Esta arquitetura de referência ilustra como o Azure Arc permite gerenciar, governar e proteger servidores em cenários locais, multicloud e de borda e é baseada na implementação do Azure Arc Jumpstart ArcBox for IT Pros . O ArcBox é uma solução que fornece um sandbox fácil de implantar para todas as coisas do Azure Arc. O ArcBox for IT Pros é uma versão do ArcBox destinada a usuários que desejam experimentar os recursos de servidores habilitados para ArcGIS do Azure em um ambiente de área restrita.
Arquitetura
Transfira um ficheiro PowerPoint desta arquitetura.
Componentes
A arquitetura é composta pelos seguintes componentes:
- Um Grupo de Recursos do Azure é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que pretende gerir como um grupo.
- A pasta de trabalho ArcBox é uma pasta de trabalho do Azure Monitor, que fornece um único painel de vidro para monitorar e gerar relatórios sobre os recursos do ArcBox. A pasta de trabalho atua como uma tela flexível para análise e visualização de dados no portal do Azure, coletando informações de várias fontes de dados do ArcBox e combinando-as em uma experiência interativa integrada.
- O Azure Monitor permite que você acompanhe o desempenho e os eventos de sistemas em execução no Azure, no local ou em outras nuvens.
- A configuração de convidado da Política do Azure pode auditar sistemas operacionais e configuração de máquina para máquinas em execução no Azure e servidores habilitados para Arc em execução no local ou em outras nuvens.
- O Azure Log Analytics é uma ferramenta no portal do Azure para editar e executar consultas de log a partir de dados coletados pelos Logs do Azure Monitor e analisar interativamente seus resultados. Pode utilizar as consultas do Log Analytics para obter registos que correspondam a critérios específicos, identificar tendências, analisar padrões e fornecer várias informações sobre os dados.
- O Microsoft Defender for Cloud é uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP). O Microsoft Defender for Cloud encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura geral de segurança do seu ambiente e pode proteger cargas de trabalho em ambientes multicloud e híbridos contra ameaças em evolução.
- O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.
- Os servidores habilitados para Azure Arc permitem que você conecte o Azure às suas máquinas Windows e Linux hospedadas fora do Azure em sua rede corporativa. Quando um servidor está conectado ao Azure, ele se torna um servidor habilitado para Arc e é tratado como um recurso no Azure. Cada servidor habilitado para Arc tem uma ID de recurso, uma identidade de sistema gerenciado e é gerenciado como parte de um grupo de recursos dentro de uma assinatura. Os servidores habilitados para arco se beneficiam de construções padrão do Azure, como inventário, política, tags e Azure Lighthouse.
- A virtualização aninhada do Hyper-V é usada pelo Jumpstart ArcBox for IT Pros para hospedar máquinas virtuais do Windows Server dentro de uma máquina virtual do Azure. Isso fornece a mesma experiência que usar máquinas físicas do Windows Server, mas sem os requisitos de hardware.
- A Rede Virtual do Azure fornece uma rede privada que permite que os componentes dentro do Grupo de Recursos do Azure se comuniquem, como as máquinas virtuais.
Detalhes do cenário
Potenciais casos de utilização
Utilizações típicas desta arquitetura:
- Organize, controle e inventarie grandes grupos de máquinas virtuais (VMs) e servidores em vários ambientes.
- Aplique os padrões da organização e avalie a conformidade em escala para todos os seus recursos em qualquer lugar com a Política do Azure.
- Implante facilmente extensões de VM suportadas em servidores habilitados para Arc.
- Configure e imponha a Política do Azure para VMs e servidores hospedados em vários ambientes.
Recomendações
As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.
Configurar o agente Azure Arc Connected Machine
Você pode conectar qualquer outra máquina física ou virtual executando Windows ou Linux ao Azure Arc. Antes de integrar máquinas, certifique-se de concluir os pré-requisitos do agente de máquina conectada, que inclui registrar os provedores de recursos do Azure para servidores habilitados para Azure Arc. Para usar o Azure Arc para conectar a máquina ao Azure, você precisa instalar o agente do Azure Connected Machine em cada máquina que você planeja conectar usando o Azure Arc. Para obter mais informações, consulte Visão geral do agente de servidores habilitados para Azure Arc.
Uma vez configurado, o agente da Máquina Conectada envia uma mensagem de pulsação regular a cada cinco minutos para o Azure. Quando a pulsação não é recebida, o Azure atribui o status Offline da máquina, que é refletido no portal dentro de 15 a 30 minutos. Ao receber uma mensagem de pulsação subsequente do agente da Máquina Conectada, seu status mudará automaticamente para Conectado.
