Planejar e implantar servidores habilitado para o Azure Arc

  • Artigo

A implantação de um serviço de infraestrutura de TI ou aplicativo de negócios é um desafio para qualquer empresa. Para fazer isso bem e evitar surpresas indesejadas e custos imprevistos, é preciso planejar cuidadosamente para estar o mais pronto possível. A implantação de servidores habilitados para Azure Arc em qualquer escala deve abranger os critérios de design e implantação que precisam ser atendidos para concluir as tarefas com êxito.

Para que a implantação seja tranquila, seu plano deve deixar claro:

  • Funções e responsabilidades.
  • Inventário de servidores físicos ou máquinas virtuais para verificar se eles atendem aos requisitos de rede e de sistema.
  • O conjunto de habilidades e o treinamento necessários para habilitar a implantação bem-sucedida e o gerenciamento contínuo.
  • Critérios de aceitação e como você monitora seu sucesso.
  • Ferramentas ou métodos a usar para automatizar as implantações.
  • Riscos identificados e planos de mitigação para evitar atrasos, interrupções etc.
  • Como evitar a interrupção durante a implantação.
  • Qual é o caminho de escalonamento quando ocorre um problema significativo?

A finalidade deste artigo é preparar você para uma implantação bem-sucedida de servidores habilitados para Azure Arc em vários servidores físicos de produção ou máquinas virtuais no seu ambiente.

Para saber mais sobre nossas recomendações de implantação em escala, consulte também este vídeo.

Pré-requisitos

Considere os seguintes requisitos básicos ao planejar sua implantação:

  • Seus computadores devem executam um sistema operacional com suporte com o agente do Connected Machine.
  • Seus computadores devem ter conectividade da sua rede local ou de outro ambiente de nuvem para recursos no Azure, seja diretamente ou por meio de um servidor proxy.
  • Para instalar e configurar o agente do Azure Connected Machine, você deve ter uma conta com privilégios elevados (ou seja, um administrador ou como raiz) nos computadores.
  • Para os computadores integrados, você deve ter a função interna do Azure de Integração de Azure Connected Machine.
  • Para ler, modificar e excluir um computador, é necessário ter a função interna do Azure de Administrador de Recursos do Azure Connected Machine.

Para obter mais detalhes, consulte os pré-requisitos e os requisitos de rede para instalar o agente do Connected Machine.

Piloto

Antes da implantação em todos os computadores de produção, comece pela avaliação do processo de implantação antes de ele ser adotado em larga escala no seu ambiente. Para um piloto, identifique uma amostra representativa de computadores não críticos para a capacidade da empresa de realizar negócios. Recomendamos ter tempo suficiente, no mínimo de 30 dias, para executar o piloto e avaliar o impacto.

Estabeleça um plano formal que descreva o escopo e os detalhes do piloto. Veja a seguir um exemplo do que um plano deve incluir para ajudar você a começar.

  • Metas – Descreve os motivadores técnicos e de negócios que levaram a decidir que um piloto é necessário.
  • Critérios de seleção – Especifica os critérios usados para escolher os aspectos da solução que serão demonstrados por meio de um piloto.
  • Escopo – Descreve o escopo do piloto, que inclui, entre outros, componentes da solução, agendamento antecipado, duração do piloto e número de computadores de destino.
  • Critérios e métricas de sucesso – Defina os critérios de sucesso do piloto e as medidas específicas usadas para determinar o nível de sucesso.
  • Plano de treinamento – Descreve o plano para treinar engenheiros de sistema, administradores etc. que são iniciantes no Azure e em serviços de TI durante o piloto.
  • Plano de transição – Descreve a estratégia e os critérios usados para orientar a transição do piloto para a produção.
  • Reversão – Descreve os procedimentos para reverter um piloto para o estado de pré-implantação.
  • Riscos – Lista todos os riscos identificados para condução do piloto e associados à implantação em produção.

Fase 1: crie uma base

Nesta fase, os engenheiros de sistema ou os administradores habilitam os principais recursos da assinatura do Azure de suas organizações para criar a base antes de habilitar seus computadores para gerenciamento por servidores habilitados para Azure Arc e outros serviços do Azure.

