Управление конфигурациями для серверов с поддержкой Azure Arc

Эта эталонная архитектура иллюстрирует, как Azure Arc позволяет управлять, управлять и защищать серверы в локальных, многооблачных и пограничных сценариях и основан на реализации Azure Arc Jumpstart ArcBox для ИТ-специалистов . ArcBox — это решение, которое позволяет легко развертывать песочницу для всех вещей Azure Arc. ArcBox для ИТ-специалистов — это версия ArcBox, предназначенная для пользователей, которые хотят использовать возможности серверов с поддержкой Azure Arc в песочнице.

Архитектура

Скачайте файл PowerPoint этой архитектуры.

Компоненты

Она состоит из следующих компонентов:

• Группа ресурсов Azure — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно.
• Книга ArcBox — это книга Azure Monitor, которая предоставляет одну панель стекла для мониторинга и создания отчетов о ресурсах ArcBox. Книга выступает в качестве гибкого холста для анализа данных и визуализации в портал Azure, сбора информации из нескольких источников данных из нескольких источников данных из ArcBox и объединения их в интегрированный интерактивный интерфейс.
• Azure Monitor позволяет отслеживать производительность и события для систем, работающих в Azure, локально или в других облаках.
• Политика Azure гостевой конфигурации может проверять операционные системы и конфигурацию компьютера для компьютеров, работающих на серверах с поддержкой Azure и Arc, работающих локально или в других облаках.
• Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, а также интерактивного анализа их результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.
• Microsoft Defender для облака — это решение для управления безопасностью в облаке (CSPM) и защиты облачных рабочих нагрузок (CWP). Microsoft Defender для облака находит слабые места в конфигурации облака, помогает укрепить общую безопасность среды и защитить рабочие нагрузки в многооблачных и гибридных средах от изменяющихся угроз.
• Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования с помощью оркестрации операций защиты (SOAR). Microsoft Sentinel обеспечивает средства для интеллектуальной аналитики безопасности и аналитики угроз по всему предприятию, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы.
• Серверы с поддержкой Azure Arc позволяют подключать Azure к компьютерам Windows и Linux, размещенным за пределами Azure в корпоративной сети. Когда сервер подключен к Azure, он становится сервером с поддержкой Arc и рассматривается как ресурс в Azure. Каждый сервер с поддержкой Arc имеет идентификатор ресурса, управляемое системное удостоверение и управляется в рамках группы ресурсов в подписке. Серверы с поддержкой Arc получают преимущества стандартных конструкций Azure, таких как инвентаризация, политика, теги и Azure Lighthouse.
• Вложенная виртуализация Hyper-V используется с помощью Jumpstart ArcBox для ИТ-специалистов для размещения виртуальных машин Windows Server внутри виртуальной машины Azure. Это обеспечивает тот же интерфейс, что и использование физических компьютеров Windows Server, но без требований к оборудованию.
• Azure виртуальная сеть предоставляет частную сеть, которая позволяет компонентам в группе ресурсов Azure взаимодействовать, например виртуальные машины.

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

• Упорядочение, управление и инвентаризация больших групп виртуальных машин (виртуальных машин) и серверов в нескольких средах.
• Применение стандартов организации и оценка соответствия всем ресурсам в любом месте с помощью Политика Azure.
• Легко развертывать поддерживаемые расширения виртуальных машин на серверах с поддержкой Arc.
• Настройте и примените Политика Azure для виртуальных машин и серверов, размещенных в нескольких средах.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Настройка агента компьютера с Подключение Azure Arc

Вы можете подключить любую другую физическую или виртуальную машину под управлением Windows или Linux к Azure Arc. Перед подключением компьютеров обязательно выполните предварительные требования Подключение агента машин, включая регистрацию поставщиков ресурсов Azure для серверов с поддержкой Azure Arc. Чтобы использовать Azure Arc для подключения компьютера к Azure, необходимо установить агент azure Подключение машин на каждом компьютере, который планируется подключить с помощью Azure Arc. Дополнительные сведения см. в разделе "Обзор агента серверов с поддержкой Azure Arc".

После настройки агент компьютера Подключение отправляет регулярное сообщение пульса каждые пять минут в Azure. Если пульс не получен, Azure назначает состояние автономного компьютера, которое отражается на портале в течение 15–30 минут. После получения последующего сообщения пульса от Подключение агента компьютера его состояние автоматически изменится на Подключение.

Существует несколько вариантов подключения компьютеров Windows и Linux в Azure.

• Ручная установка. Серверы с поддержкой Azure Arc можно включить для одного или нескольких компьютеров Windows или Linux в вашей среде с помощью набора средств Центра windows Администратор Или вручную.
• Установка на основе скрипта: вы можете выполнить автоматическую установку агента, выполнив скрипт шаблона, скачанный из портал Azure.
• Подключение компьютеры в масштабе с помощью субъекта-службы: чтобы подключиться к масштабу, использовать субъект-службу и развертывать с помощью существующей автоматизации организации.
• Установка с помощью Windows PowerShell DSC

Ознакомьтесь с вариантами развертывания агента Подключение машин Azure, чтобы получить подробные сведения о различных доступных вариантах развертывания.

Включение гостевой конфигурации Политика Azure

Серверы с поддержкой Azure Arc поддерживают Политика Azure на уровне управления ресурсами Azure, а также на отдельном компьютере сервера с помощью политик гостевой конфигурации. Политика Azure гостевой конфигурации может выполнять аудит параметров на компьютере как для компьютеров, работающих на серверах с поддержкой Azure, так и на серверах с поддержкой Arc. Например, можно выполнять аудит таких параметров, как:

• конфигурация операционной системы;
• конфигурация или наличие приложения;
• Параметры среды

Существует несколько встроенных определений Политика Azure для Azure Arc. Эти политики предоставляют параметры аудита и конфигурации для компьютеров под управлением Windows и Linux.

Включение Управления обновлениями Azure

Управление обновлениями. Вы можете выполнять управление обновлениями для серверов с поддержкой Arc. Управление обновлениями в служба автоматизации Azure позволяет управлять обновлениями операционной системы и быстро оценивать состояние доступных обновлений на всех компьютерах агента. Вы также можете управлять процессом установки необходимых обновлений для серверов.

Отслеживание изменений и инвентаризация. служба автоматизации Azure Отслеживание изменений и инвентаризация для серверов с поддержкой Arc позволяет определить, какое программное обеспечение установлено в вашей среде. Вы можете собирать и наблюдать инвентаризацию программного обеспечения, файлов, управляющей программы Linux, служб Windows и разделов реестра Windows. Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.

Мониторинг серверов с поддержкой Azure Arc

Azure Monitor можно использовать для мониторинга виртуальных машин, масштабируемых наборов виртуальных машин и компьютеров Azure Arc в масштабе. Azure Monitor анализирует производительность и работоспособность виртуальных машин Windows и Linux и отслеживает их процессы и зависимости от других ресурсов и внешних процессов. Оно включает поддержку мониторинга производительности и зависимостей приложений для виртуальных машин, размещенных в локальном или другом поставщике облачных служб.

Агенты Azure Monitor должны быть автоматически развернуты на серверах Windows и Linux с поддержкой Azure Arc через Политика Azure. Просмотрите и понять, как агент Log Analytics работает и собирает данные перед развертыванием.

Проектирование и планирование развертывания рабочей области Log Analytics. Он будет контейнером, в котором данные собираются, агрегируются и более поздние анализы. Рабочая область Log Analytics представляет географическое расположение данных, изоляции данных и область для конфигураций, таких как хранение данных. Используйте одну рабочую область Azure Monitor Log Analytics, как описано в рекомендациях по управлению и мониторингу Cloud Adoption Framework.

Защита серверов с поддержкой Azure Arc

Используйте Azure RBAC для управления разрешением для управляемых удостоверений серверов с поддержкой Azure Arc и периодических проверок доступа для этих удостоверений. Управляйте привилегированными ролями пользователей, чтобы избежать неправильного использования управляемых системой удостоверений, чтобы получить несанкционированный доступ к ресурсам Azure.

Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Расширение виртуальной машины хранилища ключей позволяет управлять жизненным циклом сертификатов на компьютерах Windows и Linux.

Подключение серверы с поддержкой Azure Arc для Microsoft Defender для облака. Это поможет вам приступить к сбору конфигураций, связанных с безопасностью, и журналов событий, чтобы вы могли рекомендовать действия и улучшить общую систему безопасности Azure.

Подключение серверах с поддержкой Azure Arc в Microsoft Sentinel. С помощью этого решения можно начать сбор событий, связанных с безопасностью, и их сопоставление с другими источниками данных.

Проверка топологии сети

Агент Подключение компьютера для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. Агент Подключение компьютера может подключаться к плоскости управления Azure с помощью следующих методов:

• Прямое подключение к общедоступным конечным точкам Azure, при необходимости от брандмауэра или прокси-сервера.
• Приватный канал Azure с помощью модели области Приватный канал, чтобы разрешить нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.

Ознакомьтесь с топологией сети и подключением к серверам с поддержкой Azure Arc, чтобы получить исчерпывающие рекомендации по сети для реализации серверов с поддержкой Arc.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

• В большинстве случаев расположение, выбранное при создании сценария установки, должно соответствовать региону Azure, географически наиболее близкому к расположению вашего компьютера. Остальные данные будут храниться в географии Azure, которая содержит указанный вами регион, что также может повлиять на выбор региона при наличии требований к местонахождению данных. Если сбой влияет на регион Azure, к которому подключен ваш компьютер, сбой не повлияет на сервер с поддержкой Arc. Однако операции управления с помощью Azure могут быть недоступны.
• Если у вас несколько расположений, которые предоставляют геоизбыточное обслуживание, лучше всего подключить компьютеры в каждом расположении к другому региону Azure для обеспечения устойчивости в случае регионального сбоя.
• Если агент подключенного компьютера Azure перестает отправлять пульс в Azure или переходит в автономный режим, вы не сможете выполнять в нем операционные задачи. Поэтому необходимо разработать план уведомлений и ответов.
• Настройте оповещения о работоспособности ресурсов, чтобы получать уведомления в режиме реального времени, когда ресурсы имеют изменение состояния работоспособности. И определите политику мониторинга и оповещения в Политика Azure, которая определяет неработоспособные серверы с поддержкой Azure Arc.
• Расширьте текущее решение резервного копирования в Azure или с легкостью настройте репликацию с учетом приложений и резервное копирование, согласованное с приложениями, которое масштабируется в зависимости от ваших бизнес-потребностей. Централизованный интерфейс управления для Azure Backup и Azure Site Recovery упрощает определение политик для защиты, мониторинга и управления серверами Windows и Linux с поддержкой Arc.
• Просмотрите рекомендации по непрерывности бизнес-процессов и аварийному восстановлению , чтобы определить, выполнены ли ваши корпоративные требования.
• Другие рекомендации по надежности решения описаны в разделе "Принципы проектирования надежности" в Microsoft Azure Well-Architected Framework.

Безопасность

• Для серверов с поддержкой Arc следует управлять соответствующим управлением доступом на основе ролей Azure (Azure RBAC). Чтобы подключить компьютеры, необходимо быть членом роли подключения Подключение компьютера Azure. Чтобы прочитать, изменить, повторно подключить и удалить компьютер, необходимо быть членом роли Подключение машинного ресурса Azure Администратор istrator.
• Microsoft Defender для облака может отслеживать локальные системы, виртуальные машины Azure, ресурсы Azure Monitor и даже виртуальные машины, размещенные другими поставщиками облачных служб. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc, для мониторинга базовых показателей безопасности, управления безопасностью и защиты от угроз.
• Microsoft Sentinel помогает упростить сбор данных в разных источниках, включая Azure, локальные решения и облака, с помощью встроенных соединителей.
• Вы можете использовать Политика Azure для управления политиками безопасности на серверах с поддержкой Arc, включая реализацию политик безопасности в Microsoft Defender для облака. Политика безопасности определяет нужную конфигурацию рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей компании или регуляторов. политики Defender для облака основаны на инициативах политики, созданных в Политика Azure.
• Чтобы ограничить, какие расширения можно установить на сервере с поддержкой Arc, можно настроить списки расширений, которые вы хотите разрешить и заблокировать на сервере. Диспетчер расширений оценивает все запросы на установку, обновление или обновление расширений в списке разрешений и блок-списке, чтобы определить, можно ли установить расширение на сервере.
• Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Вы можете подключить локальные или многооблачные серверы с Помощью Azure Arc и отправить весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей. Модель области Приватный канал позволяет нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.
• Ознакомьтесь с обзором безопасности серверов с поддержкой Azure Arc, чтобы получить полный обзор функций безопасности на сервере с поддержкой Azure Arc.
• Другие вопросы безопасности для решения описаны в разделе "Принципы проектирования безопасности" в Microsoft Azure Well-Architected Framework.

Оптимизация затрат

• Функции плоскости управления Azure Arc предоставляются без дополнительных затрат. Это включает поддержку организации ресурсов с помощью групп управления Azure и тегов, а также контроля доступа с помощью управления доступом на основе ролей Azure (RBAC). Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc, несут расходы в соответствии с их использованием.
• Обратитесь к управлению затратами для серверов с поддержкой Azure Arc для получения дополнительных рекомендаций по оптимизации затрат Azure Arc.
• Другие рекомендации по оптимизации затрат для вашего решения описаны в разделе "Принципы оптимизации затрат" в Microsoft Azure Well-Architected Framework.
• Для оценки затрат используйте калькулятор цен Azure.
• При развертывании эталонной реализации Jumpstart ArcBox для ИТ-специалистов для этой архитектуры следует учитывать, что ресурсы ArcBox создают расходы на потребление Azure из базовых ресурсов Azure. К этим ресурсам относятся основные вычислительные ресурсы, хранилище, сети и вспомогательные службы.

Эффективность работы

• Автоматизация развертывания среды серверов с поддержкой Arc. Эталонная реализация этой архитектуры полностью автоматизирована с помощью сочетания шаблонов Azure ARM, расширений виртуальных машин, Политика Azure конфигураций и сценариев PowerShell. Вы также можете повторно использовать эти артефакты для собственных развертываний. Ознакомьтесь с дисциплинами автоматизации для серверов с поддержкой Azure Arc для получения дополнительных рекомендаций по автоматизации серверов с поддержкой Arc в Cloud Adoption Framework (CAF).
• Существует несколько вариантов, доступных в Azure для автоматизации подключения серверов с поддержкой Arc. Чтобы подключиться к масштабу, используйте субъект-службу и разверните его с помощью существующей платформы автоматизации организации.
• Расширения виртуальных машин можно развернуть на серверах с поддержкой Arc, чтобы упростить управление гибридными серверами на протяжении всего жизненного цикла. Рассмотрите возможность автоматизации развертывания расширений виртуальных машин с помощью Политика Azure при управлении серверами в большом масштабе.
• Включите управление исправлениями и обновлениями на подключенных серверах с поддержкой Azure Arc, чтобы упростить управление жизненным циклом ОС.
• Ознакомьтесь с вариантами использования единой операции Azure Arc, чтобы узнать о дополнительных сценариях повышения эффективности работы для серверов с поддержкой Azure Arc.
• Другие рекомендации по обеспечению эффективности работы для вашего решения описаны в разделе "Принципы проектирования операционного превосходства" в Microsoft Azure Well-Architected Framework.

Оптимизация производительности

• Перед настройкой компьютеров с серверами с поддержкой Azure Arc необходимо просмотреть ограничения подписки Azure Resource Manager и ограничения группы ресурсов, чтобы спланировать количество подключенных компьютеров.
• Поэтапное развертывание, как описано в руководстве по развертыванию, поможет определить требования к емкости ресурсов для реализации.
• Используйте Azure Monitor для сбора данных непосредственно с серверов с поддержкой Azure Arc в рабочую область Log Analytics для подробного анализа и корреляции. Просмотрите параметры развертывания агентов Azure Monitor.
• Дополнительные рекомендации по эффективности производительности решения описаны в разделе принципов эффективности производительности в Microsoft Azure Well-Architected Framework.

Развертывание этого сценария

Эталонная реализация этой архитектуры можно найти в приложении Jumpstart ArcBox для ИТ-специалистов, включенных в проект Arc Jumpstart . ArcBox предназначен для полного автономного хранения в одной подписке Azure и группе ресурсов. ArcBox упрощает работу пользователя со всеми доступными технологиями Azure Arc с не более чем доступной подпиской Azure.

Чтобы развернуть эталонную реализацию, выполните действия в репозитории GitHub, нажав кнопку Jumpstart ArcBox для ИТ-специалистов ниже.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Питер де Брюин | Старший менеджер по программам

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Дополнительные сведения об Azure Arc
• Дополнительные сведения о серверах с поддержкой Azure Arc
• Схема обучения Azure Arc
• Ознакомьтесь со сценариями с переходом к Azure Arc в руководстве по Arc Jumpstart
• Просмотр акселератора целевой зоны с поддержкой Arc в CAF

Связанные ресурсы

Сведения о связанных архитектурах:

• Управление конфигурациями для серверов с поддержкой Azure Arc
• Гибридное управление и развертывание Azure Arc для кластеров Kubernetes