Há várias opções disponíveis no Azure para conectar suas máquinas Windows e Linux:
- Instalação manual: os servidores habilitados para Azure Arc podem ser habilitados para uma ou algumas máquinas Windows ou Linux em seu ambiente usando o conjunto de ferramentas do Windows Admin Center ou executando um conjunto de etapas manualmente.
- Instalação baseada em script: você pode executar a instalação automatizada do agente executando um script de modelo baixado do portal do Azure.
- Conecte máquinas em escala usando uma entidade de serviço: para integrar em escala, use uma entidade de serviço e implante por meio da automação existente de suas organizações.
- Instalação usando o Windows PowerShell DSC
Consulte as opções de implantação do agente do Azure Connected Machine para obter documentação abrangente sobre as várias opções de implantação disponíveis.
Habilitar a configuração de convidado da Política do Azure
Os servidores habilitados para Azure Arc dão suporte à Política do Azure na camada de gerenciamento de recursos do Azure e também na máquina de servidor individual usando políticas de configuração de convidado. A configuração de convidado da Política do Azure pode auditar as configurações dentro de uma máquina, tanto para máquinas em execução no Azure quanto para servidores habilitados para Arc. Por exemplo, pode auditar definições como:
- Configuração do sistema operativo
- Presença ou configuração da aplicação
- Definições do ambiente
Há várias definições internas da Política do Azure para o Azure Arc. Essas políticas fornecem definições de auditoria e configuração para máquinas baseadas em Windows e Linux.
Habilitar o Azure Update Manager
Gestor de Atualizações. Você precisa adotar um gerenciamento de atualizações para servidores habilitados para Arc. O gerenciador de atualizações é recomendado para gerenciar atualizações do sistema operacional e avaliar o status das atualizações disponíveis em todas as máquinas do agente. O gerenciador de atualizações também deve ser usado para gerenciar o processo de instalação das atualizações necessárias para os servidores.
Controlo de Alterações e Inventário. O Azure Automation Change Tracking and Inventory for Arc-enabled servers permite determinar qual software está instalado em seu ambiente. Você pode coletar e observar o inventário de software, arquivos, daemons Linux, serviços do Windows e chaves do Registro do Windows. Controlar as configurações dos seus computadores pode ajudar a identificar problemas operacionais em todo o ambiente e compreender melhor o estado dos mesmos.
Monitorar servidores habilitados para Azure Arc
Você pode usar o Azure Monitor para monitorar suas VMs, conjuntos de dimensionamento de máquinas virtuais e máquinas Azure Arc em escala. O Azure Monitor analisa o desempenho e a integridade de suas VMs Windows e Linux e monitora seus processos e dependências em outros recursos e processos externos. Inclui suporte para monitorizar o desempenho e as dependências da aplicação para VMs alojadas no local ou noutro fornecedor de cloud.
Os agentes do Azure Monitor devem ser implantados automaticamente nos servidores Windows e Linux habilitados para Azure Arc, por meio da Política do Azure. Analise e entenda como o agente do Log Analytics opera e coleta dados antes da implantação.
Projete e planeje a implantação do espaço de trabalho do Log Analytics. Será o contentor onde os dados são recolhidos, agregados e posteriormente analisados. Um espaço de trabalho do Log Analytics representa uma localização geográfica dos seus dados, isolamento de dados e escopo para configurações como retenção de dados. Use um único espaço de trabalho do Azure Monitor Log Analytics conforme descrito nas práticas recomendadas de gerenciamento e monitoramento do Cloud Adoption Framework.
Proteger servidores habilitados para Azure Arc
Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas de servidores habilitados para Azure Arc e executar revisões periódicas de acesso para essas identidades. Controle funções de usuário privilegiadas para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.
Considere usar o Azure Key Vault para gerenciar certificados em seus servidores habilitados para Azure Arc. A extensão de VM do cofre de chaves permite gerenciar o ciclo de vida do certificado em máquinas Windows e Linux.
Conecte servidores habilitados para Azure Arc ao Microsoft Defender for Cloud. Isso ajuda você a começar a coletar configurações relacionadas à segurança e logs de eventos para que você possa recomendar ações e melhorar sua postura geral de segurança do Azure.
Conecte servidores habilitados para Azure Arc ao Microsoft Sentinel. Isso permite que você comece a coletar eventos relacionados à segurança e comece a correlacioná-los com outras fontes de dados.