Tarefa Detalhe Duração estimada
Criar um Grupo de Recursos. Um grupo de recursos dedicado para incluir somente os servidores habilitados para Azure Arc e centralizar o gerenciamento e o monitoramento desses recursos. Uma hora
Aplique marcas para ajudar a organizar computadores. Avalie e desenvolva uma estratégia de marcação alinhada à TI que ajuda a reduzir a complexidade de gerenciar servidores habilitados para Azure Arc e simplifica a tomada de decisões de gerenciamento. Um dia
Criar e implantar logs do Azure Monitor Avalie as considerações de design e implantação para determinar se sua organização deve usar um existente ou implementar outro workspace do Log Analytics para armazenar dados de log coletados de servidores e computadores híbridos.1 Um dia
Desenvolver um plano de governança para o Azure Policy Determine como você implementará a governança de servidores e computadores híbridos na assinatura ou no escopo do grupo de recursos com o Azure Policy. Um dia
Configurar o RBAC (controle de acesso baseado em função) Desenvolva um plano de acesso para controlar quem tem acesso de gerenciamento a servidores habilitados para Azure Arc e a capacidade de exibir seus dados de outros serviços e soluções do Azure. Um dia
Identificar computadores com o agente do Log Analytics já instalado Execute a seguinte consulta de log no Log Analytics para ser compatível com a conversão de implantações existentes do agente do Log Analytics para o agente gerenciado por extensão:
Pulsação
| resumir arg_max(TimeGenerated, OSType, ResourceId, ComputerEnvironment) por Computador
| onde ComputerEnvironment == "Non-Azure" e isempty(ResourceId)
| Computador do projeto, OSType		 Uma hora

1 Ao avaliar o design do workspace do Log Analytics, considere a integração com o Automação do Azure em suporte ao recurso Gerenciamento de Atualizações e Controle de Alterações e Inventário, bem como ao Microsoft Defender para Nuvem e ao Microsoft Sentinel. Se a organização já tiver uma conta de automação e tiver habilitado os recursos de gerenciamento vinculados a um workspace do Log Analytics, avalie se você pode centralizar e simplificar as operações de gerenciamento, bem como minimizar os custos usando esses recursos existentes em vez de criar uma conta duplicada, um workspace etc.

Fase 2 implantar servidores habilitados para Azure Arc

Em seguida, usamos a base criada na fase 1 para preparar e implantar o agente do Azure Connected Machine.

Tarefa Detalhe Duração estimada
Baixar o script de instalação predefinido Examine e personalize o script de instalação predefinido para a implantação em escala do Connected Machine Agent para ficar em conformidade com os seus requisitos de implantação automatizada.

Exemplo de recursos de integração em escala:

  • Integração em escala de VMs VMware vSphere do Windows Server
  • Integração em escala de VMs VMware vSphere do Linux
  • Integração em escala de instâncias EC2 do AWS com o Ansible
 Um ou mais dias, dependendo dos requisitos, dos processos organizacionais (por exemplo, Alteração e Release Management) e do método de automação usado.
Criar entidade de serviço Crie uma entidade de serviço para conectar computadores de modo não interativo usando o Azure PowerShell ou o portal. Uma hora
Implantar o Connected Machine Agent nos servidores e computadores de destino Use sua ferramenta de automação para implantar os scripts em seus servidores e conectá-los ao Azure. Um ou mais dias, dependendo do seu plano de versão, e se estiver seguindo uma distribuição em fases.

Fase 3: gerenciar e operar

Na Fase 3, é quando os administradores ou engenheiros de sistema podem habilitar a automação de tarefas manuais para gerenciar e operar o Connected Machine Agent e o computadores durante o ciclo de vida deles.

Tarefa Detalhe Duração estimada
Criar um alerta do Resource Health Se um servidor parar de enviar pulsações para o Azure por mais de 15 minutos, isso pode significar que ele está offline, que a conexão de rede foi bloqueada ou que o agente não está em execução. Desenvolva um plano de resposta e investigação desses incidentes e use os alertas do Resource Health para receber notificações quando eles forem iniciados.

Especifique o seguinte ao configurar o alerta:
Tipo de recurso = Servidores habilitados para Azure Arc
Status atual do recurso = Não disponível
Status atual do recurso = Disponível		 Uma hora
Criar um alerta do Assistente do Azure Para obter a melhor experiência e as correções de bugs e de segurança mais recentes, recomendamos manter atualizado o agente do Azure Connected Machine. Agentes desatualizados serão identificados com um alerta do Assistente do Azure.

Especifique o seguinte ao configurar o alerta:
Tipo de recomendação = Atualizar para a última versão do agente do Azure Connected Machine		 Uma hora
Atribuir políticas do Azure à assinatura ou ao escopo do grupo de recursos Atribua a políticaHabilitar Azure Monitor para VMs (e outras que atendam às suas necessidades) à assinatura ou ao escopo do grupo de recursos. O Azure Policy permite que você atribua definições de política que instalam os agentes necessários para as informações de VM em seu ambiente. Varia
Habilite o Gerenciador de Atualizações do Azure para seus servidores habilitados para Azure Arc. Configure o Gerenciador de Atualizações do Azure em seus servidores habilitados para Arc para gerenciar atualizações do sistema para suas máquinas virtuais Windows e Linux. Você pode optar por implantar atualizações sob demanda ou aplicar atualizações usando agendamento personalizado. 5 minutos

Próximas etapas