Esta arquitetura de referência ilustra como projetar uma solução híbrida do Windows Admin Center para gerenciar cargas de trabalho hospedadas no local e no Microsoft Azure. Essa arquitetura inclui dois cenários:
- Windows Admin Center implantado em uma máquina virtual (VM) no Azure.
- Windows Admin Center implantado em um servidor (físico ou virtual) local.
Arquitetura
O primeiro diagrama ilustra o Windows Admin Center implantado em uma VM no Azure.
O segundo diagrama ilustra o Windows Admin Center implantado localmente.
Baixe um arquivo do Visio de todos os diagramas de arquiteturas neste artigo.
Fluxo de trabalho
A arquitetura consiste no seguinte:
- Rede empresarial no local. Uma rede local privada que é executada dentro de uma organização.
- Firewall corporativo local. Um firewall organizacional configurado para permitir que os usuários acessem o gateway do Windows Admin Center quando o gateway é implantado localmente.
- VM do Windows. Uma VM do Windows instalada com o gateway do Windows Admin Center que hospeda serviços Web aos quais os usuários podem se conectar.
- Aplicativo Microsoft Entra. Um aplicativo usado para todos os pontos de integração do Azure no Windows Admin Center, incluindo a autenticação do Microsoft Entra no gateway.
- Nós gerenciados. Nós gerenciados pelo Windows Admin Center, que podem incluir servidores físicos executando o Azure Stack ou Windows Server ou máquinas virtuais executando o Windows Server.
- VPN ou Rota Expressa. Uma VPN Site-to-Site (S2S) ou ExpressRoute para gerenciar nós no local quando o Windows Admin Center é implantado no Azure.
- Adaptador de rede do Azure. Um adaptador para uma VPN Ponto a Site (P2S) para o Azure quando o Windows Admin Center é implantado localmente. O Windows Admin Center pode implantar automaticamente o adaptador e também criar um gateway do Azure.
- Sistema de Nomes de Domínio (DNS). Um registro DNS ao qual os usuários fazem referência para se conectar ao gateway do Windows Admin Center.
Componentes
- O Windows Admin Center é um conjunto de ferramentas de gerenciamento baseado em navegador que oferece controle total sobre todos os aspetos da infraestrutura do servidor e é particularmente útil para gerenciar servidores em redes privadas que não estão conectadas à Internet. Ele acessa servidores por meio do gateway do Windows Admin Center instalado no Windows Server ou no Windows 10 associado ao domínio. O gateway pode ser instalado no local ou em uma VM do Azure que executa o Windows.
- O Azure ExpressRoute cria conexões privadas entre datacenters do Azure e infraestrutura no local ou em um ambiente de colocation.
- A Rede Virtual do Azure fornece infraestrutura de rede segura na nuvem.
- As Máquinas Virtuais do Azure fornecem máquinas virtuais Linux e Windows. Nesta solução, você pode usá-lo para fornecer uma VM do Windows para executar o Windows Admin Center.
Detalhes do cenário
Potenciais casos de utilização
Utilizações típicas desta arquitetura:
- Organizações que desejam gerenciar instâncias individuais do Windows Server, infraestrutura hiperconvergente ou VMs Hyper-V executadas no local e no Microsoft Azure.
- Organizações que desejam gerenciar instâncias do Windows Server hospedadas por outros provedores de nuvem.
Recomendações
As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.
Tipos de instalação
Você tem várias opções ao implantar o Windows Admin Center, incluindo a instalação em um PC com Windows 10, um servidor Windows ou uma VM do Azure. O tipo de implantação escolhido dependerá dos seus requisitos de negócios.
Os tipos de instalação local são:
- Opção 1: Cliente local. Implante o Windows Admin Center em um cliente Windows 10. Isso é ideal para implantações rápidas, testes e cenários improvisados ou de pequena escala.
- Opção 2: Servidor gateway. Instale em um servidor gateway designado que execute o Windows Server 2016, Windows Server 2019 ou posterior e acesse a partir de qualquer navegador cliente com conectividade com o servidor gateway.
- Opção 3: Servidor gerenciado. Instale diretamente em um servidor gerenciado que executa o Windows Server 2016, Windows Server 2019 ou posterior para permitir que o servidor gerencie a si mesmo ou um cluster no qual o servidor gerenciado seja um nó membro. Isso é ótimo para cenários de filiais distribuídas.
- Opção 4: Cluster de Failover. Implante em um cluster de failover para habilitar a alta disponibilidade do serviço de gateway. Isso é ótimo para ambientes de produção para garantir a resiliência do serviço de gerenciamento.
Como o Windows Admin Center não tem dependências de serviço de nuvem, algumas organizações podem optar por implantar o Windows Admin Center em um sistema local para gerenciar computadores locais e, em seguida, habilitar serviços híbridos ao longo do tempo. No entanto, muitas organizações preferem aproveitar as ofertas de serviços no Azure e em outras plataformas de nuvem integradas ao Windows Admin Center.
A implantação do Windows Admin Center em uma VM do Azure fornece funcionalidade de gateway semelhante ao Windows Server 2016 e ao Windows Server 2019. No entanto, o Azure também habilita recursos adicionais para VMs do Azure. Consulte Confiabilidade para obter mais informações sobre os benefícios da implantação do Windows Admin Center em VMs do Azure.
Implantação automatizada
A Microsoft fornece um arquivo .msi que você usa para implantar o Windows Admin Center em uma VM local. O arquivo .msi instala o Windows Admin Center e gera automaticamente um certificado autoassinado ou associa um certificado existente com base em sua preferência.
Gorjeta
Para obter mais informações sobre como usar o arquivo .msi para implantar o Windows Admin Center, consulte Instalar o Windows Admin Center.
Ao implementar o Windows Admin Center em uma VM do Azure, a Microsoft fornece o script Deploy-Windows Admin CenterAzVM.ps1 para implantar automaticamente todos os recursos necessários. Nesse cenário, o script implanta uma nova VM do Azure com o Windows Admin Center instalado e abre a porta 443 no endereço IP público. O script também pode implantar o Windows Admin Center em uma VM do Azure existente. Ao executar o script, você pode usar variáveis para especificar o grupo de recursos, o nome da rede virtual, o nome da VM, o local e muitas outras opções.
Importante
Antes da implantação, carregue o certificado em um Cofre da Chave do Azure. Como alternativa, você pode usar o portal do Azure para gerar um certificado.
Gorjeta
Para obter mais informações sobre como usar o script Deploy-Windows Admin CenterAzVM.ps1 para implantar o Windows Admin Center em uma VM do Azure, consulte Implantar o Windows Admin Center no Azure.
Gorjeta
Para obter mais informações sobre as etapas manuais necessárias para implantar o Windows Admin Center em uma VM do Azure, consulte Implantar manualmente em uma máquina virtual existente do Azure.
Recomendações de topologia
Embora você possa implementar o Windows Admin Center em qualquer VM existente ou nova que esteja no local ou hospedada no Azure, a Microsoft recomenda implantar o gateway do Windows Admin Center em uma VM do Azure do Windows Server 2019. A opção de implantação automatizada discutida anteriormente permite que você implemente o Windows Admin Center em uma VM do Azure mais rapidamente e, ao mesmo tempo, proteja seu ambiente. Em vez de implantar o Windows Admin Center em uma VM local, você pode minimizar as alterações de configuração necessárias para um firewall e uma rede locais.
Importante
O gerenciamento de nós no local requer uma conexão (como VPN S2S ou Rota Expressa) do Azure para o local.
Quando implantado localmente, você pode usar o Windows Admin Center para criar a conexão híbrida com o Azure. A conexão híbrida, chamada de adaptador de rede do Azure, é uma VPN P2S para o Azure que permite que o Windows Admin Center acesse recursos de nuvem híbrida. Esse processo também cria automaticamente um gateway do Azure para a conexão VPN. Para obter mais informações, consulte Sobre VPN ponto a site.
Importante
Você deve ter uma rede virtual do Azure no Azure antes de criar um adaptador de rede do Azure.
Você também deve configurar o gateway do Windows Admin Center para alta disponibilidade. Isso ajudará a garantir que o gerenciamento de sistemas e serviços permaneça disponível durante falhas inesperadas. O Azure fornece várias ofertas de serviço para esses cenários, independentemente de o gateway do Windows Admin Center ser implantado em uma VM local ou do Azure. Consulte Considerações sobre disponibilidade para obter mais informações.
Recomendações de certificados
O gateway do Windows Admin Center é uma ferramenta baseada na Web que usa um certificado SSL (Secure Sockets Layer) para criptografar o tráfego da Web para administradores que estão usando o gateway. O Windows Admin Center permite que você use um certificado SSL que uma autoridade de certificação (CA) de terceiros confiável criou a partir de um certificado autoassinado. Você receberá um aviso ao tentar se conectar a partir de um navegador se escolher a última opção. Como resultado, recomendamos que você use apenas certificados autoassinados para ambientes de teste.
Gorjeta
Para saber como outros clientes da Microsoft usaram o Windows Admin Center para melhorar sua produtividade e reduzir custos, consulte Estudos de caso do Windows Admin Center.
Recomendações administrativas
Implantar o Windows Admin Center em um cliente local do Windows 10 é ótimo para testes de início rápido e cenários ad-hoc ou de pequena escala. No entanto, para cenários de produção com vários administradores, recomendamos o Windows Server. Quando implantado no Windows Server, o Windows Admin Center fornece um hub de gerenciamento centralizado para seu ambiente de servidor com recursos adicionais, como autenticação de cartão inteligente, acesso condicional e autenticação multifator. Para obter mais informações sobre como controlar o acesso ao Windows Admin Center, consulte Opções de acesso do usuário com o Windows Admin Center.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.
Você pode ajudar a garantir a alta disponibilidade do serviço de gateway do Windows Admin Center implantando-o em um modelo ativo/passivo em um cluster de failover. Nesse cenário, apenas uma instância do serviço de gateway do Windows Admin Center está ativa. Se um dos nós no cluster falhar, o serviço de gateway do Windows Admin Center fará failover sem problemas para outro nó.
Atenção
A implantação do Windows Admin Center em um computador cliente Windows 10 não fornece alta disponibilidade porque a funcionalidade de gateway não está incluída na implantação do Windows 10. Implante o gateway do Windows Admin Center no Windows Server 2016 ou no Windows Server 2019.
Para ajudar a garantir a alta disponibilidade dos dados do Windows Admin Center em caso de falha de um nó, configure um Volume Compartilhado do Cluster (CSV) no qual o Windows Admin Center armazenará dados persistentes que todos os nós do cluster acessam. Você pode implantar o cluster de failover para o gateway do Windows Admin Center usando um script de implantação automatizado. O script Install-WindowsAdminCenterHA.ps1 implanta automaticamente o cluster de failover, configura endereços IP para o serviço de cluster, instala o gateway do Windows Admin Center, configura o número da porta para o serviço de gateway e configura o serviço Web com o certificado apropriado.
Gorjeta
Para obter mais informações sobre como usar o script de implantação automatizada, consulte Implantar o Windows Admin Center com alta disponibilidade.
A implantação do gateway do Windows Admin Center em uma VM do Azure fornece opções adicionais de alta disponibilidade. Por exemplo, usando conjuntos de disponibilidade, você pode fornecer redundância e disponibilidade de VM em um datacenter do Azure distribuindo as VMs em vários nós de hardware. Você também pode usar zonas de disponibilidade no Azure, que fornecem tolerância a falhas do datacenter. As zonas de disponibilidade são locais físicos exclusivos que abrangem datacenters dentro de uma região do Azure. Isso ajuda a garantir que as VMs do Azure tenham energia, resfriamento e rede independentes. Para obter mais informações sobre alta disponibilidade, consulte Opções de disponibilidade para máquinas virtuais no Azure e Alta disponibilidade e recuperação de desastres para aplicativos IaaS.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
- A implantação do Windows Admin Center fornece à sua organização uma interface de gerenciamento centralizada para seu ambiente de servidor. Ao controlar o acesso ao Windows Admin Center, você pode melhorar a segurança do seu cenário de gerenciamento.
- O Windows Admin Center fornece vários recursos para ajudar a proteger sua plataforma de gerenciamento. Para começar, a autenticação do gateway do Windows Admin Center pode usar grupos locais, os Serviços de Domínio Ative Directory (AD DS) e o Microsoft Entra ID baseado em nuvem. Você também pode impor a autenticação de cartão inteligente especificando um grupo adicional necessário para grupos de segurança baseados em cartão inteligente. E, ao exigir a autenticação do Microsoft Entra para o gateway, você pode usar outros recursos de segurança do Microsoft Entra, como acesso condicional e autenticação multifator do Microsoft Entra.
- O acesso ao gateway do Windows Admin Center não implica o acesso aos servidores de destino que são tornados visíveis pelo gateway. Para gerenciar um servidor de destino, os usuários devem se conectar com credenciais que concedem privilégios de administrador nos servidores que desejam gerenciar. No entanto, alguns usuários podem não precisar de acesso administrativo para executar suas responsabilidades. Nesse cenário, você pode usar o controle de acesso baseado em função (RBAC) no Windows Admin Center para fornecer a esses usuários acesso limitado aos servidores em vez de conceder-lhes acesso administrativo total.
Nota
Se você implantou a Solução de Senha de Administrador Local (LAPS) em seu ambiente, use as credenciais do LAPS por meio do Windows Admin Center para autenticar com um servidor de destino.
- No Windows Admin Center, o RBAC funciona configurando cada servidor gerenciado com um ponto de extremidade de Administração Apenas Suficiente do Windows PowerShell. Esse ponto de extremidade define as funções, incluindo quais partes do sistema cada função pode gerenciar e quais usuários são atribuídos às funções. Quando um usuário se conecta ao ponto de extremidade, o RBAC cria uma conta de administrador local temporária para gerenciar o sistema em seu nome e remove automaticamente a conta quando o usuário para de gerenciar o servidor por meio do Windows Admin Center. Para obter mais informações, consulte Administração apenas suficiente.
- O Windows Admin Center também fornece visibilidade sobre as ações de gerenciamento executadas em seu ambiente. O Windows Admin Center registra eventos registrando ações no canal de eventos Microsoft-ServerManagementExperience no log de eventos do servidor gerenciado. Isso permite auditar ações executadas pelos administradores e ajuda a solucionar problemas do Windows Admin Center e revisar as métricas de uso. Para obter mais informações sobre auditoria, consulte Usar o log de eventos no Windows Admin Center para obter informações sobre as atividades de gerenciamento e controlar o uso do gateway.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.
- Para implantações locais, o Windows Admin Center não custa nada além do custo do sistema operacional Windows, que requer licenças válidas do Windows Server ou do Windows 10.
- Para implantações do Azure, planeje os custos associados à implantação do Windows Admin Center em uma VM do Azure. Alguns desses custos podem incluir a VM, armazenamento, endereços IP estáticos ou públicos (se habilitados) e quaisquer componentes de rede necessários para a integração com ambientes locais. Além disso, talvez seja necessário planejar o custo de compra de certificados de CA que não sejam da Microsoft.
Excelência operacional
A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.
Capacidade de gestão
- O acesso ao conjunto de ferramentas de gerenciamento do Windows Admin Center depende do tipo de instalação. Por exemplo, em um cenário de cliente local, você abriria o Windows Admin Center no menu Iniciar e se conectaria a ele a partir de um navegador da Web cliente acessando
https://localhost:6516. Em outros cenários em que você implanta o gateway do Windows Admin Center em um Windows Server, pode se conectar ao gateway do Windows Admin Center a partir de um navegador da Web cliente acessando a URL do nome do servidor, comohttps://servername.contoso.com, ou a URL do nome do cluster. - Quando implantado no Windows Server, o Windows Admin Center fornece um ponto centralizado de gerenciamento para seu ambiente de servidor. O Windows Admin Center fornece ferramentas de gerenciamento para muitos cenários e ferramentas comuns, incluindo:
- Gestão de certificados
- Visualizador de Eventos
- Explorador de Ficheiros
- Definições de rede
- Ligação de Ambiente de Trabalho Remoto
- Windows PowerShell
- Gestão de firewall
- Edição do registo
- Habilitando e desabilitando funções e recursos
- Gerir aplicações e dispositivos instalados
- Gerir tarefas agendadas
- Configurando usuários e grupos locais
- Gerenciando serviços do Windows
- Gerenciando o armazenamento
- Gerir o Windows Update
Para obter uma lista completa dos recursos de gerenciamento de servidor, consulte Gerenciar servidores com o Windows Admin Center.
Importante
O Windows Admin Center não substitui todas as Ferramentas de Administração de Servidor Remoto (RSAT), como os Serviços de Informações da Internet (IIS), porque não há nenhum recurso de gerenciamento equivalente para ele no Windows Admin Center.
Nota
O Windows Admin Center fornece um subconjunto de recursos do Gerenciador do Servidor para gerenciar computadores cliente Windows 10.
O Windows Admin Center fornece suporte para gerenciar clusters de failover e recursos de cluster, gerenciar VMs Hyper-V e comutadores virtuais e gerenciar a Réplica de Armazenamento do Windows Server. Além de usar o Windows Admin Center para gerenciar e monitorar uma infraestrutura hiperconvergente existente, você também pode usar o Windows Admin Center para implantar uma nova infraestrutura hiperconvergente. Usando um fluxo de trabalho de vários estágios, o Windows Admin Center orienta você na instalação de recursos, na configuração de rede, na criação de um cluster e na implantação de Espaços de Armazenamento Diretos e Rede Definida por Software. Para obter mais informações, consulte Gerenciar infraestrutura hiperconvergente com o Windows Admin Center.
Nota
Você pode usar o Windows Admin Center para gerenciar o Microsoft Hyper-V Server 2016 ou o Microsoft Hyper-V Server 2019 (o produto de virtualização gratuito da Microsoft).
A ferramenta de serviços híbridos do Azure no Windows Admin Center fornece um local centralizado para todos os serviços integrados do Azure. Você pode usar os serviços híbridos do Azure para proteger VMs no Azure e no local com backup e recuperação de desastres baseados em nuvem. Você também pode estender a capacidade local com armazenamento e computação no Azure e pode simplificar a conectividade de rede com o Azure. Com a ajuda dos serviços de gerenciamento do Azure inteligentes na nuvem, você pode centralizar o monitoramento, a governança, a configuração e a segurança em seus aplicativos, rede e infraestrutura.
Gorjeta
Para obter mais informações sobre a integração do Azure, consulte Conectando o Windows Server aos serviços híbridos do Azure.
Importante
O aplicativo Microsoft Entra requer integração do Azure no Windows Admin Center.
DevOps
- O Windows Admin Center foi criado para extensibilidade para que a Microsoft e outros desenvolvedores possam criar ferramentas e soluções além das ofertas atuais. O Windows Admin Center fornece uma plataforma extensível na qual cada tipo de conexão e ferramenta é uma extensão que você pode instalar, desinstalar e atualizar individualmente. A Microsoft oferece um kit de desenvolvimento de software (SDK) que permite que os desenvolvedores criem suas próprias ferramentas para o Windows Admin Center.
- Você pode criar extensões do Windows Admin Center usando tecnologias modernas da Web, incluindo HTML5, CSS, Angular, TypeScript e jQuery, para gerenciar servidores de destino por meio do Windows PowerShell ou da Instrumentação de Gerenciamento do Windows. Você também pode gerenciar servidores, serviços e dispositivos de destino em diferentes protocolos, como REST (Representational State Transfer), criando um plug-in de gateway do Windows Admin Center.
Gorjeta
Para obter mais informações sobre como usar o SDK para desenvolver extensões para o Windows Admin Center, consulte Extensões para o Windows Admin Center.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Mike Martin - Brasil | Arquiteto de Soluções Cloud Sênior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
Mais sobre a Automação do Azure:
- Instalar o Windows Admin Center
- Pré-visualização: Utilizar o Windows Admin Center no portal do Azure para gerir uma VM do Windows Server
- Implantar manualmente o Windows Admin Center no Azure para gerenciar vários servidores
- Conectar máquinas híbridas ao Azure a partir do Windows Admin Center
Recursos relacionados
- Conectar servidores autônomos usando o Adaptador de Rede do Azure
- Usar clusters estendidos HCI do Azure Stack para recuperação de desastres
- Gerenciar configurações para servidores habilitados para Azure Arc
- Usar a interconexão sem switch do Azure Stack HCI e o quórum leve para escritório remoto ou filial