Azure Arc özellikli sunucular için yapılandırmaları yönetme

Arc
İzleyici
İlke
Azure Resource Manager
Sanal Makineler

Bu başvuru mimarisi, Azure Arc'ın şirket içi, çoklu bulut ve uç senaryolarında sunucuları yönetmenize, yönetmenize ve güvenli bir şekilde korumanıza nasıl olanak sağladığını gösterir ve BT Uzmanları için Azure Arc Jumpstart ArcBox uygulamasını temel alır. ArcBox, Azure Arc ile ilgili her şey için dağıtılması kolay bir korumalı alan sağlayan bir çözümdür. BT Uzmanları için ArcBox, bir korumalı alan ortamında Azure Arc özellikli sunucu özelliklerini deneyimlemek isteyen kullanıcılara yönelik bir ArcBox sürümüdür.

Mimari

Arc özellikli sunucuların Azure'a bağlı olduğu bir Azure Arc karma sunucu topolojisi diyagramı.

Bu mimarinin PowerPoint dosyasını indirin.

Bileşenler

Mimari aşağıdaki bileşenlerden oluşur:

  • Azure Kaynak Grubu, bir Azure çözümü için ilgili kaynakları tutan bir kapsayıcıdır. Kaynak grubu bir çözümün tüm kaynaklarını veya yalnızca grup olarak yönetmek istediğiniz kaynakları içerebilir.
  • ArcBox çalışma kitabı, ArcBox kaynaklarını izlemek ve raporlamak için tek bir cam bölme sağlayan bir Azure İzleyici çalışma kitabıdır. Çalışma kitabı, Azure portal veri analizi ve görselleştirme için esnek bir tuval görevi görür ve ArcBox genelindeki çeşitli veri kaynaklarından bilgi toplayarak bunları tümleşik bir etkileşimli deneyimde birleştirir.
  • Azure İzleyici, Azure'da , şirket içinde veya diğer bulutlarda çalışan sistemler için performansı ve olayları izlemenize olanak tanır.
  • Azure İlkesi konuk yapılandırması hem Azure'da çalışan makineler hem de şirket içinde veya diğer bulutlarda çalışan Arc özellikli sunucular için işletim sistemlerini ve makine yapılandırmasını denetleyebilir.
  • Azure Log Analytics, Azure İzleyici Günlükleri tarafından toplanan verilerden günlük sorgularını düzenlemek ve çalıştırmak ve sonuçlarını etkileşimli bir şekilde analiz etmek için Azure portal bir araçtır. Log Analytics sorgularını belirli ölçütlere uyan kayıtları almak, eğilimleri belirlemek, desenleri analiz etmek ve verilerinizden çeşitli içgörüler sağlamak için kullanabilirsiniz.
  • Bulut için Microsoft Defender bir bulut güvenliği duruş yönetimi (CSPM) ve bulut iş yükü koruması (CWP) çözümüdür. Bulut için Microsoft Defender bulut yapılandırmanız genelinde zayıf noktalar bulur, ortamınızın genel güvenlik duruşunu güçlendirmeye yardımcı olur ve çoklu bulut ve karma ortamlardaki iş yüklerini gelişen tehditlere karşı koruyabilir.
  • Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.
  • Azure Arc özellikli sunucular , Azure'ı şirket ağınızdaki Azure dışında barındırılan Windows ve Linux makinelerinize bağlamanıza olanak tanır. Bir sunucu Azure'a bağlandığında Arc özellikli bir sunucu olur ve Azure'da kaynak olarak değerlendirilir. Arc özellikli her sunucunun bir Kaynak Kimliği, yönetilen sistem kimliği vardır ve abonelik içindeki bir kaynak grubunun parçası olarak yönetilir. Arc özellikli sunucular envanter, ilke, etiketler ve Azure Lighthouse gibi standart Azure yapılarından yararlanıyor.
  • Hyper-V iç içe sanallaştırma , BT Uzmanları için Jumpstart ArcBox tarafından bir Azure sanal makinesinin içinde Windows Server sanal makinelerini barındırmak için kullanılır. Bu, donanım gereksinimleri olmadan fiziksel Windows Server makinelerini kullanma deneyimiyle aynı deneyimi sağlar.
  • Azure Sanal Ağ, Azure Kaynak Grubu içindeki bileşenlerin sanal makineler gibi iletişim kurmasını sağlayan özel bir ağ sağlar.