Validar topologia de rede
O agente de Máquina Conectada para Linux e Windows comunica a saída com segurança para o Azure Arc pela porta TCP 443. O agente de Máquina Conectada pode se conectar ao plano de controle do Azure usando os seguintes métodos:
- Conexão direta com pontos de extremidade públicos do Azure, opcionalmente por trás de um firewall ou de um servidor proxy.
- Azure Private Link usando um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.
Consulte Topologia de rede e conectividade para servidores habilitados para Azure Arc para obter orientações de rede abrangentes para sua implementação de servidores habilitados para Arc.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
- Na maioria dos casos, o local selecionado ao criar o script de instalação deve ser a região do Azure geograficamente mais próxima do local da sua máquina. O restante dos dados será armazenado na geografia do Azure que contém a região especificada, o que também pode afetar sua escolha de região se você tiver requisitos de residência de dados. Se uma interrupção afetar a região do Azure à qual sua máquina está conectada, a interrupção não afetará o servidor habilitado para Arc. No entanto, as operações de gerenciamento usando o Azure podem não estar disponíveis.
- Se você tiver vários locais que fornecem um serviço com redundância geográfica, é melhor conectar as máquinas em cada local a uma região diferente do Azure para resiliência no caso de uma interrupção regional.
- Se o agente de máquina conectada do Azure parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar tarefas operacionais nele. Por isso, é necessário desenvolver um plano de notificações e respostas.
- Configure alertas de integridade de recursos para ser notificado quase em tempo real quando os recursos tiverem uma alteração em seu status de integridade. E defina uma política de monitoramento e alerta na Política do Azure que identifique servidores habilitados para Azure Arc não íntegros.
- Alargue a sua solução atual de criação de cópias de segurança para o Azure ou configure facilmente a nossa replicação com reconhecimento de aplicações e a nossa cópia de segurança consistente com as aplicações que se dimensionam de acordo com as necessidades do seu negócio. A interface de gerenciamento centralizado para o Backup do Azure e o Azure Site Recovery simplifica a definição de políticas para proteger, monitorar e gerenciar nativamente seus servidores Windows e Linux habilitados para Arc.
- Analise as diretrizes de continuidade de negócios e recuperação de desastres para determinar se os requisitos da sua empresa são atendidos.
- Outras considerações de confiabilidade para sua solução são descritas na seção de princípios de design de confiabilidade no Microsoft Azure Well-Architected Framework.
Segurança
- O controle de acesso baseado em função do Azure (Azure RBAC) apropriado deve ser gerenciado para servidores habilitados para Arc. Para integrar máquinas, você deve ser membro da função de Integração de Máquina Conectada do Azure. Para ler, modificar, integrar novamente e excluir uma máquina, você deve ser membro da função de Administrador de Recursos de Máquina Conectada do Azure.
- O Microsoft Defender for Cloud pode monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de nuvem. Habilite o Microsoft Defender para servidores para todas as assinaturas que contenham servidores habilitados para Azure Arc para monitoramento de linha de base de segurança, gerenciamento de postura de segurança e proteção contra ameaças.
- O Microsoft Sentinel pode ajudar a simplificar a coleta de dados em diferentes fontes, incluindo o Azure, soluções locais e entre nuvens usando conectores internos.
- Você pode usar a Política do Azure para gerenciar políticas de segurança em seus servidores habilitados para Arc, incluindo a implementação de políticas de segurança no Microsoft Defender for Cloud. Uma política de segurança define a configuração desejada de suas cargas de trabalho e ajuda a garantir que você esteja cumprindo os requisitos de segurança de sua empresa ou reguladores. As políticas do Defender for Cloud baseiam-se em iniciativas de política criadas na Política do Azure.
- Para limitar quais extensões podem ser instaladas em seu servidor habilitado para Arc, você pode configurar as listas de extensões que deseja permitir e bloquear no servidor. O gerenciador de extensões avaliará todas as solicitações para instalar, atualizar ou atualizar extensões em relação à lista de permissões e à lista de bloqueio para determinar se a extensão pode ser instalada no servidor.
- O Azure Private Link permite que você vincule com segurança os serviços PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Você pode conectar seus servidores locais ou multicloud com o Azure Arc e enviar todo o tráfego por uma Rota Expressa do Azure ou conexão VPN site a site em vez de usar redes públicas. Você pode usar um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.
- Consulte Visão geral da segurança dos servidores habilitados para Azure Arc para obter uma visão geral abrangente dos recursos de segurança no servidor habilitado para Azure Arc.
- Outras considerações de segurança para sua solução são descritas na seção de princípios de design de segurança no Microsoft Azure Well-Architected Framework.
Otimização de custos
- A funcionalidade do plano de controle do Azure Arc é fornecida sem custo extra. Isso inclui suporte para organização de recursos por meio de grupos de gerenciamento e tags do Azure e controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure. Os serviços do Azure usados em conjunto com os servidores habilitados para Azure Arc incorrem em custos de acordo com seu uso.
- Consulte Governança de custos para servidores habilitados para Azure Arc para obter orientações adicionais de otimização de custos do Azure Arc.
- Outras considerações de otimização de custos para sua solução são descritas na seção Princípios de otimização de custos no Microsoft Azure Well-Architected Framework.
- Utilize a calculadora de preços do Azure para prever os custos.
- Ao implantar a implementação de referência do Jumpstart ArcBox for IT Pros para essa arquitetura, lembre-se de que os recursos do ArcBox geram cobranças de Consumo do Azure a partir dos recursos subjacentes do Azure. Esses recursos incluem computação central, armazenamento, rede e serviços auxiliares.
Excelência operacional
- Automatize a implantação de seu ambiente de servidores habilitados para Arc. A implementação de referência dessa arquitetura é totalmente automatizada usando uma combinação de modelos ARM do Azure, extensões de VM, configurações de Política do Azure e scripts do PowerShell. Você também pode reutilizar esses artefatos para suas próprias implantações. Consulte as disciplinas de Automação para servidores habilitados para ArcGIS do Azure para obter orientações adicionais de automação de servidores habilitados para Arc no Cloud Adoption Framework (CAF).
- Há várias opções disponíveis no Azure para automatizar a integração de servidores habilitados para Arc. Para integrar em escala, use uma entidade de serviço e implante por meio da plataforma de automação existente em suas organizações.
- As extensões de VM podem ser implantadas em servidores habilitados para Arc para simplificar o gerenciamento de servidores híbridos durante todo o seu ciclo de vida. Considere automatizar a implantação de extensões de VM por meio da Política do Azure ao gerenciar servidores em escala.
- Habilite o Gerenciamento de patches e atualizações em seus servidores habilitados para Azure Arc integrados para facilitar o gerenciamento do ciclo de vida do sistema operacional.
- Analise os Casos de Uso de Operações Unificadas do Azure Arc Jumpstart para saber mais sobre cenários de excelência operacional adicionais para servidores habilitados para Azure Arc.
- Outras considerações de excelência operacional para sua solução são descritas na seção Princípios de design de excelência operacional no Microsoft Azure Well-Architected Framework.
Eficiência de desempenho
- Antes de configurar suas máquinas com servidores habilitados para Azure Arc, você deve revisar os limites de assinatura do Azure Resource Manager e os limites do grupo de recursos para planejar o número de máquinas a serem conectadas.
- Uma abordagem de implantação em fases, conforme descrito no guia de implantação, pode ajudá-lo a determinar os requisitos de capacidade de recursos para sua implementação.
- Use o Azure Monitor para coletar dados diretamente de seus servidores habilitados para Azure Arc em um espaço de trabalho do Log Analytics para análise e correlação detalhadas. Analise as opções de implantação para os agentes do Azure Monitor.
- Considerações adicionais sobre eficiência de desempenho para sua solução são descritas na seção Princípios de eficiência de desempenho no Microsoft Azure Well-Architected Framework.
Implementar este cenário
A implementação de referência desta arquitetura pode ser encontrada no Jumpstart ArcBox for IT Pros, incluído como parte do projeto Arc Jumpstart . O ArcBox foi projetado para ser completamente independente em uma única assinatura do Azure e grupo de recursos. O ArcBox torna mais fácil para um usuário obter experiência prática com toda a tecnologia Azure Arc disponível com nada mais do que uma assinatura disponível do Azure.
Para implantar a implementação de referência, siga as etapas no repositório GitHub, selecionando o botão Jumpstart ArcBox for IT Pros abaixo.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Pieter de Bruin - Brasil | Gerente de Programa Sênior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
- Saiba mais sobre o Azure Arc
- Saiba mais sobre os servidores habilitados para Azure Arc
- Caminho de aprendizagem do Azure Arc
- Revise os cenários do Azure Arc Jumpstart no Arc Jumpstart
- Revise o acelerador de zona de aterrissagem de servidores habilitados para Arc no CAF
Recursos relacionados
Explore arquiteturas relacionadas: