Zarządzanie konfiguracjami serwerów z obsługą usługi Azure Arc

Arc
Monitor
Zasady
Azure Resource Manager
Virtual Machines

Ta architektura referencyjna ilustruje sposób, w jaki usługa Azure Arc umożliwia zarządzanie, zarządzanie i zabezpieczanie serwerów w scenariuszach lokalnych, wielochmurowych i brzegowych oraz opiera się na implementacji azure Arc Jumpstart ArcBox for IT Pros . ArcBox to rozwiązanie, które umożliwia łatwe wdrażanie piaskownicy dla wszystkich elementów usługi Azure Arc. ArcBox for IT Pros to wersja oprogramowania ArcBox przeznaczona dla użytkowników, którzy chcą korzystać z możliwości serwerów z obsługą usługi Azure Arc w środowisku piaskownicy.

Architektura

Diagram topologii serwera hybrydowego usługi Azure Arc z serwerami z obsługą usługi Arc połączonymi z platformą Azure.

Pobierz plik programu PowerPoint tej architektury.

Składniki

Niniejsza architektura zawiera następujące składniki:

  • Grupa zasobów platformy Azure to kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa.
  • Skoroszyt ArcBox to skoroszyt usługi Azure Monitor, który zapewnia jedno okienko szkła do monitorowania i raportowania zasobów ArcBox. Skoroszyt działa jako elastyczna kanwa do analizy danych i wizualizacji w Azure Portal, zbierając informacje z kilku źródeł danych z całej aplikacji ArcBox i łącząc je w zintegrowane środowisko interaktywne.
  • Usługa Azure Monitor umożliwia śledzenie wydajności i zdarzeń dla systemów działających na platformie Azure, lokalnie lub w innych chmurach.
  • Azure Policy konfiguracja gościa może przeprowadzać inspekcję systemów operacyjnych i konfiguracji maszyn zarówno dla maszyn działających na serwerach platformy Azure, jak i serwerach z obsługą usługi Arc działających lokalnie lub w innych chmurach.
  • Azure Log Analytics to narzędzie w Azure Portal służące do edytowania i uruchamiania zapytań dzienników z danych zebranych przez dzienniki usługi Azure Monitor i interaktywnego analizowania ich wyników. Za pomocą zapytań usługi Log Analytics można pobierać rekordy spełniające określone kryteria, identyfikować trendy, analizować wzorce i udostępniać różne szczegółowe informacje o danych.
  • Microsoft Defender for Cloud to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP). Microsoft Defender dla chmury znajduje słabe punkty w konfiguracji chmury, pomaga wzmocnić ogólną postawę zabezpieczeń środowiska i chronić obciążenia w środowiskach wielochmurowych i hybrydowych przed zmieniającymi się zagrożeniami.
  • Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.
  • Serwery z obsługą usługi Azure Arc umożliwiają łączenie platformy Azure z maszynami z systemem Windows i Linux hostowanymi poza platformą Azure w sieci firmowej. Gdy serwer jest połączony z platformą Azure, staje się serwerem z obsługą usługi Arc i jest traktowany jako zasób na platformie Azure. Każdy serwer z obsługą usługi Arc ma identyfikator zasobu, tożsamość systemu zarządzanego i jest zarządzany jako część grupy zasobów w ramach subskrypcji. Serwery z obsługą usługi Arc korzystają ze standardowych konstrukcji platformy Azure, takich jak spis, zasady, tagi i usługa Azure Lighthouse.
  • Wirtualizacja zagnieżdżona funkcji Hyper-V jest używana przez aplikację Jumpstart ArcBox dla informatyków do hostowania maszyn wirtualnych z systemem Windows Server wewnątrz maszyny wirtualnej platformy Azure. Zapewnia to takie samo środowisko jak korzystanie z fizycznych maszyn z systemem Windows Server, ale bez wymagań sprzętowych.
  • Usługa Azure Virtual Network udostępnia sieć prywatną, która umożliwia składnikom w grupie zasobów platformy Azure komunikację, taką jak maszyny wirtualne.

Szczegóły scenariusza

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Organizowanie, zarządzanie i tworzenie spisu dużych grup maszyn wirtualnych i serwerów w wielu środowiskach.
  • Wymuszanie standardów organizacji i ocenianie zgodności na dużą skalę dla wszystkich zasobów w dowolnym miejscu przy użyciu Azure Policy.
  • Łatwe wdrażanie obsługiwanych rozszerzeń maszyn wirtualnych na serwerach z obsługą usługi Arc.
  • Konfigurowanie i wymuszanie Azure Policy dla maszyn wirtualnych i serwerów hostowanych w wielu środowiskach.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Konfigurowanie agenta połączonej maszyny usługi Azure Arc

Możesz połączyć dowolną inną maszynę fizyczną lub wirtualną z systemem Windows lub Linux z usługą Azure Arc. Przed dołączaniem maszyn należy spełnić wymagania wstępne agenta połączonej maszyny, które obejmują rejestrowanie dostawców zasobów platformy Azure dla serwerów z obsługą usługi Azure Arc. Aby połączyć maszynę z platformą Azure za pomocą usługi Azure Arc, musisz zainstalować agenta usługi Azure Connected Machine na każdej maszynie, którą planujesz nawiązać połączenie przy użyciu usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie agenta serwerów z obsługą usługi Azure Arc.

Po skonfigurowaniu agent połączonej maszyny wysyła zwykły komunikat pulsu co pięć minut na platformę Azure. Gdy puls nie zostanie odebrany, platforma Azure przypisuje stan offline maszyny, która jest odzwierciedlana w portalu w ciągu 15 do 30 minut. Po otrzymaniu kolejnego komunikatu pulsu z agenta połączonej maszyny jego stan zostanie automatycznie zmieniony na Połączono.

Na platformie Azure dostępnych jest kilka opcji łączenia maszyn z systemami Windows i Linux:

  • Instalacja ręczna: serwery z obsługą usługi Azure Arc można włączyć dla jednego lub kilku maszyn z systemem Windows lub Linux w środowisku przy użyciu zestawu narzędzi Windows Admin Center lub ręcznie wykonując zestaw kroków.
  • Instalacja oparta na skryptach: możesz przeprowadzić automatyczną instalację agenta, uruchamiając skrypt szablonu pobrany z Azure Portal.
  • Łączenie maszyn na dużą skalę przy użyciu jednostki usługi: aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejącej automatyzacji w organizacji.
  • Instalacja przy użyciu Windows PowerShell DSC

Zapoznaj się z opcjami wdrażania agenta połączonej maszyny platformy Azure , aby uzyskać kompleksową dokumentację dotyczącą różnych dostępnych opcji wdrażania.

Włączanie konfiguracji gościa Azure Policy

Serwery z obsługą usługi Azure Arc obsługują Azure Policy w warstwie zarządzania zasobami platformy Azure, a także na poszczególnych maszynach serwerowych przy użyciu zasad konfiguracji gościa. Azure Policy konfiguracja gościa może przeprowadzać inspekcję ustawień na maszynie, zarówno dla maszyn działających na serwerach platformy Azure, jak i z obsługą usługi Arc. Na przykład można przeprowadzać inspekcję ustawień, takich jak:

  • Konfiguracja systemu operacyjnego
  • Konfiguracja lub obecność aplikacji
  • Ustawienia środowiska

Istnieje kilka Azure Policy wbudowanych definicji usługi Azure Arc. Te zasady zapewniają ustawienia inspekcji i konfiguracji dla maszyn z systemem Windows i Linux.

Włączanie usługi Azure Update Management

Update Management. Zarządzanie aktualizacjami dla serwerów z obsługą usługi Arc można wykonać. Zarządzanie aktualizacjami w Azure Automation umożliwia zarządzanie aktualizacjami systemu operacyjnego i szybkie ocenianie stanu dostępnych aktualizacji na wszystkich maszynach agentów. Można również zarządzać procesem instalowania wymaganych aktualizacji dla serwerów.

Śledzenie zmian i spis. Azure Automation Śledzenie zmian i spis dla serwerów z obsługą usługi Arc umożliwia określenie, jakie oprogramowanie jest zainstalowane w danym środowisku. Możesz zbierać i obserwować spis oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows. Śledzenie konfiguracji maszyn ułatwia identyfikowanie problemów operacyjnych w środowisku oraz lepsze rozumienie stanu maszyn.

Monitorowanie serwerów z obsługą usługi Azure Arc

Za pomocą usługi Azure Monitor można monitorować maszyny wirtualne, zestawy skalowania maszyn wirtualnych i maszyny usługi Azure Arc na dużą skalę. Usługa Azure Monitor analizuje wydajność i kondycję maszyn wirtualnych z systemem Windows i Linux oraz monitoruje procesy i zależności od innych zasobów i procesów zewnętrznych. Obejmuje ona obsługę wydajności monitorowania i zależności aplikacji dla maszyn wirtualnych hostowanych lokalnie lub u innych dostawców usług w chmurze.

Agenci usługi Azure Monitor powinni być automatycznie wdrażani na serwerach z systemem Windows i Linux z obsługą usługi Azure Arc za pośrednictwem Azure Policy. Przejrzyj i dowiedz się, jak agent usługi Log Analytics działa i zbiera dane przed wdrożeniem.

Projektowanie i planowanie wdrożenia obszaru roboczego usługi Log Analytics. Będzie to kontener, w którym dane są zbierane, agregowane i analizowane później. Obszar roboczy usługi Log Analytics reprezentuje lokalizację geograficzną danych, izolację danych oraz zakres konfiguracji, takich jak przechowywanie danych. Użyj jednego obszaru roboczego usługi Log Analytics usługi Azure Monitor zgodnie z opisem w artykule Zarządzanie i monitorowanie najlepszych rozwiązań dotyczących Cloud Adoption Framework.

Zabezpieczanie serwerów z obsługą usługi Azure Arc

Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie tożsamości zarządzanych serwerów z obsługą usługi Azure Arc i zarządzanie nimi oraz przeprowadzanie okresowych przeglądów dostępu dla tych tożsamości. Kontrolowanie ról uprzywilejowanych użytkowników w celu uniknięcia nieprawidłowego użycia tożsamości zarządzanych przez system w celu uzyskania nieautoryzowanego dostępu do zasobów platformy Azure.

Rozważ użycie usługi Azure Key Vault do zarządzania certyfikatami na serwerach z obsługą usługi Azure Arc. Rozszerzenie maszyny wirtualnej magazynu kluczy umożliwia zarządzanie cyklem życia certyfikatu na maszynach z systemami Windows i Linux.

Połącz serwery z obsługą usługi Azure Arc w celu Microsoft Defender for Cloud. Ułatwia to rozpoczęcie zbierania konfiguracji i dzienników zdarzeń związanych z zabezpieczeniami, dzięki czemu można zalecić akcje i poprawić ogólny stan zabezpieczeń platformy Azure.

Łączenie serwerów z usługą Azure Arc z usługą Microsoft Sentinel. Umożliwia to rozpoczęcie zbierania zdarzeń związanych z zabezpieczeniami i rozpoczynanie korelowania ich z innymi źródłami danych.

Weryfikowanie topologii sieci

Agent połączonej maszyny dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Agent Connected Machine może nawiązać połączenie z płaszczyzną sterowania platformy Azure przy użyciu następujących metod:

Zapoznaj się z topologią sieci i łącznością dla serwerów z obsługą usługi Azure Arc , aby uzyskać kompleksowe wskazówki dotyczące sieci dla implementacji serwerów z obsługą usługi Arc.

Zagadnienia do rozważenia

Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem podstawowych zestawów, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

  • W większości przypadków lokalizacja wybrana podczas tworzenia skryptu instalacji powinna być regionem świadczenia usługi Azure znajdującym się geograficznie najbliżej lokalizacji maszyny. Pozostałe dane będą przechowywane w obszarze geograficznym platformy Azure zawierającym określony region, co może również mieć wpływ na wybór regionu, jeśli masz wymagania dotyczące przechowywania danych. Jeśli awaria wpłynie na region świadczenia usługi Azure, z którym maszyna jest połączona, awaria nie wpłynie na serwer z obsługą usługi Arc. Jednak operacje zarządzania korzystające z platformy Azure mogą nie być dostępne.
  • Jeśli masz wiele lokalizacji, które zapewniają usługę geograficznie nadmiarową, najlepiej jest połączyć maszyny w każdej lokalizacji z innym regionem świadczenia usługi Azure w celu zapewnienia odporności w przypadku awarii regionalnej.
  • Jeśli agent maszyny połączonej z platformą Azure przestanie wysyłać pulsy na platformę Azure lub przechodzi w tryb offline, nie będzie można wykonywać na nim zadań operacyjnych. W związku z tym konieczne jest opracowanie planu powiadomień i odpowiedzi.
  • Skonfiguruj alerty dotyczące kondycji zasobów , aby otrzymywać powiadomienia niemal w czasie rzeczywistym, gdy zasoby mają zmianę stanu kondycji. Zdefiniuj zasady monitorowania i alertów w Azure Policy, które identyfikują serwery z obsługą usługi Azure Arc w złej kondycji.
  • Rozszerz bieżące rozwiązanie do tworzenia kopii zapasowych na platformę Azure lub łatwo skonfiguruj replikację z obsługą aplikacji i spójną na poziomie aplikacji kopię zapasową, która jest skalowana w zależności od potrzeb biznesowych. Scentralizowany interfejs zarządzania dla Azure Backup i usługi Azure Site Recovery ułatwia definiowanie zasad w celu natywnej ochrony, monitorowania i zarządzania serwerami z systemem Windows i Linux z obsługą usługi Arc.
  • Zapoznaj się ze wskazówkami dotyczącymi ciągłości działania i odzyskiwania po awarii , aby określić, czy wymagania przedsiębiorstwa zostały spełnione.
  • Inne zagadnienia dotyczące niezawodności rozwiązania opisano w sekcji zasady projektowania niezawodności w przewodniku Microsoft Azure Well-Architected Framework.

Zabezpieczenia

  • Odpowiednią kontrolę dostępu opartą na rolach (RBAC) platformy Azure należy zarządzać dla serwerów z obsługą usługi Arc. Aby dołączyć maszyny, musisz być członkiem roli dołączania maszyny połączonej platformy Azure . Aby odczytać, zmodyfikować, ponownie dołączyć i usunąć maszynę, musisz być członkiem roli administratora zasobów połączonej maszyny platformy Azure .
  • Microsoft Defender for Cloud może monitorować systemy lokalne, maszyny wirtualne platformy Azure, zasoby usługi Azure Monitor, a nawet maszyny wirtualne hostowane przez innych dostawców chmury. Włącz Microsoft Defender dla serwerów dla wszystkich subskrypcji zawierających serwery z obsługą usługi Azure Arc na potrzeby monitorowania punktu odniesienia zabezpieczeń, zarządzania stanem zabezpieczeń i ochrony przed zagrożeniami.
  • Usługa Microsoft Sentinel może ułatwić zbieranie danych w różnych źródłach, w tym na platformie Azure, rozwiązaniach lokalnych i w chmurach przy użyciu wbudowanych łączników.
  • Za pomocą Azure Policy można zarządzać zasadami zabezpieczeń na serwerach z obsługą usługi Arc, w tym implementować zasady zabezpieczeń w Microsoft Defender for Cloud. Zasady zabezpieczeń definiują żądaną konfigurację obciążeń i pomagają zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych. Zasady usługi Defender for Cloud są oparte na inicjatywach zasad utworzonych w Azure Policy.
  • Aby ograniczyć, które rozszerzenia można zainstalować na serwerze z obsługą usługi Arc, można skonfigurować listy rozszerzeń, które mają być dozwolone i blokowane na serwerze. Menedżer rozszerzeń oceni wszystkie żądania dotyczące instalowania, aktualizowania lub uaktualniania rozszerzeń względem listy dozwolonych i listy zablokowanych w celu określenia, czy rozszerzenie można zainstalować na serwerze.
  • Azure Private Link umożliwia bezpieczne łączenie usług PaaS platformy Azure z siecią wirtualną przy użyciu prywatnych punktów końcowych. Serwery lokalne lub wielochmurowe można połączyć za pomocą usługi Azure Arc i wysyłać cały ruch przez usługę Azure ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja zamiast używać sieci publicznych. Możesz użyć modelu zakresu Private Link, aby umożliwić wielu serwerom lub maszynom komunikowanie się z zasobami usługi Azure Arc przy użyciu jednego prywatnego punktu końcowego.
  • Zapoznaj się z omówieniem zabezpieczeń serwerów z obsługą usługi Azure Arc , aby zapoznać się z kompleksowym omówieniem funkcji zabezpieczeń na serwerze z obsługą usługi Azure Arc.
  • Inne zagadnienia dotyczące zabezpieczeń rozwiązania opisano w sekcji Zasady projektowania zabezpieczeń w programie Microsoft Azure Well-Architected Framework.

Optymalizacja kosztów

  • Funkcje płaszczyzny sterowania usługi Azure Arc są udostępniane bez dodatkowych kosztów. Obejmuje to obsługę organizacji zasobów za pośrednictwem grup zarządzania i tagów platformy Azure oraz kontroli dostępu za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Usługi platformy Azure używane w połączeniu z serwerami z obsługą usługi Azure Arc generują koszty zgodnie z ich użyciem.
  • Aby uzyskać dodatkowe wskazówki dotyczące optymalizacji kosztów, zapoznaj się z tematem Zarządzanie kosztami dla serwerów z obsługą usługi Azure Arc .
  • Inne zagadnienia dotyczące optymalizacji kosztów dla rozwiązania opisano w sekcji Zasady optymalizacji kosztów w programie Microsoft Azure Well-Architected Framework.
  • Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.
  • Podczas wdrażania implementacji referencyjnej rozwiązania Jumpstart ArcBox for IT Pros dla tej architektury należy pamiętać, że zasoby usługi ArcBox generują opłaty za użycie platformy Azure na podstawie podstawowych zasobów platformy Azure. Te zasoby obejmują podstawowe usługi obliczeniowe, magazynowe, sieciowe i pomocnicze.

Efektywność operacyjna

  • Automatyzacja wdrażania środowiska serwerów z obsługą usługi Arc. Implementacja referencyjna tej architektury jest w pełni zautomatyzowana przy użyciu kombinacji szablonów usługi Azure ARM, rozszerzeń maszyn wirtualnych, konfiguracji Azure Policy i skryptów programu PowerShell. Możesz również ponownie użyć tych artefaktów dla własnych wdrożeń. Zapoznaj się z tematami Automatyzacja dla serwerów z obsługą usługi Azure Arc, aby uzyskać dodatkowe wskazówki dotyczące automatyzacji serwerów z obsługą usługi Arc w Cloud Adoption Framework (CAF).
  • Na platformie Azure dostępnych jest kilka opcji automatyzowania dołączania serwerów z obsługą usługi Arc. Aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejącej platformy automatyzacji w organizacji.
  • Rozszerzenia maszyn wirtualnych można wdrożyć na serwerach z obsługą usługi Arc, aby uprościć zarządzanie serwerami hybrydowymi w całym cyklu życia. Rozważ zautomatyzowanie wdrażania rozszerzeń maszyn wirtualnych za pośrednictwem Azure Policy podczas zarządzania serwerami na dużą skalę.
  • Włącz zarządzanie poprawkami i aktualizacjami na dołączonych serwerach z obsługą usługi Azure Arc, aby ułatwić zarządzanie cyklem życia systemu operacyjnego.
  • Zapoznaj się z tematem Azure Arc Jumpstart Unified Operations Use Cases (Ujednolicone przypadki użycia operacji w usłudze Azure Arc), aby dowiedzieć się więcej o dodatkowych scenariuszach doskonałości operacyjnej dla serwerów z obsługą usługi Azure Arc.
  • Inne zagadnienia dotyczące doskonałości operacyjnej dla rozwiązania opisano w sekcji Zasady projektowania doskonałości operacyjnej w przewodniku Microsoft Azure Well-Architected Framework.

Efektywność wydajności

  • Przed skonfigurowaniem maszyn przy użyciu serwerów z obsługą usługi Azure Arc należy przejrzeć limity subskrypcji usługi Azure Resource Manager i limity grup zasobów, aby zaplanować liczbę maszyn do nawiązania połączenia.
  • Podejście wdrażania etapowego, zgodnie z opisem w przewodniku wdrażania , może pomóc w określeniu wymagań dotyczących pojemności zasobów dla implementacji.
  • Usługa Azure Monitor umożliwia zbieranie danych bezpośrednio z serwerów z obsługą usługi Azure Arc w obszarze roboczym usługi Log Analytics w celu szczegółowej analizy i korelacji. Przejrzyj opcje wdrażania agentów usługi Azure Monitor.
  • Dodatkowe zagadnienia dotyczące wydajności rozwiązania opisano w sekcji Zasady wydajności wydajności w programie Microsoft Azure Well-Architected Framework.

Wdrażanie tego scenariusza

Implementację referencyjną tej architektury można znaleźć w aplikacji Jumpstart ArcBox for IT Pros dołączonej do projektu Arc Jumpstart . Rozwiązanie ArcBox zostało zaprojektowane tak, aby było całkowicie samodzielne w ramach jednej subskrypcji platformy Azure i grupy zasobów. Rozwiązanie ArcBox ułatwia użytkownikowi praktyczne korzystanie ze wszystkich dostępnych technologii usługi Azure Arc z niczym więcej niż dostępną subskrypcją platformy Azure.

Aby wdrożyć implementację referencyjną, wykonaj kroki opisane w repozytorium GitHub, wybierając przycisk Jumpstart ArcBox for IT Pros poniżej.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Został pierwotnie napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepublice profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Eksplorowanie powiązanych architektur: