
Agent Connected Machine dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Agent Connected Machine może nawiązać połączenie z płaszczyzną sterowania platformy Azure przy użyciu następujących metod:
- Bezpośrednie połączenie z publicznymi punktami końcowymi platformy Azure, opcjonalnie zza zapory lub serwera proxy.
- Usługa Azure Private Link korzystająca z modelu zakresu usługi Private Link umożliwia wielu serwerom lub maszynom komunikowanie się z zasobami usługi Azure Arc przy użyciu jednego prywatnego punktu końcowego.
Zapoznaj się z tematem Topologia sieci i łączność serwerów z obsługą usługi Azure Arc, aby uzyskać kompleksowe wskazówki dotyczące sieci dla implementacji serwerów z obsługą usługi Arc.
Kwestie wymagające rozważenia
Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.
Niezawodność
- W większości przypadków lokalizacja wybrana podczas tworzenia skryptu instalacji powinna być regionem świadczenia usługi Azure znajdującym się geograficznie najbliżej lokalizacji komputera. Pozostałe dane będą przechowywane w lokalizacji geograficznej platformy Azure zawierającej określony region, co może również mieć wpływ na wybór regionu, jeśli masz wymagania dotyczące przechowywania danych. Jeśli awaria wpłynie na region świadczenia usługi Azure, z którym jest połączona maszyna, awaria nie wpłynie na serwer z obsługą usługi Arc. Jednak operacje zarządzania korzystające z platformy Azure mogą nie być dostępne.
- Jeśli masz wiele lokalizacji, które zapewniają usługę geograficznie nadmiarową, najlepiej połączyć maszyny w każdej lokalizacji z innym regionem świadczenia usługi Azure w celu zapewnienia odporności w przypadku awarii regionalnej.
- Jeśli agent połączonej maszyny platformy Azure przestanie wysyłać pulsy do platformy Azure lub przechodzi w tryb offline, nie będzie można wykonywać na nim zadań operacyjnych. W związku z tym konieczne jest opracowanie planu powiadomień i odpowiedzi.
- Skonfiguruj alerty dotyczące kondycji zasobów, aby otrzymywać powiadomienia niemal w czasie rzeczywistym, gdy zasoby mają zmianę stanu kondycji. Zdefiniuj zasady monitorowania i alertów w usłudze Azure Policy , które identyfikują serwery z włączoną usługą Azure Arc w złej kondycji.
- Rozszerz istniejące rozwiązanie do tworzenia kopii zapasowych na platformę Azure lub łatwo skonfiguruj nasze rozwiązanie do replikacji z uwzględnieniem aplikacji i tworzenia kopii zapasowych spójnych na poziomie aplikacji, które można łatwo skalować odpowiednio do aktualnych potrzeb biznesowych. Scentralizowany interfejs zarządzania dla usług Azure Backup i Azure Site Recovery ułatwia definiowanie zasad w celu natywnej ochrony, monitorowania i zarządzania serwerami z systemem Windows i Linux z obsługą usługi Arc.
- Zapoznaj się ze wskazówkami dotyczącymi ciągłości działania i odzyskiwania po awarii, aby określić, czy wymagania przedsiębiorstwa są spełnione.
- Inne zagadnienia dotyczące niezawodności rozwiązania opisano w sekcji Zasady projektowania niezawodności w witrynie Microsoft Azure Well-Architected Framework.
Zabezpieczenia
- Odpowiednia kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być zarządzana dla serwerów z obsługą usługi Arc. Aby dołączyć maszyny, musisz być członkiem roli dołączania maszyny połączonej platformy Azure. Aby odczytać, zmodyfikować, ponownie dołączyć i usunąć maszynę, musisz być członkiem roli Administratora zasobów połączonej maszyny platformy Azure.
- Microsoft Defender dla Chmury mogą monitorować systemy lokalne, maszyny wirtualne platformy Azure, zasoby usługi Azure Monitor, a nawet maszyny wirtualne hostowane przez innych dostawców usług w chmurze. Włącz usługę Microsoft Defender dla wszystkich subskrypcji zawierających serwery z obsługą usługi Azure Arc na potrzeby monitorowania punktu odniesienia zabezpieczeń, zarządzania stanem zabezpieczeń i ochrony przed zagrożeniami.
- Usługa Microsoft Sentinel może ułatwić zbieranie danych w różnych źródłach, w tym na platformie Azure, rozwiązaniach lokalnych i w chmurach przy użyciu wbudowanych łączników.
- Za pomocą usługi Azure Policy można zarządzać zasadami zabezpieczeń na serwerach z obsługą usługi Arc, w tym implementować zasady zabezpieczeń w Microsoft Defender dla Chmury. Zasady zabezpieczeń definiują żądaną konfigurację obciążeń i pomagają zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych. Defender dla Chmury zasady są oparte na inicjatywach zasad utworzonych w usłudze Azure Policy.
- Aby ograniczyć, które rozszerzenia można zainstalować na serwerze z obsługą usługi Arc, możesz skonfigurować listy rozszerzeń, które mają być dozwolone i blokowane na serwerze. Menedżer rozszerzeń oceni wszystkie żądania dotyczące instalowania, aktualizowania lub uaktualniania rozszerzeń względem listy dozwolonych i listy zablokowanych w celu określenia, czy rozszerzenie można zainstalować na serwerze.
- Usługa Azure Private Link umożliwia bezpieczne łączenie usług PaaS platformy Azure z siecią wirtualną przy użyciu prywatnych punktów końcowych. Serwery lokalne lub wielochmurowe można połączyć za pomocą usługi Azure Arc i wysyłać cały ruch przez usługę Azure ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja zamiast używać sieci publicznych. Możesz użyć modelu zakresu usługi Private Link, aby umożliwić wielu serwerom lub maszynom komunikowanie się z zasobami usługi Azure Arc przy użyciu jednego prywatnego punktu końcowego.
- Zapoznaj się z omówieniem zabezpieczeń serwerów z obsługą usługi Azure Arc, aby zapoznać się z kompleksowym omówieniem funkcji zabezpieczeń na serwerze z obsługą usługi Azure Arc.
- Inne zagadnienia dotyczące zabezpieczeń twojego rozwiązania opisano w sekcji Zasady projektowania zabezpieczeń w witrynie Microsoft Azure Well-Architected Framework.
Optymalizacja kosztów
- Funkcje płaszczyzny sterowania usługi Azure Arc są zapewniane bez dodatkowych kosztów. Obejmuje to obsługę organizacji zasobów za pośrednictwem grup zarządzania i tagów platformy Azure oraz kontroli dostępu za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Usługi platformy Azure używane w połączeniu z serwerami z obsługą usługi Azure Arc generują koszty zgodnie z ich użyciem.
- Aby uzyskać dodatkowe wskazówki dotyczące optymalizacji kosztów, zapoznaj się z tematem Zarządzanie kosztami dla serwerów z obsługą usługi Azure Arc.
- Inne zagadnienia dotyczące optymalizacji kosztów dla rozwiązania opisano w sekcji Zasady optymalizacji kosztów w witrynie Microsoft Azure Well-Architected Framework.
- Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.
- Podczas wdrażania implementacji referencyjnej rozwiązania Jumpstart ArcBox for IT Pros dla tej architektury należy pamiętać, że zasoby ArcBox generują opłaty za użycie platformy Azure na podstawie bazowych zasobów platformy Azure. Te zasoby obejmują podstawowe usługi obliczeniowe, magazynowe, sieciowe i pomocnicze.
