Эта эталонная архитектура иллюстрирует, как Azure Arc позволяет управлять и защищать серверы в локальных, многооблачных и пограничных сценариях, и основана на реализации ArcBox для ИТ-специалистов в Azure Arc Jumpstart. ArcBox — это решение, которое предоставляет простую в развертывании песочницу для всех функций Azure Arc. ArcBox для ИТ-специалистов — это версия ArcBox, предназначенная для пользователей, которым нужны возможности серверов с поддержкой Azure Arc в песочнице.
Архитектура
Скачайте файл PowerPoint этой архитектуры.
Компоненты
Она состоит из следующих компонентов:
- Группа ресурсов Azure — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно.
- Книга ArcBox — это книга Azure Monitor, которая предоставляет единую панель для мониторинга ресурсов ArcBox и создания отчетов. Книга выступает в качестве гибкого холста для анализа и визуализации данных в портал Azure, собирая информацию из нескольких источников данных из ArcBox и объединяя их в интегрированный интерактивный интерфейс.
- Azure Monitor позволяет отслеживать производительность и события для систем, работающих в Azure, локально или в других облаках.
- Политика Azure гостевой конфигурации может выполнять аудит операционных систем и конфигурации компьютеров, работающих в Azure, и серверов с поддержкой Arc, работающих локально или в других облаках.
- Azure Log Analytics — это средство в портал Azure для редактирования и выполнения запросов журналов из данных, собранных журналами Azure Monitor, и интерактивного анализа их результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.
- Microsoft Defender для облака — это решение для управления состоянием безопасности в облаке (CSPM) и защиты облачных рабочих нагрузок (CWP). Microsoft Defender для облака обнаруживает слабые места в облачной конфигурации, помогает укрепить общее состояние безопасности среды и может защитить рабочие нагрузки в многооблачных и гибридных средах от развивающихся угроз.
- Microsoft Sentinel — это масштабируемое облачное решение для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации, автоматизации и реагирования (SOAR). Microsoft Sentinel обеспечивает средства для интеллектуальной аналитики безопасности и аналитики угроз по всему предприятию, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы.
- Серверы с поддержкой Azure Arc позволяют подключать Azure к компьютерам Windows и Linux, размещенным за пределами Azure в корпоративной сети. Когда сервер подключен к Azure, он становится сервером с поддержкой Arc и рассматривается как ресурс в Azure. Каждый сервер с поддержкой Arc имеет идентификатор ресурса, управляемое удостоверение системы и управляется как часть группы ресурсов в подписке. Серверы с поддержкой Arc используют стандартные конструкции Azure, такие как инвентаризация, политика, теги и Azure Lighthouse.
- Вложенная виртуализация Hyper-V используется Jumpstart ArcBox для ИТ-специалистов для размещения виртуальных машин Windows Server в виртуальной машине Azure. Это обеспечивает те же возможности, что и при использовании физических компьютеров Windows Server, но без требований к оборудованию.
- Azure виртуальная сеть предоставляет частную сеть, которая позволяет компонентам в группе ресурсов Azure обмениваться данными, например виртуальными машинами.
Сведения о сценарии
Потенциальные варианты использования
Типичные способы использования этой архитектуры:
- Организация, управление и инвентаризация больших групп виртуальных машин и серверов в нескольких средах.
- Применяйте стандарты организации и оценивайте соответствие в большом масштабе для всех ресурсов с помощью Политика Azure.
- Легко развертывайте поддерживаемые расширения виртуальных машин на серверах с поддержкой Arc.
- Настройте и примените Политика Azure для виртуальных машин и серверов, размещенных в нескольких средах.
Рекомендации
Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.
Настройка агента Azure Arc Connected Machine
Вы можете подключить любую другую физическую или виртуальную машину под управлением Windows или Linux к Azure Arc. Перед подключением компьютеров обязательно выполните предварительные требования к агенту подключенного компьютера, включая регистрацию поставщиков ресурсов Azure для серверов с поддержкой Azure Arc. Чтобы подключить компьютер к Azure с помощью Azure Arc, необходимо установить агент Подключенного компьютера Azure на каждом компьютере, который планируется подключить с помощью Azure Arc. Дополнительные сведения см. в статье Общие сведения об агенте серверов с поддержкой Azure Arc.
После настройки агент подключенного компьютера отправляет в Azure регулярное сообщение пульса каждые пять минут. Если пакет пульса не получен, Azure назначает компьютеру состояние "Вне сети", которое отображается на портале в течение 15–30 минут. После получения последующего сообщения пульса от агента Подключенного компьютера его состояние автоматически изменится на Подключено.
В Azure доступно несколько вариантов подключения компьютеров с Windows и Linux.
- Установка вручную. Серверы с поддержкой Azure Arc можно включить для одного или нескольких компьютеров Windows или Linux в вашей среде с помощью набора средств Windows Admin Center или путем выполнения набора действий вручную.
- Установка на основе скриптов. Автоматическую установку агента можно выполнить, запустив скрипт шаблона, скачанный из портал Azure.
- Подключение компьютеров в большом масштабе с помощью субъекта-службы. Для подключения в большом масштабе используйте субъект-службу и выполните развертывание с помощью существующей в организации автоматизации.
- Установка с помощью Windows PowerShell DSC
Подробные сведения о доступных вариантах развертывания см. в статье Варианты развертывания агента Подключенного компьютера Azure .
Включение гостевой конфигурации Политика Azure
Серверы с поддержкой Azure Arc поддерживают Политика Azure на уровне управления ресурсами Azure, а также на отдельном сервере с помощью политик гостевой конфигурации. Политика Azure гостевой конфигурации может выполнять аудит параметров на компьютере, как для компьютеров, работающих в Azure, так и на серверах с поддержкой Arc. Например, можно выполнять аудит таких параметров, как:
- конфигурация операционной системы;
- конфигурация или наличие приложения;
- Параметры среды
Существует несколько Политика Azure встроенных определений для Azure Arc. Эти политики предоставляют параметры аудита и конфигурации для компьютеров под управлением Windows и Linux.
Включение Управления обновлениями Azure
Управление обновлениями. Вы можете выполнять управление обновлениями для серверов с поддержкой Arc. Управление обновлениями в служба автоматизации Azure позволяет управлять обновлениями операционной системы и быстро оценивать состояние доступных обновлений на всех компьютерах агентов. Вы также можете управлять процессом установки необходимых обновлений для серверов.
Отслеживание изменений и инвентаризация. служба автоматизации Azure Отслеживание изменений и инвентаризация для серверов с поддержкой Arc позволяет определить, какое программное обеспечение установлено в вашей среде. Вы можете собирать и просматривать данные инвентаризации программного обеспечения, файлов, управляющих программ Linux, служб Windows и разделов реестра Windows. Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.
Мониторинг серверов с поддержкой Azure Arc
Azure Monitor можно использовать для мониторинга виртуальных машин, масштабируемых наборов виртуальных машин и компьютеров Azure Arc в большом масштабе. Azure Monitor анализирует производительность и работоспособность виртуальных машин Windows и Linux, а также отслеживает их процессы и зависимости от других ресурсов и внешних процессов. Оно включает поддержку мониторинга производительности и зависимостей приложений для виртуальных машин, размещенных в локальном или другом поставщике облачных служб.
Агенты Azure Monitor должны быть автоматически развернуты на серверах Windows и Linux с поддержкой Azure Arc с помощью Политика Azure. Ознакомьтесь с тем, как агент Log Analytics работает и собирает данные перед развертыванием.
Проектирование и планирование развертывания рабочей области Log Analytics. Это будет контейнер, в котором будут собираться, агрегироваться и анализироваться данные. Рабочая область Log Analytics представляет географическое расположение ваших данных, изоляцию данных и область для таких конфигураций, как хранение данных. Используйте одну рабочую область Azure Monitor Log Analytics, как описано в рекомендациях по управлению и мониторингу Cloud Adoption Framework.
Защита серверов с поддержкой Azure Arc
Используйте Azure RBAC для управления разрешениями для управляемых удостоверений серверов с поддержкой Azure Arc и выполнения периодических проверок доступа для этих удостоверений. Управляйте привилегированными ролями пользователей, чтобы избежать неправильного использования управляемых системой удостоверений для получения несанкционированного доступа к ресурсам Azure.
Рассмотрите возможность использования azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Расширение виртуальной машины хранилища ключей позволяет управлять жизненным циклом сертификата на компьютерах Windows и Linux.
Подключение серверов с поддержкой Azure Arc к Microsoft Defender for Cloud. Это помогает начать сбор конфигураций и журналов событий, связанных с безопасностью, чтобы рекомендовать действия и улучшить общее состояние безопасности Azure.
Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel. С помощью этого решения можно начать сбор событий, связанных с безопасностью, и их сопоставление с другими источниками данных.
Проверка топологии сети
Агент Connected Machine для Linux и Windows безопасно обменивается данными с Azure Arc через TCP-порт 443. Агент Connected Machine может подключиться к уровню управления Azure с помощью следующих методов:
- Прямое подключение к общедоступным конечным точкам Azure, при необходимости из-за брандмауэра или прокси-сервера.
- Приватный канал Azure использование модели области Приватный канал, чтобы разрешить нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.
Подробные рекомендации по сети для реализации серверов с поддержкой Arc см. в статье Топология сети и подключение для серверов с поддержкой Azure Arc .
Рекомендации
Эти рекомендации реализуют основные принципы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
Надежность
- В большинстве случаев расположение, выбранное при создании сценария установки, должно соответствовать региону Azure, географически наиболее близкому к расположению вашего компьютера. Остальные данные будут храниться в географии Azure, которая содержит указанный вами регион, что также может повлиять на выбор региона при наличии требований к местонахождению данных. Если сбой влияет на регион Azure, к которому подключен компьютер, сбой не повлияет на сервер с поддержкой Arc. Однако операции управления, использующие Azure, могут быть недоступны.
- Если у вас есть несколько расположений, предоставляющих геоизбыточные службы, лучше подключить компьютеры в каждом расположении к другому региону Azure для обеспечения устойчивости в случае регионального сбоя.
- Если агент компьютера, подключенного к Azure, прекратит отправку пульса в Azure или перейдет в автономный режим, вы не сможете выполнять с ним рабочие задачи. Поэтому необходимо разработать план уведомлений и ответов.
- Настройте оповещения о работоспособности ресурсов , чтобы получать уведомления практически в режиме реального времени при изменении состояния работоспособности ресурсов. И определите политику мониторинга и оповещений в Политика Azure, которая определяет неработоспособные серверы с поддержкой Azure Arc.
- Расширьте возможности своего текущего решения для резервного копирования с помощью Azure или с легкостью настройте репликацию и резервное копирование приложений, которые масштабируются в зависимости от потребностей вашего бизнеса. Интерфейс централизованного управления для Azure Backup и Azure Site Recovery упрощает определение политик для защиты, мониторинга и управления серверами Windows и Linux с поддержкой Arc.
- Ознакомьтесь с рекомендациями по непрерывности бизнес-процессов и аварийному восстановлению , чтобы определить, выполнены ли корпоративные требования.
- Другие вопросы надежности решения описаны в разделе Принципы проектирования надежности в Microsoft Azure Well-Architected Framework.
Безопасность
- Для серверов с поддержкой Arc необходимо управлять соответствующим управлением доступом на основе ролей Azure (Azure RBAC). Чтобы подключить компьютеры, необходимо быть членом роли Подключения подключенного компьютера Azure . Для чтения, изменения, повторного подключения и удаления компьютера необходимо быть членом роли администратора ресурсов подключенного компьютера Azure .
- Microsoft Defender для облака может отслеживать локальные системы, виртуальные машины Azure, ресурсы Azure Monitor и даже виртуальные машины, размещенные другими поставщиками облачных служб. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc, для мониторинга базовых показателей безопасности, управления состоянием безопасности и защиты от угроз.
- Microsoft Sentinel помогает упростить сбор данных в разных источниках, включая Azure, локальные решения и облака, с помощью встроенных соединителей.
- Вы можете использовать Политика Azure для управления политиками безопасности на серверах с поддержкой Arc, включая реализацию политик безопасности в Microsoft Defender для облака. Политика безопасности определяет желаемую конфигурацию рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей компании или регулирующих органов. Политики Defender для облака основаны на инициативах политик, созданных в Политика Azure.
- Чтобы ограничить количество расширений, которые можно установить на сервере с поддержкой Arc, можно настроить списки расширений, которые вы хотите разрешить и заблокировать на сервере. Диспетчер расширений будет оценивать все запросы на установку, обновление или обновление расширений в списке разрешений и списке блокировок, чтобы определить, можно ли установить расширение на сервере.
- Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Вы можете подключать локальные или многооблачные серверы к Azure Arc и отправлять весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей. Модель области Приватный канал позволяет нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.
- Полный обзор функций безопасности на сервере с поддержкой Azure Arc см. в статье Общие сведения о безопасности серверов с поддержкой Azure Arc.
- Другие аспекты безопасности для вашего решения описаны в разделе Принципы проектирования безопасности в Microsoft Azure Well-Architected Framework.
Оптимизация затрат
- Функциональность уровня управления Azure Arc предоставляется без дополнительных затрат. Сюда входит поддержка организации ресурсов с помощью групп управления и тегов Azure, а также управление доступом с помощью управления доступом на основе ролей Azure (RBAC). Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc, несут расходы в зависимости от их использования.
- Дополнительные рекомендации по оптимизации затрат Azure Arc см. в статье Управление затратами для серверов с поддержкой Azure Arc .
- Другие рекомендации по оптимизации затрат для решения описаны в разделе Принципы оптимизации затрат в Microsoft Azure Well-Architected Framework.
- Для оценки затрат используйте калькулятор цен Azure.
- При развертывании эталонной реализации Jumpstart ArcBox для ИТ-специалистов для этой архитектуры следует помнить, что ресурсы ArcBox создают затраты на потребление Azure из базовых ресурсов Azure. К этим ресурсам относятся основные вычислительные ресурсы, хранилища, сетевые и вспомогательные службы.
эффективность работы;
- Автоматизируйте развертывание среды серверов с поддержкой Arc. Эталонная реализация этой архитектуры полностью автоматизирована с помощью сочетания шаблонов Azure ARM, расширений виртуальных машин, Политика Azure конфигураций и скриптов PowerShell. Вы также можете повторно использовать эти артефакты для собственных развертываний. Дополнительные рекомендации по автоматизации серверов с поддержкой Arc в Cloud Adoption Framework (CAF) см. в статье Дисциплины автоматизации для серверов с поддержкой Azure Arc.
- В Azure существует несколько вариантов автоматизации подключения серверов с поддержкой Arc. Чтобы подключиться в большом масштабе, используйте субъект-службу и выполните развертывание через существующую в организации платформу автоматизации.
- Расширения виртуальных машин можно развернуть на серверах с поддержкой Arc, чтобы упростить управление гибридными серверами на протяжении их жизненного цикла. Рассмотрите возможность автоматизации развертывания расширений виртуальных машин с помощью Политика Azure при управлении серверами в большом масштабе.
- Включите управление исправлениями и обновлениями на подключенных серверах с поддержкой Azure Arc, чтобы упростить управление жизненным циклом ОС.
- Ознакомьтесь с примерами использования Унифицированных операций Azure Arc Jumpstart , чтобы узнать о дополнительных сценариях совершенствования операционной деятельности для серверов с поддержкой Azure Arc.
- Другие рекомендации по повышению эффективности работы для вашего решения описаны в разделе Принципы проектирования операционной эффективности в Microsoft Azure Well-Architected Framework.
оптимизация производительности;
- Прежде чем настраивать компьютеры с серверами с поддержкой Azure Arc, ознакомьтесь с ограничениями подписки azure Resource Manager и ограничениями группы ресурсов, чтобы спланировать количество подключенных компьютеров.
- Поэтапный подход к развертыванию, описанный в руководстве по развертыванию , поможет определить требования к емкости ресурсов для реализации.
- Используйте Azure Monitor для сбора данных непосредственно с серверов с поддержкой Azure Arc в рабочую область Log Analytics для подробного анализа и корреляции. Просмотрите варианты развертывания для агентов Azure Monitor.
- Дополнительные рекомендации по повышению производительности для вашего решения описаны в разделе Принципы эффективности производительности в Microsoft Azure Well-Architected Framework.
Развертывание этого сценария
Эталонную реализацию этой архитектуры можно найти в разделе Jumpstart ArcBox для ИТ-специалистов, включенном в проект Arc Jumpstart . ArcBox предназначен для того, чтобы быть полностью автономным в рамках одной подписки Azure и группы ресурсов. ArcBox позволяет пользователю легко получить практические навыки работы со всеми доступными технологиями Azure Arc, используя только доступную подписку Azure.
Чтобы развернуть эталонную реализацию, выполните действия в репозитории GitHub, нажав кнопку Jumpstart ArcBox для ИТ-специалистов ниже.
Соавторы
Эта статья поддерживается корпорацией Майкрософт. Первоначально она была написана следующими участниками.
Основной автор:
- Питер де Брюин | Старший руководитель программы
Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.
Дальнейшие действия
- Дополнительные сведения об Azure Arc
- Дополнительные сведения о серверах с поддержкой Azure Arc
- Схема обучения Azure Arc
- Ознакомьтесь со сценариями Запуска Azure Arc в руководстве по переходу на Arc.
- Ознакомьтесь с акселератором целевых зон серверов с поддержкой Arc в CAF
Связанные ресурсы
Сведения о связанных архитектурах: