Quais são as principais funcionalidades de gerenciamento e governança dos servidores habilitados para Azure Arc?
O Azure Arc permite que você estenda o escopo de vários serviços do Azure para servidores Windows e Linux que não são do Azure. Isso ajuda empresas como a Contoso a padronizar a estratégia de gerenciamento ao operar em cenários híbridos. Nesta unidade, você aprenderá sobre as funcionalidades do Azure Arc, concentrando-se naquelas disponíveis exclusivamente nos servidores habilitados para Azure e Azure Arc.
Quais são as principais funcionalidades do gerenciamento de recursos dos servidores habilitados para Azure Arc?
Vários benefícios do Azure Arc são independentes do tipo de recurso, pois refletem as funcionalidades do Azure Resource Manager. Esses benefícios incluem:
A capacidade de organizar todos os recursos organizacionais usando grupos de gerenciamento, assinaturas, grupos de recursos e marcas do Azure.
Um só inventário abrangente de ativos organizacionais em várias nuvens e no local, incluindo suporte para pesquisa e indexação usando o Azure Resource Graph.
Uma exibição consolidada dos recursos habilitados para Azure Arc e do Azure por meio do portal do Azure, da CLI (interface de linha de comando) do Azure, do Azure PowerShell e da API (interface de programação de aplicativo) REST (Transferência de Estado Representacional).
Acesso direto do portal do Azure à maioria dos recursos de gerenciamento dos servidores habilitados para Azure Arc:
- RBAC (controle de acesso baseado em função) para exibir logs e dados de inventário do servidor
- Extensões de VM para implantar agentes de software e executar scripts em seu servidor
- Configuração de convidado do Azure Policy para auditar a configuração do sistema operacional e do software
- Uma identidade gerenciada atribuída pelo sistema do Microsoft Entra para aplicativos em execução no servidor a serem usados durante a autenticação em outros serviços do Azure
Também há benefícios específicos para servidores habilitados para Azure Arc, como:
- A capacidade de aplicar extensões de VM (Máquina Virtual) do Azure para automatizar a configuração de servidores Windows e Linux do Azure e que não são do Azure de maneira consistente.
- O suporte para configuração de convidado do Azure Policy. O Azure Policy dá suporte à auditoria de servidores habilitados para Azure Arc da mesma forma que os equivalentes residentes no Azure. Isso permite que você use a mesma abordagem para avaliar se as configurações de todos os servidores no ambiente estão em conformidade com os padrões organizacionais.
O que são as extensões da VM e de que modo elas são usadas com os servidores habilitados para Azure Arc?
As extensões de VM são componentes de software leves que automatizam tarefas pós-automação e configuração de implantação de sistema operacional. Tradicionalmente, as extensões de VM estavam disponíveis apenas em VMs do Azure, mas agora é possível usar extensões selecionadas em servidores habilitados para Azure Arc. A seguinte tabela descreve as extensões que podem ser adicionadas aos servidores habilitados para Azure Arc executando um sistema operacional Windows Server ou Linux:
| Extensão | Informações adicionais |
|---|---|
| Agente do Log Analytics | Instala o agente do Log Analytics no servidor de destino habilitado para Arc e o configura para o encaminhamento de log a um workspace do Log Analytics. |
| Agente de dependência | Instala o Dependency Agent no servidor de destino habilitado para Arc a fim de facilitar a identificação de dependências internas e externas de cargas de trabalho de servidor. |
| Agente do Azure Key Vault | Sincroniza certificados de uma instância do Azure Key Vault para o servidor habilitado para Arc. |
| Extensão Qualys | Solução de verificação de avaliação de vulnerabilidades do Microsoft Defender para servidores. |
| Desired State Configuration | Aplica uma configuração DSC do PowerShell ao servidor de destino habilitado para Arc. |
| Extensão de script personalizado | Executa um script no servidor de destino habilitado para Arc. |
O que é o Azure Policy e de que modo ele é usado na governança de servidores habilitados para Azure Arc?
O Azure Policy é um serviço que pode ajudar as organizações a gerenciar e avaliar a conformidade interna e regulatória dos servidores habilitados para Arc, além de uma ampla variedade de serviços do Azure. O Azure Policy usa regras declarativas baseadas em propriedades de tipos de recursos de destino, incluindo sistemas operacionais Windows e Linux. Essas regras formam definições de política, que os administradores podem aplicar por meio da atribuição de política a grupos de recursos, assinaturas ou grupos de gerenciamento que hospedam servidores habilitados para Azure Arc. Para simplificar o gerenciamento de definição de política, você pode combinar várias políticas em iniciativas e criar algumas atribuições de iniciativa em vez de várias atribuições de política.
O Azure Policy dá suporte à auditoria do estado do servidor habilitado para Arc com as políticas da configuração de convidado. As políticas da configuração de convidado não aplicam configurações, mas realizam auditoria das configurações no sistema operacional de destino e avaliam a conformidade delas. No entanto, você pode usar o Azure Policy para aplicar a configuração do recurso do Azure que representa um servidor habilitado para Arc. Você também pode usar o Azure Policy para implantar configurações usando as extensões de VM.
Por exemplo, a Contoso pode usar o Azure Policy para implementar as seguintes regras:
- Atribuir uma marca específica aos recursos que representam os servidores habilitados para Arc durante o registro deles.
- Identificar os servidores habilitados para Arc que executam o Windows com o Microsoft Defender Exploit Guard desabilitado.
- Identificar os servidores habilitados para Arc que executam o Windows que não estão conectados a um domínio específico do AD DS (Active Directory Domain Services).
- Identificar os servidores habilitados para Arc que executam o Windows ou o Linux sem o agente do Log Analytics instalado.
- Identificar os servidores habilitados para Arc que executam o Linux que não estão usando chaves SSH para autenticação.
Observação
As políticas que dão suporte à correção não precisam avaliar a lógica da política dentro do sistema operacional do servidor habilitado para Azure Arc, mas, em vez disso, dependem dos metadados de recursos do Azure. Exemplos dessas políticas incluem a imposição de conformidade de marca ou implantação de extensões de VM.
Observação
O Azure Policy dá suporte a VMs do Azure e a servidores habilitados para Azure Arc, fornecendo uma visão consistente e em toda a organização das informações de conformidade.
Como atribuir Políticas do Azure a servidores habilitados para Azure Arc?
É possível gerenciar e atribuir políticas do Azure aos servidores habilitados para Azure Arc diretamente do portal do Azure.
Depois de criar uma atribuição de política, logo em seguida, você poderá examinar o resultado da avaliação de política nos servidores habilitados para Azure Arc de destino.
Quais são os benefícios do Gerenciamento de Atualizações da Automação do Azure em cenários híbridos?
A Automação do Azure é um serviço do Azure que ajuda a automatizar tarefas de manutenção no Azure e em ambientes locais usando scripts personalizados do PowerShell ou do Python. Além disso, a Automação do Azure dá suporte ao gerenciamento de configuração usando várias soluções internas que incluem Gerenciamento de Atualizações.
O Gerenciamento de Atualizações da Automação do Azure é uma solução híbrida que facilita o gerenciamento e o monitoramento de atualizações do sistema operacional em cenários híbridos. Ele fornece informações abrangentes sobre o status da atualização e ajuda a corrigir qualquer lacuna de maneira automatizada. Ele dá suporte à integração com qualquer uma das tecnologias de implantação de atualização padrão, incluindo Windows Update Services, WSUS (Windows Server Update Services) e Endpoint Configuration Manager.
Assim como o Microsoft Defender para Nuvem, a solução de Gerenciamento de Atualizações se baseia em dados coletados de servidores Windows pelo Azure Monitor e armazenados no workspace do Log Analytics que você designa. Isso, por sua vez, requer o agente do Log Analytics instalado localmente, que registra computadores gerenciados com o workspace do Log Analytics e carrega continuamente em dados coletados localmente. O mecanismo do Log Analytics analisa os dados coletados para determinar o status de conformidade da atualização de cada servidor gerenciado.
Em geral, o Gerenciamento de Atualizações permite que você:
- Rastrear o status das atualizações em seus servidores: o serviço inclui a interface baseada no portal do Azure, onde você pode revisar os status das atualizações em seu ambiente gerenciado.
- Configurar grupos dinâmicos de máquinas para direcionar implantações de atualizações: o serviço dá suporte a atualizações de destino de grupos com base em consultas do Log Analytics ou grupos importados de outra fonte, como o WSUS ou o Endpoint Configuration Manager.
- Pesquisar logs do Azure Monitor: o serviço permite que você execute consultas em logs armazenados no Log Analytics.
Quais são os benefícios do DSC (Desired State Configuration) de Automação do Azure em cenários híbridos?
A DSC do PowerShell é uma tecnologia que implementa o gerenciamento de configuração declarativa por meio de uma combinação de scripts do PowerShell e recursos do sistema operacional. A configuração pode ser tão simples quanto assegurar que um recurso específico do Windows esteja habilitado ou tão complexa quanto a implantação do SharePoint. Você pode implantar uma configuração DSC no modo de push ou de pull. O modo de push envolve a invocação da implantação de um computador de gerenciamento em um ou mais computadores gerenciados. No modo de pull, os computadores gerenciados executam a implantação automaticamente, com base nos dados de configuração de um local designado, chamado de servidor de pull. A Automação do Azure inclui um servidor de pull da DSC gerenciado e residente no Azure. Você pode aplicar uma configuração DSC no modo de push a computadores que não são do Azure, incluindo servidores habilitados para Azure Arc usando a extensão de VM. Como alternativa, você pode integrar os dois tipos de sistemas na Automação do Azure e gerenciar a configuração deles por meio de um servidor de pull.
Quais são os benefícios do Gerenciamento Automatizado do Azure em cenários híbridos?
As práticas recomendadas de computadores do Gerenciamento Automatizado do Azure são um serviço que elimina a necessidade de saber como integrar e configurar, bem como descobrir alguns serviços no Azure que beneficiam servidores habilitados para Arc. Depois da integração das máquinas virtuais ao Gerenciamento Automatizado do Azure, cada serviço de prática recomendada será definido com as configurações recomendadas. O Gerenciamento Automatizado do Azure também monitora automaticamente e corrige o descompasso quando detectado. Os serviços participantes incluem:
- Monitoramento de Insights de Computadores
- Gerenciamento de atualizações
- Controle De Alterações e Estoque
- Configuração de Convidado Azure
- Conta de Automação do Azure
- Workspace do Log Analytics
Escolha a resposta mais adequada para cada uma das perguntas a seguir e selecione Verificar suas respostas.