Doskonałość operacyjna
- Automatyzacja wdrażania środowiska serwerów z obsługą usługi Arc. Implementacja referencyjna tej architektury jest w pełni zautomatyzowana przy użyciu kombinacji szablonów usługi Azure ARM, rozszerzeń maszyn wirtualnych, konfiguracji usługi Azure Policy i skryptów programu PowerShell. Możesz również ponownie użyć tych artefaktów dla własnych wdrożeń. Zapoznaj się z dziedzinami automatyzacji dla serwerów z obsługą usługi Azure Arc, aby uzyskać dodatkowe wskazówki dotyczące automatyzacji serwerów z obsługą usługi Arc w przewodniku Cloud Adoption Framework (CAF).
- Na platformie Azure dostępnych jest kilka opcji automatyzowania dołączania serwerów z obsługą usługi Arc. Aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejącej platformy automatyzacji w organizacji.
- Rozszerzenia maszyn wirtualnych można wdrożyć na serwerach z obsługą usługi Arc, aby uprościć zarządzanie serwerami hybrydowymi w całym cyklu życia. Rozważ zautomatyzowanie wdrażania rozszerzeń maszyn wirtualnych za pośrednictwem usługi Azure Policy podczas zarządzania serwerami na dużą skalę.
- Włącz zarządzanie poprawkami i aktualizacjami na dołączonych serwerach z obsługą usługi Azure Arc, aby ułatwić zarządzanie cyklem życia systemu operacyjnego.
- Zapoznaj się z tematem Azure Arc Jumpstart Unified Operations Use Cases (Ujednolicone przypadki użycia operacji w usłudze Azure Arc), aby dowiedzieć się więcej o dodatkowych scenariuszach doskonałości operacyjnej dla serwerów z obsługą usługi Azure Arc.
- Inne zagadnienia dotyczące doskonałości operacyjnej dotyczące rozwiązania zostały opisane w sekcji Zasady projektowania doskonałości operacyjnej w witrynie Microsoft Azure Well-Architected Framework.
Efektywność wydajności
- Przed skonfigurowaniem maszyn przy użyciu serwerów z obsługą usługi Azure Arc zapoznaj się z limitami subskrypcji usługi Azure Resource Manager i limitami grup zasobów, aby zaplanować liczbę maszyn do połączenia.
- Podejście wdrażania etapowego zgodnie z opisem w przewodniku wdrażania może pomóc w ustaleniu wymagań dotyczących pojemności zasobów dla implementacji.
- Usługa Azure Monitor umożliwia zbieranie danych bezpośrednio z serwerów z obsługą usługi Azure Arc w obszarze roboczym usługi Log Analytics w celu szczegółowej analizy i korelacji. Przejrzyj opcje wdrażania agentów usługi Azure Monitor.
- Dodatkowe zagadnienia dotyczące wydajności rozwiązania opisano w sekcji Zasady wydajności w witrynie Microsoft Azure Well-Architected Framework.
Wdrażanie tego scenariusza
Implementacja referencyjna tej architektury znajduje się w aplikacji Jumpstart ArcBox for IT Pros dołączonej do projektu Arc Jumpstart . Rozwiązanie ArcBox zostało zaprojektowane tak, aby było całkowicie samodzielne w ramach jednej subskrypcji platformy Azure i grupy zasobów. Aplikacja ArcBox ułatwia użytkownikowi praktyczne korzystanie ze wszystkich dostępnych technologii usługi Azure Arc z niczym więcej niż dostępną subskrypcją platformy Azure.
Aby wdrożyć implementację referencyjną, wykonaj kroki opisane w repozytorium GitHub, wybierając przycisk Jumpstart ArcBox for IT Pros poniżej.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- de Bruin | Starszy menedżer programu
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Dowiedz się więcej o usłudze Azure Arc
- Dowiedz się więcej o serwerach z obsługą usługi Azure Arc
- Ścieżka szkoleniowa usługi Azure Arc
- Zapoznaj się ze scenariuszami szybkiego startu usługi Azure Arc w przewodniku Szybki start usługi Arc
- Przegląd akceleratora strefy docelowej serwerów z obsługą usługi Arc w usłudze CAF
Powiązane zasoby
Zapoznaj się z powiązanymi architekturami: