Каковы основные возможности управления серверами с поддержкой Azure Arc в Azure?

10 мин

Azure Arc позволяет расширить область применения нескольких служб Azure, включив в нее серверы Windows и Linux без Azure. Это позволяет таким компаниям, как Contoso, стандартизировать стратегию управления при работе в гибридных сценариях. В этом уроке вы узнаете о возможностях Azure Arc, ориентированных на те, которые доступны исключительно для серверов с поддержкой Azure и Azure Arc.

Какие основные возможности управления ресурсами реализованы на серверах с поддержкой Azure Arc в Azure?

Ряд преимуществ использования Azure Arc не зависит от типа ресурса, поскольку они отражают возможности Azure Resource Manager. К этим преимуществам относятся следующие:

Возможность сортировки всех ресурсов организации с помощью групп управления Azure, подписок, групп ресурсов и тегов.
Единая комплексная инвентаризация ресурсов организации в нескольких облаках и локальной среде, включая поддержку поиска и индексирования с помощью Azure Resource Graph.
Консолидированное представление ресурсов Azure и Azure Arc с поддержкой портал Azure, интерфейса командной строки Azure (CLI), Azure PowerShell и интерфейса API передачи состояния представления (REST).
Прямой доступ от портал Azure к большинству функций управления серверов с поддержкой Azure Arc:
- Контроль доступа на основе ролей (RBAC) для просмотра журналов и данных инвентаризации сервера
- расширения виртуальных машин для развертывания агентов программного обеспечения и выполнения сценариев на сервере;
- настройка гостевой конфигурации в службе "Политика Azure" для аудита операционной системы и конфигурации программного обеспечения;
- Управляемое удостоверение, назначенное системой Microsoft Entra, для приложений, работающих на сервере, для использования при проверке подлинности в других службах Azure

Screenshot of the Access control (IAM) page in the Azure portal for the selected VM: ContosoVM1. The details pane displays a number of tabs: Check access (selected), Role assignments, Deny assignments, Classic administrators, and Roles.

Существуют также преимущества, характерные для серверов с поддержкой Azure Arc, например:

возможность применения расширений виртуальной машины Azure для единообразной автоматизации настройки серверов Windows и Linux, отличных от Azure;
поддержка гостевой конфигурации в службе "Политика Azure". Политика Azure поддерживает аудит серверов с поддержкой Azure Arc так же, как и их коллег-резидентов Azure. Это позволяет применять тот же подход, чтобы оценить, соответствуют ли конфигурации всех серверов в среде стандартам организации.

Что такое расширения виртуальной машины и как они используются на серверах с поддержкой Azure Arc?

Расширения виртуальных машин — это упрощенные программные компоненты, автоматизирующие настройку и выполнение задач по автоматизации после развертывания операционной системы. Традиционно расширения виртуальных машин были доступны только на виртуальных машинах Azure, но теперь можно использовать выбранные расширения на серверах с поддержкой Azure Arc. В следующей таблице описаны расширения, которые можно добавить на серверы с поддержкой Azure Arc под управлением операционной системы Windows Server или Linux:

Расширение	Дополнительная информация:
Агент Log Analytics	Устанавливает агент Log Analytics на целевом сервере с поддержкой Arc и настраивает его для перенаправления журналов в рабочую область Log Analytics.
Агент зависимостей	Устанавливает агент зависимостей на целевом сервере с поддержкой Arc, чтобы упростить определение внутренних и внешних зависимостей рабочих нагрузок сервера.
Агент Azure Key Vault	Синхронизирует сертификаты из экземпляра Azure Key Vault с сервером с поддержкой Arc.
Расширение Qualys	Решение Microsoft Defender для оценки уязвимостей серверов.
Настройка требуемого состояния	Применяет конфигурацию PowerShell DSC на целевом сервере с поддержкой Arc.
Расширение пользовательских сценариев	Выполняет скрипт на целевом сервере с поддержкой Arc.

Что такое Политика Azure и как она используется для управления серверами с поддержкой Azure Arc?

Политика Azure — это служба, которая может помочь организациям управлять внутренними и нормативными требованиями серверов с поддержкой Arc, а также широкий спектр служб Azure. Политика Azure использует декларативные правила на основе свойств целевых типов ресурсов Azure, включая операционные системы Windows и Linux. Эти правила формируют определения политик, которые администраторы могут применяться с помощью назначения политики к группам ресурсов, подпискам или группам управления, на которых размещаются серверы с поддержкой Azure Arc. Чтобы упростить управление определениями политик, можно объединить несколько политик в инициативы, а затем создать несколько назначений инициатив вместо нескольких назначений политик.

Политика Azure поддерживает аудит состояния сервера с поддержкой Arc с помощью политик гостевой конфигурации. Политики гостевой конфигурации не применяют конфигурации, но они проверяют параметры в целевой операционной системе и оценивают их соответствие. Однако можно использовать Политика Azure для применения конфигурации ресурса Azure, представляющего сервер с поддержкой Arc. Вы также можете использовать Политику Azure для развертывания конфигураций, используя расширения виртуальной машины.

Например, компания Contoso может использовать Политику Azure для внедрения следующих правил:

Назначение определенного тега ресурсам, представляющим серверы с поддержкой Arc во время их регистрации.
Определите серверы с поддержкой Arc под управлением Windows с отключенным эксплойтом Защитника Windows.
Определите серверы с поддержкой Arc под управлением Windows, которые не присоединены к определенному домену служб домен Active Directory (AD DS).
Определите серверы с поддержкой Arc под управлением Windows или Linux без установленного агента Log Analytics.
Определите серверы с поддержкой Arc под управлением Linux, которые не используют ключи SSH для проверки подлинности.

Примечание.

Политики, поддерживающие исправление, не должны оценивать логику политики в операционной системе сервера с поддержкой Azure Arc, а вместо этого полагаться на метаданные ресурсов Azure. Примеры таких политик включают применение соответствия тегов или развертывание расширений виртуальных машин.

Примечание.

Политика Azure поддерживает виртуальные машины Azure и серверы с поддержкой Azure Arc, предоставляя согласованное представление сведений о соответствии требованиям на уровне организации.

Как назначить Политики Azure серверам с поддержкой Azure Arc?

Вы можете управлять и назначать политики Azure серверам с поддержкой Azure Arc непосредственно из портал Azure.

Screenshot that depicts the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

После создания назначения политики вскоре после этого вы сможете просмотреть результаты оценки политики на целевых серверах с поддержкой Azure Arc.

Screenshot that depicts the applied policies on ContosoVM1. Two policies are applied, and the VM is compliant with one but not the other.

Каковы преимущества Управления обновлениями службы автоматизации Azure в гибридных сценариях?

Служба автоматизации Azure представляет собой службу Azure, которая помогает автоматизировать задачи обслуживания в Azure и в локальных средах с помощью пользовательских скриптов PowerShell или Python. Кроме того, служба автоматизации Azure поддерживает управление конфигурацией с помощью нескольких встроенных решений, включающих Управление обновлениями.

Управление обновлениями службы автоматизации Azure — это гибридное решение, которое упрощает управление обновлениями операционных систем и их мониторинг в гибридных сценариях. Оно предоставляет исчерпывающую информацию о состоянии обновления и помогает устранять любые пробелы в автоматическом режиме. Она поддерживает интеграцию с любыми стандартными технологиями развертывания обновлений, включая службы Обновл. Windows, службы обновления Windows Server (WSUS) и Configuration Manager конечных точек.

Как и Microsoft Defender для облака, решение "Управление обновлениями" использует данные, собранные с серверов Windows Azure Monitor и хранящиеся в указанной рабочей области Log Analytics. Это, в свою очередь, требует локально установленного агента Log Analytics, который регистрирует управляемые компьютеры в рабочей области Log Analytics и постоянно отправляет в него локальные собранные данные. Модуль Log Analytics анализирует собранные данные, чтобы определить состояние соответствия обновлений каждого управляемого сервера.

В целом Управление обновлениями позволяет:

Отслеживайте состояние обновлений на серверах: служба включает интерфейс на основе портал Azure, где можно просматривать состояния обновления в управляемой среде.
Настройте динамические группы компьютеров для целевых развертываний обновлений: служба поддерживает целевые обновления для групп на основе запросов или групп Log Analytics, импортированных из другого источника, например WSUS или Endpoint Configuration Manager.
Поиск журналов Azure Monitor. Служба позволяет выполнять запросы к журналам, хранящимся в Log Analytics.

Каковы преимущества Desired State Configuration (DSC) службы автоматизации Azure в гибридных сценариях?

PowerShell DSC — это технология, реализующая управление декларативной конфигурацией с помощью сочетания сценариев PowerShell и функций операционной системы. Конфигурация может быть как простой, например контроль включения определенного компонента Windows, так и сложной, например развертывание SharePoint. Конфигурацию DSC можно развернуть в режиме принудительной отправки или в режиме извлечения. Режим принудительной отправки включает вызов развертывания с компьютера управления на одном или нескольких управляемых компьютерах. В режиме извлечения управляемые компьютеры выполняют развертывание автоматически на основе данных конфигурации из указанного расположения, называемого сервером извлечения. Служба автоматизации Azure включает управляемый опрашивающий сервер DSC, который находится в Azure. Конфигурацию DSC можно применить в режиме принудительной передачи к компьютерам, отличным от Azure, включая серверы с поддержкой Azure Arc с помощью расширения виртуальной машины. Кроме того, оба типа систем можно подключить к службе автоматизации Azure и управлять их конфигурацией через опрашивающий сервер.

Каковы преимущества Автоматического управления Azure в гибридных сценариях?

Рекомендации по управлению компьютерами в Автоматическом управлении Azure — это служба, которая не требует от пользователя знаний в области обнаружения, подключения и настройки определенных служб в Azure, которые повысят эффективность вашего сервера с поддержкой Arc. После подключения компьютеров к Автоматическому управлению Azure для каждой службы настраиваются рекомендуемые параметры. Автоматическое управление Azure также автоматически отслеживает и исправляет смещение при обнаружении. В число поддерживаемых служб входят следующие:

Мониторинг аналитики компьютеров
Управление обновлениями
Отслеживание изменений; инвентаризация
Гостевая конфигурация Azure
Учетная запись службы автоматизации Azure
Рабочая область Log Analytics

Выберите подходящий ответ для каждого вопроса, а затем нажмите Проверить ответы.

Проверьте свои знания

Какое расширение виртуальной машины может добавить администратор на серверы с поддержкой Azure Arc, чтобы начать мониторинг с помощью служб Azure?

Расширение Qualys. Это расширение виртуальной машины реализует интеграцию c Azure Defender для оценки уязвимости серверов.

Расширение Azure Key Vault.

Агент Log Analytics.

Что может сделать администратор для аудита состояния операционной системы серверов с поддержкой Azure Arc?

Заглянуть в Помощник по Azure.

Выполните поиск по журналам действий в портал Azure.

Применить политику на основе конфигурации гостя Azure.

Вы должны ответить на все вопросы перед проверкой.

Продолжить