Senaryo ayrıntıları

Olası kullanım örnekleri

Bu mimarinin tipik kullanımları şunlardır:

  • Birden çok ortamda büyük sanal makine (VM) gruplarını ve sunucuları düzenleyin, idare edin ve envanterini oluşturun.
  • Azure İlkesi ile her yerdeki tüm kaynaklarınız için kuruluş standartlarını zorlayın ve uygun ölçekte uyumluluğu değerlendirin.
  • Desteklenen VM uzantılarını Arc özellikli sunuculara kolayca dağıtın.
  • Birden çok ortamda barındırılan VM'ler ve sunucular için Azure İlkesi yapılandırın ve zorunlu kılın.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Azure Arc Bağlı Makine aracıyı yapılandırma

Windows veya Linux çalıştıran diğer fiziksel veya sanal makineleri Azure Arc'a bağlayabilirsiniz. Makineleri eklemeden önce, Azure Arc özellikli sunucular için Azure kaynak sağlayıcılarını kaydetmeyi de içeren Bağlı makine aracısı önkoşullarını tamamladığınızdan emin olun. Azure Arc'ı kullanarak makineyi Azure'a bağlamak için Azure Arc kullanarak bağlanmayı planladığınız her makineye Azure Connected Machine aracısını yüklemeniz gerekir. Daha fazla bilgi için bkz. Azure Arc özellikli sunucu aracılarına genel bakış.

Yapılandırıldıktan sonra Bağlı Makine aracısı, Azure'a beş dakikada bir düzenli bir sinyal iletisi gönderir. Sinyal alınmadığında Azure, 15-30 dakika içinde portala yansıtılan makine Çevrimdışı durumunu atar. Bağlı Makine aracısından sonraki sinyal iletisini aldıktan sonra, durumu otomatik olarak Bağlandı olarak değişir.

Azure'da Windows ve Linux makinelerinizi bağlamak için kullanabileceğiniz çeşitli seçenekler vardır:

  • El ile yükleme: Azure Arc özellikli sunucular, Windows Admin Center araç kümesi kullanılarak veya bir dizi adımı el ile gerçekleştirerek ortamınızdaki bir veya birkaç Windows veya Linux makinesi için etkinleştirilebilir.
  • Betik tabanlı yükleme: Azure portal indirdiğiniz bir şablon betiğini çalıştırarak otomatik aracı yüklemesi gerçekleştirebilirsiniz.
  • Bir hizmet sorumlusu kullanarak makineleri uygun ölçekte bağlama: Uygun ölçekte ekleme yapmak için bir hizmet sorumlusu kullanın ve kuruluşunuzda mevcut otomasyon aracılığıyla dağıtın.
  • Windows PowerShell DSC kullanarak yükleme

Kullanılabilir çeşitli dağıtım seçenekleriyle ilgili kapsamlı belgeler için Azure Connected Machine aracısı dağıtım seçeneklerine başvurun.

Azure İlkesi konuk yapılandırmasını etkinleştirme

Azure Arc özellikli sunucular, Azure kaynak yönetimi katmanında vekonuk yapılandırma ilkelerini kullanarak tek tek sunucu makinesinde Azure İlkesi destekler. Azure İlkesi konuk yapılandırması, hem Azure'da çalışan makineler hem de Arc özellikli sunucular için bir makine içindeki ayarları denetleyebilir. Örneğin şu ayarları denetleyebilirsiniz:

  • İşletim sistemi yapılandırması
  • Uygulama yapılandırması veya varlığı
  • Ortam ayarları

Azure Arc için birkaç Azure İlkesi yerleşik tanımı vardır. Bu ilkeler hem Windows hem de Linux tabanlı makineler için denetim ve yapılandırma ayarları sağlar.

Azure Update Management'i etkinleştirme

Güncelleştirme Yönetimi. Arc özellikli sunucular için güncelleştirme yönetimi gerçekleştirebilirsiniz. Azure Otomasyonu güncelleştirme yönetimi, işletim sistemi güncelleştirmelerini yönetmenize ve tüm aracı makinelerde kullanılabilir güncelleştirmelerin durumunu hızla değerlendirmenize olanak tanır. Ayrıca sunucular için gerekli güncelleştirmeleri yükleme işlemini de yönetebilirsiniz.

Değişiklik İzleme ve Envanter. Arc özellikli sunucular için Azure Otomasyonu Değişiklik İzleme ve Envanter, ortamınızda hangi yazılımların yüklü olduğunu belirlemenize olanak tanır. Yazılım, dosyalar, Linux daemon'ları, Windows hizmetleri ve Windows Kayıt Defteri anahtarları için envanteri toplayabilir ve gözlemleyebilirsiniz. Makinelerinizin yapılandırmasını izlemek ortamınızdaki işletimsel sorunları bulmanıza ve makinelerinizin durumunu daha iyi anlamanıza yardımcı olabilir.

Azure Arc özellikli sunucuları izleme

Vm'lerinizi, sanal makine ölçek kümelerinizi ve Azure Arc makinelerinizi büyük ölçekte izlemek için Azure İzleyici'yi kullanabilirsiniz. Azure İzleyici, Windows ve Linux VM'lerinizin performansını ve sistem durumunu analiz eder, bunların süreçlerini ve diğer kaynaklara ve dış işlemlere bağımlılıklarını izler. Şirket içinde veya başka bir bulut sağlayıcısında barındırılan VM'ler için performans ve uygulama bağımlılıklarını izleme desteği sunar.

Azure İzleyici aracıları, Azure İlkesi aracılığıyla Azure Arc özellikli Windows ve Linux sunucularına otomatik olarak dağıtılmalıdır. Log Analytics aracısının dağıtımdan önce nasıl çalıştığını ve veri topladığını gözden geçirin ve anlayın.

Log Analytics çalışma alanı dağıtımınızı tasarlayın ve planlayın. Verilerin toplandığı, toplandığı ve daha sonra analiz edildiği kapsayıcı olacaktır. Log Analytics çalışma alanı verilerinizin coğrafi konumunu, veri yalıtımını ve veri saklama gibi yapılandırmaların kapsamını temsil eder. Bulut Benimseme Çerçevesi yönetim ve izleme en iyi uygulamalarında açıklandığı gibi tek bir Azure İzleyici Log Analytics çalışma alanı kullanın.

Azure Arc özellikli sunucuların güvenliğini sağlama

Azure Arc özellikli sunucular tarafından yönetilen kimliklerin iznini denetlemek ve yönetmek ve bu kimlikler için düzenli erişim gözden geçirmeleri gerçekleştirmek için Azure RBAC kullanın. Azure kaynaklarına yetkisiz erişim elde etmek için sistem tarafından yönetilen kimliklerin kötüye kullanılmasını önlemek için ayrıcalıklı kullanıcı rollerini denetleme.

Azure Arc özellikli sunucularınızdaki sertifikaları yönetmek için Azure Key Vault kullanmayı göz önünde bulundurun. Anahtar kasası VM uzantısı, Windows ve Linux makinelerinde sertifika yaşam döngüsünü yönetmenize olanak tanır.

Azure Arc özellikli sunucuları Bulut için Microsoft Defender bağlayın. Bu, güvenlikle ilgili yapılandırmaları ve olay günlüklerini toplamaya başlamanıza yardımcı olur, böylece eylemler önerebilir ve genel Azure güvenlik duruşunuzu geliştirebilirsiniz.

Azure Arc özellikli sunucuları Microsoft Sentinel'e bağlayın. Bu, güvenlikle ilgili olayları toplamaya ve bunları diğer veri kaynaklarıyla ilişkilendirmeye başlamanıza olanak tanır.

Ağ topolojisi doğrulama

Linux ve Windows için Bağlı Makine aracısı, 443 numaralı TCP bağlantı noktası üzerinden Azure Arc'a giden trafiği güvenli bir şekilde iletir. Bağlı Makine aracısı aşağıdaki yöntemleri kullanarak Azure denetim düzlemine bağlanabilir:

Arc özellikli sunucular uygulamanız için kapsamlı ağ yönergeleri için Azure Arc özellikli sunucular için ağ topolojisi ve bağlantısı konusuna başvurun.

Dikkat edilmesi gerekenler

Bu önemli noktalar, bir iş yükünün kalitesini geliştirmek için kullanılabilecek bir dizi yol gösteren ilke olan Azure Well-Architected Framework'ün yapı taşlarını uygular. Daha fazla bilgi için bkz. Microsoft Azure Well-Architected Framework.

Güvenilirlik

  • Çoğu durumda, yükleme betiğini oluştururken seçtiğiniz konum, makinenizin konumuna coğrafi olarak en yakın Azure bölgesi olmalıdır. Verilerin geri kalanı, belirttiğiniz bölgeyi içeren Azure coğrafyası içinde depolanır. Bu, veri yerleşimi gereksinimleriniz varsa bölge seçiminizi de etkileyebilir. Bir kesinti, makinenizin bağlı olduğu Azure bölgesini etkilerse kesinti Arc özellikli sunucuyu etkilemez. Ancak Azure kullanan yönetim işlemleri kullanılamayabilir.
  • Coğrafi olarak yedekli bir hizmet sağlayan birden çok konumunuz varsa, bölgesel bir kesinti durumunda dayanıklılık için her konumdaki makineleri farklı bir Azure bölgesine bağlamak en iyisidir.
  • Azure bağlı makine aracısı Azure'a sinyal göndermeyi durdurursa veya çevrimdışı olursa, işlem görevlerini gerçekleştiremezsiniz. Bu nedenle , bildirimler ve yanıtlar için bir plan geliştirmek gerekir.
  • Kaynakların sistem durumu değiştiğinde neredeyse gerçek zamanlı olarak bildirim almak için kaynak durumu uyarılarını ayarlayın. Ayrıca Azure İlkesi'da iyi durumda olmayan Azure Arc özellikli sunucuları tanımlayan bir izleme ve uyarı ilkesi tanımlayın.
  • Geçerli yedekleme çözümünüzü Azure'a genişletin veya iş gereksinimlerinize göre ölçeklendirilen uygulama duyarlı çoğaltma ve uygulamayla tutarlı yedeklememizi kolayca yapılandırın. Azure Backup ve Azure Site Recovery için merkezi yönetim arabirimi, Arc özellikli Windows ve Linux sunucularınızı yerel olarak korumaya, izlemeye ve yönetmeye yönelik ilkeler tanımlamayı kolaylaştırır.
  • Kurumsal gereksinimlerinizin karşılanıp karşılanmadığını belirlemek için iş sürekliliği ve olağanüstü durum kurtarma kılavuzunu gözden geçirin.
  • Çözümünüzle ilgili diğer güvenilirlik konuları, Microsoft Azure Well-Architected Framework'ün güvenilirlik tasarım ilkeleri bölümünde açıklanmıştır.

Güvenlik

  • Arc özellikli sunucular için uygun Azure rol tabanlı erişim denetimi (Azure RBAC) yönetilmelidir. Makineleri eklemek için Azure Bağlı Makine Ekleme rolünün bir üyesi olmanız gerekir. Bir makineyi okumak, değiştirmek, yeniden eklemek ve silmek için Azure Bağlı Makine Kaynak Yöneticisi rolünün üyesi olmanız gerekir.
  • Bulut için Microsoft Defender şirket içi sistemleri, Azure VM'leri, Azure İzleyici kaynaklarını ve hatta diğer bulut sağlayıcıları tarafından barındırılan VM'leri izleyebilir. Güvenlik temeli izleme, güvenlik duruşu yönetimi ve tehdit koruması için Azure Arc özellikli sunucuları içeren tüm aboneliklerde sunucular için Microsoft Defender etkinleştirin.
  • Microsoft Sentinel, yerleşik bağlayıcıları kullanarak Azure, şirket içi çözümler ve bulutlar arasında veri toplamayı basitleştirmeye yardımcı olabilir.
  • Bulut için Microsoft Defender güvenlik ilkeleri uygulamak da dahil olmak üzere Arc özellikli sunucularınızda güvenlik ilkelerini yönetmek için Azure İlkesi kullanabilirsiniz. Güvenlik ilkesi, iş yüklerinizin istenen yapılandırmasını tanımlar ve şirketinizin veya düzenleyicilerinizin güvenlik gereksinimlerine uymanıza yardımcı olur. Bulut için Defender ilkeleri, Azure İlkesi'de oluşturulan ilke girişimlerini temel alır.
  • Arc özellikli sunucunuza hangi uzantıların yüklenebileceğini sınırlamak için, izin vermek ve sunucuda engellemek istediğiniz uzantı listelerini yapılandırabilirsiniz. Uzantı yöneticisi, uzantının sunucuya yüklenip yüklenmediğini belirlemek için uzantı yükleme, güncelleştirme veya yükseltme isteklerini allowlist ve blocklist'e göre değerlendirir.
  • Azure Özel Bağlantı, özel uç noktaları kullanarak Azure PaaS hizmetlerini sanal ağınıza güvenli bir şekilde bağlamanıza olanak tanır. Şirket içi veya çok bulutlu sunucularınızı Azure Arc'a bağlayabilir ve genel ağları kullanmak yerine tüm trafiği bir Azure ExpressRoute veya siteden siteye VPN bağlantısı üzerinden gönderebilirsiniz. Birden çok sunucunun veya makinenin tek bir özel uç nokta kullanarak Azure Arc kaynaklarıyla iletişim kurmasına izin vermek için bir Özel Bağlantı Kapsamı modeli kullanabilirsiniz.
  • Azure Arc özellikli sunucudaki güvenlik özelliklerine kapsamlı bir genel bakış için Azure Arc özellikli sunucular güvenliğine genel bakış'a başvurun.
  • Çözümünüzle ilgili diğer güvenlik konuları, Microsoft Azure Well-Architected Framework'ün güvenlik tasarımı ilkeleri bölümünde açıklanmıştır.

Maliyet iyileştirmesi

  • Azure Arc kontrol düzlemi işlevselliği ek ücret ödemeden sağlanır. Buna Azure yönetim grupları ve etiketleri aracılığıyla kaynak düzenleme desteği ve Azure rol tabanlı erişim denetimi (RBAC) üzerinden erişim denetimi dahildir. Azure Arc özellikli sunucularla birlikte kullanılan Azure hizmetleri kullanımlarına göre ücrete tabi olur.
  • Ek Azure Arc maliyet iyileştirme kılavuzu için Azure Arc özellikli sunucular için Maliyet idaresi'ne başvurun.
  • Çözümünüzle ilgili diğer maliyet iyileştirme konuları, Microsoft Azure Well-Architected Framework'ün Maliyet iyileştirme ilkeleri bölümünde açıklanmıştır.
  • Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
  • Bu mimari için BT Uzmanları için Jumpstart ArcBox başvuru uygulamasını dağıtırken ArcBox kaynaklarının temel alınan Azure kaynaklarından Azure Tüketim ücretleri oluşturacağı aklınızda bulundurun. Bu kaynaklar çekirdek işlem, depolama, ağ ve yardımcı hizmetleri içerir.

Operasyonel Mükemmellik

  • Arc özellikli sunucu ortamınızın dağıtımını otomatikleştirin. Bu mimarinin başvuru uygulaması, Azure ARM şablonlarının, VM uzantılarının, Azure İlkesi yapılandırmalarının ve PowerShell betiklerinin bir bileşimi kullanılarak tamamen otomatikleştirilmiştir. Bu yapıtları kendi dağıtımlarınız için de yeniden kullanabilirsiniz. Bulut Benimseme Çerçevesi (CAF) içinde Ek Arc özellikli sunucular otomasyon kılavuzu için Azure Arc özellikli sunucular için Otomasyon uzmanlık alanları'na başvurun.
  • Azure'da Arc özellikli sunucuların eklemeyi otomatikleştirmeye yönelik çeşitli seçenekler vardır. Uygun ölçekte ekleme yapmak için bir hizmet sorumlusu kullanın ve kuruluşunuzun mevcut otomasyon platformu aracılığıyla dağıtım yapın.
  • VM uzantıları, yaşam döngüleri boyunca karma sunucuların yönetimini basitleştirmek için Arc özellikli sunuculara dağıtılabilir. Sunucuları büyük ölçekte yönetirken Azure İlkesi aracılığıyla VM uzantılarının dağıtımını otomatikleştirmeyi göz önünde bulundurun.
  • İşletim sistemi yaşam döngüsü yönetimini kolaylaştırmak için eklenen Azure Arc özellikli sunucularınızda düzeltme eki ve Güncelleştirme Yönetimi'ni etkinleştirin.
  • Azure Arc özellikli sunucular için ek operasyonel mükemmellik senaryoları hakkında bilgi edinmek için Azure Arc Jumpstart Unified Operations Use Cases bölümünü gözden geçirin.
  • Çözümünüzle ilgili diğer operasyonel mükemmellik konuları, Microsoft Azure Well-Architected Framework'ün operasyonel mükemmellik tasarım ilkeleri bölümünde açıklanmıştır.

Performans verimliliği

  • Makinelerinizi Azure Arc özellikli sunucularla yapılandırmadan önce, bağlanacak makine sayısını planlamak için Azure Resource Manager abonelik sınırlarını ve kaynak grubu sınırlarını gözden geçirmeniz gerekir.
  • Dağıtım kılavuzunda açıklandığı gibi aşamalı dağıtım yaklaşımı, uygulamanız için kaynak kapasitesi gereksinimlerini belirlemenize yardımcı olabilir.
  • Ayrıntılı analiz ve bağıntı için verileri doğrudan Azure Arc özellikli sunucularınızdan Log Analytics çalışma alanına toplamak için Azure İzleyici'yi kullanın. Azure İzleyici aracıları için dağıtım seçeneklerini gözden geçirin.
  • Çözümünüz için ek performans verimliliği konuları, Microsoft Azure Well-Architected Framework'ün Performans verimliliği ilkeleri bölümünde açıklanmıştır.

Bu senaryoyu dağıtın

Bu mimarinin başvuru uygulaması, Arc Jumpstart projesinin bir parçası olarak dahil edilen BT Uzmanları için Jumpstart ArcBox'ta bulunabilir. ArcBox, tek bir Azure aboneliğinde ve kaynak grubunda tamamen kendi içinde olacak şekilde tasarlanmıştır. ArcBox, bir kullanıcının kullanılabilir azure aboneliğinden başka bir şey kullanmadan tüm kullanılabilir Azure Arc teknolojisiyle uygulamalı deneyim elde etmelerini kolaylaştırır.

Başvuru uygulamasını dağıtmak için aşağıdaki BT Uzmanları için ArcBox'a Jumpstart düğmesini seçerek GitHub deposundaki adımları izleyin.

Katkıda Bulunanlar

Bu makale Microsoft tarafından korunur. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

İlgili mimarileri keşfedin: