Управление гибридными рабочими нагрузками Azure с помощью Windows Admin Center

В этой эталонной архитектуре показано, как спроектировать гибридное решение Windows Admin Center для управления рабочими нагрузками, размещенными локально и в Microsoft Azure. Эта архитектура включает два сценария:

• Windows Admin Center развернуты на виртуальной машине в Azure.
• Windows Admin Center развертывается на локальном сервере (физическом или виртуальном).

Архитектура

На первой схеме показана Windows Admin Center, развернутая на виртуальной машине в Azure.

На второй схеме показано, Windows Admin Center развернуты в локальной среде.

Скачайте файл Visio со схемами всех архитектур в этой статье.

Рабочий процесс

Архитектура состоит из следующих компонентов:

• Локальная корпоративная сеть. Частная локальная сеть, которая работает в организации.
• Локальный корпоративный брандмауэр. Брандмауэр организации, настроенный для предоставления пользователям доступа к шлюзу Windows Admin Center при локальном развертывании шлюза.
• Виртуальная машина Windows. Виртуальная машина Windows, установленная со шлюзом Windows Admin Center, на котором размещаются веб-службы, к которым пользователи могут подключаться.
• Azure AD приложение. Приложение, используемое для всех точек интеграции Azure в Windows Admin Center, включая проверку подлинности Azure Active Directory (Azure AD) на шлюзе.
• Управляемые узлы. Узлы, управляемые Windows Admin Center, которые могут включать физические серверы под управлением Azure Stack, Windows Server или виртуальные машины под управлением Windows Server.
• VPN или ExpressRoute. VPN типа "сеть — сеть" (S2S) или ExpressRoute для локального управления узлами при развертывании Windows Admin Center в Azure.
• Сетевой адаптер Azure. Адаптер для VPN типа "точка — сеть" (P2S) в Azure при развертывании Windows Admin Center локально. Windows Admin Center может автоматически развернуть адаптер, а также создать шлюз Azure.
• Система доменных имен (DNS). Запись DNS, на которую ссылаются пользователи для подключения к шлюзу Windows Admin Center.

Компоненты

• Windows Admin Center — это набор средств управления на основе браузера, который обеспечивает полный контроль над всеми аспектами серверной инфраструктуры и особенно полезен для управления серверами в частных сетях, которые не подключены к Интернету. Он обращается к серверам через шлюз Windows Admin Center, установленный на Windows Server или на присоединенных к домену Windows 10. Шлюз можно установить локально или на виртуальной машине Azure под управлением Windows.
• Azure ExpressRoute создает частные подключения между центрами обработки данных Azure и инфраструктурой локально или в среде совместного размещения.
• Azure виртуальная сеть предоставляет защищенную сетевую инфраструктуру в облаке.
• Azure Виртуальные машины предоставляет виртуальные машины Linux и Windows. В этом решении его можно использовать для предоставления виртуальной машины Windows для запуска Windows Admin Center.

Сведения о сценарии

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

• Организации, которые хотят управлять отдельными экземплярами Windows Server, Hyper-Converged инфраструктурой или виртуальными машинами Hyper-V, работающими локально и в Microsoft Azure.
• Организации, которые хотят управлять экземплярами Windows Server, размещенными у других поставщиков облачных служб.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Типы установки

При развертывании Windows Admin Center есть несколько вариантов, включая установку на Windows 10 компьютере, windows server или виртуальной машине Azure. Выбранный тип развертывания будет зависеть от бизнес-требований.

Локальные типы установки:

• Вариант 1. Локальный клиент. Развертывание Windows Admin Center на клиенте Windows 10. Это идеально подходит для быстрого развертывания, тестирования и импровизированных или небольших сценариев.
• Вариант 2. Сервер шлюза. Установка на назначенном сервере шлюза под управлением Windows Server 2016, Windows Server 2019 или более поздней версии и доступ из любого клиентского браузера с подключением к серверу шлюза.
• Вариант 3. Управляемый сервер. Установите непосредственно на управляемый сервер под управлением Windows Server 2016, Windows Server 2019 или более поздней версии, чтобы позволить серверу управлять самим собой или кластером, в котором управляемый сервер является членом узла. Это отлично подходит для сценариев распределенного филиала.
• Вариант 4. Отказоустойчивый кластер. Развертывание в отказоустойчивом кластере, которое обеспечит высокий уровень доступности службы шлюза. Это отлично подходит для рабочих сред, чтобы обеспечить устойчивость службы управления.

Так как Windows Admin Center не имеет зависимостей от облачных служб, некоторые организации могут развернуть Windows Admin Center в локальной системе для управления локальными компьютерами, а затем включить гибридные службы с течением времени. Однако многие организации предпочитают использовать предложения служб в Azure и другие облачные платформы, интегрированные с Windows Admin Center.

Развертывание Windows Admin Center на виртуальной машине Azure обеспечивает функциональность шлюза, аналогичную Windows Server 2016 и Windows Server 2019. Однако Azure также включает дополнительные функции для виртуальных машин Azure. Дополнительные сведения о преимуществах развертывания Windows Admin Center на виртуальных машинах Azure см. в статье Надежность.

Автоматизированное развертывание

Корпорация Майкрософт предоставляет файл .msi, который используется для развертывания Windows Admin Center на локальной виртуальной машине. Файл .msi устанавливает Windows Admin Center и автоматически создает самозаверяющий сертификат или связывает существующий сертификат в соответствии с вашими предпочтениями.

При реализации Windows Admin Center на виртуальной машине Azure корпорация Майкрософт предоставляет скрипт Администратор CenterAzVM.ps1Deploy-Windows для автоматического развертывания всех необходимых ресурсов. В этом сценарии сценарий развертывает новую виртуальную машину Azure с установленными Windows Admin Center и открывает порт 443 на общедоступном IP-адресе. Скрипт также может развертывать Windows Admin Center на существующей виртуальной машине Azure. При выполнении скрипта можно использовать переменные, чтобы указать группу ресурсов, имя виртуальной сети, имя виртуальной машины, расположение и многие другие параметры.

Рекомендации по топологии

Хотя вы можете реализовать Windows Admin Center на любой существующей или новой виртуальной машине, локальной или размещенной в Azure, корпорация Майкрософт рекомендует развернуть шлюз Windows Admin Center на виртуальной машине Windows Server 2019 Azure. Вариант автоматического развертывания, рассмотренный ранее, позволяет быстрее реализовать Windows Admin Center на виртуальной машине Azure, сохраняя при этом защиту среды. Вместо развертывания Windows Admin Center на локальной виртуальной машине можно свести к минимуму изменения конфигурации, необходимые для локального брандмауэра и сети.

При развертывании в локальной среде можно использовать Windows Admin Center для создания гибридного подключения к Azure. Гибридное подключение, называемое сетевым адаптером Azure, — это vpn-подключение типа "точка — сеть" к Azure, которое позволяет Windows Admin Center получать доступ к функциям гибридного облака. Этот процесс также автоматически создает шлюз Azure для VPN-подключения. Дополнительные сведения см. в статье Сведения о VPN типа "точка — сеть".

Также следует настроить шлюз Windows Admin Center для обеспечения высокой доступности. Это поможет обеспечить доступность управления системами и службами во время непредвиденных сбоев. Azure предоставляет несколько предложений служб для этих сценариев независимо от того, развернут шлюз Windows Admin Center на локальной или виртуальной машине Azure. Дополнительные сведения см. в разделе Рекомендации по обеспечению доступности .

Рекомендации по сертификатам

Windows Admin Center шлюз — это веб-средство, использующее SSL-сертификат для шифрования веб-трафика для администраторов, использующих шлюз. Windows Admin Center позволяет использовать SSL-сертификат, созданный доверенным сторонним центром сертификации (ЦС) на основе самозаверяющего сертификата. При попытке подключения из браузера вы получите предупреждение, если вы выберете последний вариант. Поэтому рекомендуется использовать только самозаверяющие сертификаты для тестовых сред.

Рекомендации по администрированию

Развертывание Windows Admin Center на локальном клиенте Windows 10 отлично подходит для быстрого запуска тестов и нерегламентированных или небольших сценариев. Однако для рабочих сценариев с несколькими администраторами рекомендуется Использовать Windows Server. При развертывании в Windows Server Windows Admin Center предоставляет централизованный центр управления для серверной среды с дополнительными возможностями, такими как проверка подлинности со смарт-картой, условный доступ и многофакторная проверка подлинности. Дополнительные сведения об управлении доступом к Windows Admin Center см. в разделе Параметры доступа пользователей с помощью Windows Admin Center.

Рекомендации

Эти рекомендации реализуют основные принципы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

надежность;

Надежность гарантирует, что приложение сможет выполнить обязательства, которые вы взяли на себя перед клиентами. Дополнительные сведения см. в статье Общие сведения о принципах надежности.

• Вы можете обеспечить высокий уровень доступности службы шлюза Windows Admin Center, развернув ее в активной или пассивной модели в отказоустойчивом кластере. В этом сценарии активен только один экземпляр службы шлюза Windows Admin Center. Если один из узлов в кластере завершается сбоем, служба шлюза Windows Admin Center легко выполняет отработку отказа на другой узел.

  Внимание!

  Развертывание Windows Admin Center на Windows 10 клиентском компьютере не обеспечивает высокий уровень доступности, так как функции шлюза не включены в развертывание Windows 10. Разверните шлюз Windows Admin Center в Windows Server 2016 или Windows Server 2019.

• Чтобы обеспечить высокий уровень доступности данных Windows Admin Center в случае сбоя узла, настройте общий том кластера (CSV), в котором Windows Admin Center будут хранить постоянные данные, доступные всем узлам кластера. Вы можете развернуть отказоустойчивый кластер для шлюза Windows Admin Center с помощью скрипта автоматического развертывания. Скрипт Install-WindowsAdminCenterHA.ps1 автоматически развертывает отказоустойчивый кластер, настраивает IP-адреса для службы кластера, устанавливает Windows Admin Center шлюза, настраивает номер порта для службы шлюза и настраивает веб-службу с соответствующим сертификатом.

  Совет

  Дополнительные сведения об использовании скрипта автоматического развертывания см. в статье Развертывание Windows Admin Center с высоким уровнем доступности.

• Развертывание шлюза Windows Admin Center на виртуальной машине Azure предоставляет дополнительные возможности обеспечения высокого уровня доступности. Например, с помощью групп доступности можно обеспечить избыточность и доступность виртуальных машин в центре обработки данных Azure путем распределения виртуальных машин между несколькими аппаратными узлами. Вы также можете использовать зоны доступности в Azure, которые обеспечивают отказоустойчивость центра обработки данных. Зоны доступности — это уникальные физические расположения, охватывающие центры обработки данных в регионе Azure. Это гарантирует, что виртуальные машины Azure имеют независимое питание, охлаждение и сеть. Дополнительные сведения о высокой доступности см. в статье Варианты доступности виртуальных машин в Azure и Высокий уровень доступности и аварийное восстановление для приложений IaaS.

Безопасность

Безопасность обеспечивает гарантии от преднамеренных атак и злоупотреблений ценными данными и системами. Дополнительные сведения см. в статье Общие сведения о компонентах безопасности.

• Развертывание Windows Admin Center предоставляет организации централизованный интерфейс управления для серверной среды. Контролируя доступ к Windows Admin Center, вы можете повысить безопасность своего пространства управления.
• Windows Admin Center предоставляет несколько функций для защиты платформы управления. Для начала Windows Admin Center проверки подлинности шлюза можно использовать локальные группы, доменные службы Active Directory (AD DS) и облачные Azure AD. Вы также можете применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карт. Кроме того, требуя Azure AD проверки подлинности для шлюза, вы можете использовать другие Azure AD функции безопасности, такие как условный доступ и Многофакторная идентификация Azure Active Directory.
• Доступ к шлюзу Windows Admin Center не подразумевает доступ к целевым серверам, которые становятся видимыми шлюзом. Для управления целевым сервером пользователи должны подключаться с учетными данными, предоставляющими права администратора на серверах, которыми они хотят управлять. Однако некоторым пользователям может не потребоваться административный доступ для выполнения своих обязанностей. В этом сценарии можно использовать управление доступом на основе ролей (RBAC) в Windows Admin Center, чтобы предоставить этим пользователям ограниченный доступ к серверам, а не предоставлять им полный административный доступ.

  Примечание

  Если вы развернули решение для паролей локального администратора (LAPS) в своей среде, используйте учетные данные LAPS через Windows Admin Center для проверки подлинности на целевом сервере.

• В Windows Admin Center RBAC настраивает каждый управляемый сервер с конечной точкой Windows PowerShell Just Enough Administration. Эта конечная точка определяет роли, в том числе те части системы, которыми может управлять каждая роль, и каким пользователям назначены роли. Когда пользователь подключается к конечной точке, RBAC создает временную учетную запись локального администратора для управления системой от его имени и автоматически удаляет учетную запись, когда пользователь прекращает управление сервером через Windows Admin Center. Дополнительные сведения см. в статье Just Enough Administration.
• Windows Admin Center также обеспечивает видимость действий управления, выполняемых в вашей среде. Windows Admin Center записывает события путем ведения журнала действий в канале событий Microsoft-ServerManagementExperience в журнале событий управляемого сервера. Это позволяет выполнять аудит действий, выполняемых администраторами, а также помогает устранять неполадки Windows Admin Center и просматривать метрики использования. Дополнительные сведения об аудите см. в статье Использование ведения журнала событий в Windows Admin Center, чтобы получить представление о действиях управления и отслеживать использование шлюза.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

• Для локальных развертываний Windows Admin Center ничего не стоит, чем стоимость операционной системы Windows, для которой требуются действительные лицензии Windows Server или Windows 10.
• Для развертываний Azure спланируйте затраты, связанные с развертыванием Windows Admin Center на виртуальной машине Azure. Некоторые из этих затрат могут включать виртуальную машину, хранилище, статические или общедоступные IP-адреса (если они включены), а также любые сетевые компоненты, необходимые для интеграции с локальными средами. Кроме того, может потребоваться запланировать затраты на приобретение сертификатов ЦС сторонних организаций.

эффективность работы;

Эффективность работы охватывает операционные процессы, которые развертывают приложение и сохраняют его работу в рабочей среде. Дополнительные сведения см. в статье Общие сведения о принципе операционной эффективности.

Управляемость

• Доступ к набору средств управления Windows Admin Center зависит от типа установки. Например, в сценарии с локальным клиентом вы открываете Windows Admin Center в меню "Пуск" и подключаетесь к нему из клиентского веб-браузера, открыв https://localhost:6516. В других сценариях, когда шлюз Windows Admin Center развертывается на сервере Windows Server, вы можете подключиться к шлюзу Windows Admin Center из клиентского веб-браузера, используя URL-адрес имени сервера, например https://servername.contoso.com, или URL-адрес имени кластера.
• При развертывании в Windows Server Windows Admin Center предоставляет централизованную точку управления для серверной среды. Windows Admin Center предоставляет средства управления для многих распространенных сценариев и средств, в том числе:
  • Управление сертификатами
  • Просмотр событий
  • Проводник
  • Параметры сети
  • Подключение к удаленному рабочему столу
  • Windows PowerShell
  • Управление брандмауэром
  • Редактирование реестра
  • Включение и отключение ролей и компонентов
  • Управление установленными приложениями и устройствами
  • Управление запланированными задачами
  • Настройка локальных пользователей и групп
  • Управление службами Windows
  • Управление хранилищем
  • Управление клиентский компонент Центра обновления Windows

Полный список возможностей управления серверами см. в статье Управление серверами с помощью Windows Admin Center.

• Windows Admin Center поддерживает управление отказоустойчивыми кластерами и ресурсами кластера, управление виртуальными машинами и виртуальными коммутаторами Hyper-V, а также управление репликой хранилища Windows Server. Помимо использования Windows Admin Center для управления и мониторинга существующей инфраструктуры Hyper-Converged, вы также можете использовать Windows Admin Center для развертывания новой инфраструктуры Hyper-Converged. Используя многоэтапный рабочий процесс, Windows Admin Center поможет вам установить компоненты, настроить сеть, создать кластер и развернуть Локальные дисковые пространства и Software-Defined сети. Дополнительные сведения см. в статье Управление инфраструктурой Hyper-Converged с помощью Windows Admin Center.

  Примечание

  Вы можете использовать Windows Admin Center для управления Microsoft Hyper-V Server 2016 или Microsoft Hyper-V Server 2019 (бесплатный продукт для виртуализации Майкрософт).

• Средство гибридных служб Azure в Windows Admin Center предоставляет централизованное расположение для всех интегрированных служб Azure. Гибридные службы Azure можно использовать для защиты виртуальных машин в Azure и локальной среде с помощью облачного резервного копирования и аварийного восстановления. Вы также можете расширить локальную емкость с помощью хранилища и вычислений в Azure, а также упростить сетевое подключение к Azure. С помощью облачных служб управления Azure можно централизовать мониторинг, управление, конфигурацию и безопасность в приложениях, сети и инфраструктуре.

DevOps

• Windows Admin Center была создана для расширяемости, чтобы корпорация Майкрософт и другие разработчики могли создавать средства и решения, выходящие за рамки текущих предложений. Windows Admin Center предоставляет расширяемую платформу, в которой каждый тип подключения и средство являются расширением, которое можно устанавливать, удалять и обновлять по отдельности. Корпорация Майкрософт предлагает пакет средств разработки программного обеспечения (SDK), который позволяет разработчикам создавать собственные средства для Windows Admin Center.
• Вы можете создавать Windows Admin Center расширения с помощью современных веб-технологий, включая HTML5, CSS, Angular, TypeScript и jQuery, для управления целевыми серверами с помощью Windows PowerShell или инструментария управления Windows. Вы также можете управлять целевыми серверами, службами и устройствами по различным протоколам, таким как передача репрезентативного состояния (REST), путем создания подключаемого модуля шлюза Windows Admin Center.

  Совет

  Дополнительные сведения об использовании пакета SDK для разработки расширений для Windows Admin Center см. в статье Расширения для Windows Admin Center.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально она была написана следующими авторами.

Основной автор:

• Майк Мартин | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Дальнейшие действия

Дополнительные сведения о служба автоматизации Azure:

• Установка Windows Admin Center
• Предварительная версия. Использование Windows Admin Center в портал Azure для управления виртуальной машиной Windows Server
• Развертывание Windows Admin Center вручную в Azure для управления несколькими серверами
• Подключение гибридных компьютеров к Azure из Windows Admin Center

Связанные ресурсы

• Подключение отдельных серверов с помощью сетевого адаптера Azure
• Использование растянутых кластеров Azure Stack HCI для аварийного восстановления
• Управление конфигурациями для серверов с поддержкой Azure Arc
• Использование бесключенного подключения Azure Stack HCI и упрощенного кворума для удаленного офиса или филиала