此参考体系结构演示 Azure Arc 如何使你能够跨本地、多云与边缘方案管理、治理和保护服务器,并基于 Azure Arc Jumpstart ArcBox for IT Pros 实现。 ArcBox 解决方案为 Azure Arc 的所有事物提供易于部署的沙盒。ArcBox for IT Pros 是 ArcBox 的一个版本,面向希望在沙盒环境中体验已启用 Azure Arc 的服务器功能的用户。
体系结构
下载此体系结构的 PowerPoint 文件。
组件
该体系结构包括以下组件:
- Azure 资源组是用于保存 Azure 解决方案相关资源的容器。 资源组可以包含解决方案的所有资源,也可以只包含想要作为组来管理的资源。
- ArcBox 工作簿是一个 Azure Monitor 工作簿,它提供用于监视和报告 ArcBox 资源的单一管理视图。 该工作簿充当灵活的画布用于在 Azure 门户中进行数据分析和可视化,从 ArcBox 中的多个数据源收集信息,并将其组合成集成的交互式体验。
- Azure Monitor 使你能够跟踪在 Azure、本地或其他云中运行的系统的性能和事件。
- Azure Policy 来宾配置可以审核在 Azure 中运行的计算机的操作系统和计算机配置,以及在本地或其他云中运行的已启用 Arc 的服务器。
- Azure Log Analytics 是 Azure 门户中的一种工具,用于编辑和运行 Azure Monitor 日志从数据收集的日志查询,并交互式分析其结果。 你可以使用 Log Analytics 查询来检索符合特定条件的记录,确定趋势,分析模式,并提供对数据的各种见解。
- Microsoft Defender for Cloud 是云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案。 Microsoft Defender for Cloud 可以发现云配置中的弱点,帮助强化环境的整体安全态势,并保护多云环境和混合环境中的工作负载免受不断演变的威胁。
- Microsoft Sentinel 是可缩放的云原生安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
- 已启用 Azure Arc 的服务器使你能够将 Azure 连接到托管在 Azure 外部的、位于企业网络上的 Windows 和 Linux 计算机。 当服务器连接到 Azure 后,它就会成为已启用 Arc 的服务器,并被视为 Azure 中的资源。 每个已启用 Arc 的服务器都有一个资源 ID、一个托管系统标识,并作为订阅内资源组的一部分进行管理。 已启用 Arc 的服务器受益于标准 Azure 构造,例如清单、策略、标记和 Azure Lighthouse。
- Hyper-V 嵌套虚拟化可供 Jumpstart ArcBox for IT Pros 用于在 Azure 虚拟机内托管 Windows Server 虚拟机。 这种体验与使用物理 Windows Server 计算机相同,但没有硬件要求。
- Azure 虚拟网络提供一个专用网络,使 Azure 资源组中的组件(例如虚拟机)能够通信。
方案详细信息
可能的用例
此体系结构的典型用途包括:
- 跨多个环境组织、治理和盘存大型虚拟机 (VM) 和服务器组。
- 使用 Azure Policy 对任何位置的所有资源强制实施组织标准并大规模评估合规性。
- 轻松将受支持的 VM 扩展部署到已启用 Arc 的服务器。
- 为跨多个环境托管的 VM 和服务器配置和强制实施 Azure Policy。
建议
以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
配置 Azure Arc Connected Machine 代理
可将运行 Windows 或 Linux 的任何其他物理机或虚拟机连接到 Azure Arc。在加入计算机之前,请务必满足 Connected Machine 代理先决条件,其中包括为已启用 Azure Arc 的服务器注册 Azure 资源提供程序。 要使用 Azure Arc 将计算机连接到 Azure,需要在你打算使用 Azure Arc 连接的每台计算机上安装 Azure Connected Machine 代理。有关详细信息,请参阅已启用 Azure Arc 的服务器代理概述。
配置完成后,Connected Machine 代理每隔五分钟向 Azure 发送一条常规检测信号消息。 如果未收到检测信号,Azure 将分配计算机“脱机”状态,该状态会在 15 到 30 分钟内反映在门户中。 收到来自 Connected Machine 代理的后续检测信号消息后,其状态会自动更改为“已连接”。
Azure 中有多个选项可用于连接 Windows 和 Linux 计算机:
- 手动安装:通过使用 Windows Admin Center 工具集或手动执行一组步骤,可为环境中的一个或少数几个 Windows 或 Linux 计算机启用已启用 Azure Arc 的服务器。
- 基于脚本的安装:可以通过运行从 Azure 门户下载的模板脚本来执行自动代理安装。
- 使用服务主体大规模连接计算机:要大规模加入,请使用服务主体并通过组织的现有自动化进行部署。
- 使用 Windows PowerShell DSC 安装
有关各种可用部署选项的综合文档,请参阅 Azure Connected Machine 代理部署选项。
启用 Azure Policy 来宾配置
已启用 Azure Arc 的服务器在 Azure 资源管理层和使用来宾配置策略的单个服务器计算机内支持 Azure Policy。 Azure Policy 来宾配置可以审核(Azure 中运行的计算机和已启用 Arc 的计算机)内部的设置。 例如,可以审核以下设置:
- 操作系统配置
- 应用程序配置或状态
- 环境设置
Azure Arc 有几种 Azure Policy 内置定义。这些策略为基于 Windows 和 Linux 的计算机提供审核和配置设置。
启用 Azure 更新管理器
更新管理器。 需要为已启用 Arc 的服务器采用更新管理。 建议使用更新管理器来管理操作系统更新,并评估所有代理计算机上可用更新的状态。 还应使用更新管理器管理为服务器安装所需更新的流程。
更改跟踪和清单。 已启用 Arc 的服务器的 Azure 自动化更改跟踪和清单使你能够确定环境中安装了哪些软件。 你可以收集并查看软件、文件、Linux 守护程序、Windows 服务和 Windows 注册表项的清单。 跟踪计算机的配置有助于查明环境中的操作问题,更好地了解计算机的状态。
监视已启用 Azure Arc 的服务器
可以使用 Azure Monitor 大规模监视 VM、虚拟机规模集和 Azure Arc 计算机。 Azure Monitor 分析 Windows 和 Linux VM 的性能和运行状况,并监视其进程以及对其他资源和外部进程的依赖关系。 它支持监视本地或其他云提供程序中托管的 VM 的性能和应用程序依赖项。
Azure Monitor 代理应通过Azure Policy 自动部署到已启用 Azure Arc 的 Windows 和 Linux 服务器。 在部署前查看并了解 Log Analytics 代理如何操作和收集数据。
设计和规划 Log Analytics 工作区部署。 它将是收集、聚合和以后分析数据的容器。 Log Analytics 工作区表示数据的地理位置、数据隔离和数据保留等配置的范围。 根据云采用框架的管理和监视最佳做法中所述使用单个 Azure Monitor Log Analytics 工作区。
保护已启用 Azure Arc 的服务器
使用 Azure RBAC 控制和管理已启用 Azure Arc 的服务器托管标识的权限,并对这些标识执行定期访问审查。 控制特权用户角色,以避免滥用系统托管标识来未经授权地访问 Azure 资源。
请考虑在已启用 Azure Arc 的服务器上使用 Azure Key Vault 进行证书管理。 密钥保管库 VM 扩展允许在 Windows 和 Linux 计算机上管理证书生命周期。
将已启用 Azure Arc 的服务器连接到 Microsoft Defender for Cloud。这有助于开始收集与安全相关的配置和事件日志,以便可以建议操作并改进总体 Azure 安全态势。
将已启用 Azure Arc 的服务器连接到 Microsoft Sentinel。 这使你可以开始收集与安全性相关的事件,并开始将它们与其他数据源关联。
验证网络拓扑
适用于 Linux 和 Windows 的 Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 Connected Machine 代理可使用以下方法连接到 Azure 控制平面:
- 直接连接到 Azure 公共终结点,可以选择从防火墙或代理服务器后面进行连接。
- 通过使用专用链接范围模型的 Azure 专用链接进行连接,使多个服务器或计算机能够使用单个专用终结点来与其 Azure Arc 资源进行通信。
有关已启用 Arc 的服务器实现的综合网络指导,请参阅已启用 Azure Arc 的服务器的网络拓扑和连接。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
可靠性
- 在大多数情况下,创建安装脚本时选择的位置应该是在地理位置上最接近你的计算机位置的 Azure 区域。 其余数据将存储在包含你指定区域的 Azure 地理区域中,如果你有数据驻留要求,这可能也会影响你对区域的选择。 如果服务中断影响了计算机连接到的 Azure 区域,它不会影响已启用 Arc 的服务器。 但是,使用 Azure 的管理操作可能不可用。
- 如果多个位置提供地域冗余服务,最好将每个位置的计算机连接到不同的 Azure 区域,以便在发生区域性服务中断时能够复原。
- 如果 Azure Connected Machine Agent 停止向 Azure 发送检测信号或进入脱机状态,则无法在它上面执行操作任务。 因此,有必要为通知和响应制定计划。
- 设置资源运行状况警报,以便在资源的运行状况发生变化时收到准实时的通知。 另外,在 Azure Policy 中定义用于识别不正常的已启用 Azure Arc 的服务器的监视和警报策略。
- 将当前备份解决方案扩展到 Azure,或轻松配置可根据业务需求进行缩放的应用程序感知复制和应用程序一致性备份。 利用 Azure 备份和 Azure Site Recovery 提供的集中式管理界面,可以轻松地定义策略,以便在本地保护、监视和管理已启用 Arc 的 Windows 和 Linux 服务器。
- 查看业务连续性和灾难恢复指导以确定是否符合你的企业要求。
- Microsoft Azure 架构良好的框架中的可靠性设计原则部分介绍了解决方案的其他可靠性注意事项。
安全性
- 应为已启用 Arc 的服务器管理相应的 Azure 基于角色的访问控制 (Azure RBAC)。 只有“Azure Connected Machine 加入”角色的成员才能加入计算机。 只有“Azure Connected Machine 资源管理员”角色的成员才能读取、修改、重新加入和删除计算机。
- Microsoft Defender for Cloud 可以监视本地系统、Azure VM、Azure Monitor 资源,甚至其他云提供商托管的 VM。 为所有包含已启用 Azure Arc 的服务器的订阅启用 Microsoft Defender for Servers,以进行安全基线监视、安全态势管理和威胁防护。
- Microsoft Sentinel 可以使用内置连接器,简化不同源(包括 Azure 和本地解决方案)以及云中的数据收集。
- 可以使用 Azure Policy 跨已启用 Arc 的服务器管理安全策略,包括在 Microsoft Defender for Cloud 中实施安全策略。 安全策略定义工作负荷的所需配置,并帮助确保遵守公司或监管机构的安全要求。 Defender for Cloud 策略基于 Azure Policy 中创建的策略计划。
- 要限制可在已启用 Arc 的服务器上安装的扩展,可以配置要在服务器上允许和阻止的扩展列表。 扩展管理器将根据允许列表和阻止列表评估所有扩展安装、更新或升级请求,以确定是否可以在服务器上安装扩展。
- 通过 Azure 专用链接,可使用专用终结点将 Azure PaaS 服务安全地链接到你的虚拟网络。 可以使用 Azure Arc 连接本地或多云服务器,并通过 Azure ExpressRoute 或站点到站点 VPN 连接(而不是使用公用网络)发送所有流量。 可以使用专用链接范围模型,使多个服务器或计算机能够使用单个专用终结点来与其 Azure Arc 资源进行通信。
- 有关已启用 Azure Arc 的服务器中安全功能的综合概述,请参阅已启用 Azure Arc 的服务器安全概述。
- Microsoft Azure 架构良好的框架中的安全设计原则部分介绍了解决方案的其他安全注意事项。
成本优化
- Azure Arc 控制平面功能不收取额外的费用。 这包括通过 Azure 管理组和标记支持资源组织,以及通过 Azure 基于角色的访问控制 (RBAC) 进行访问控制。 与已启用 Azure Arc 的服务器结合使用的 Azure 服务根据其使用量收费。
- 有关其他 Azure Arc 成本优化指导,请参阅已启用 Azure Arc 的服务器的成本治理。
- Microsoft Azure 架构良好的框架中的成本优化原则部分介绍了解决方案的其他成本优化注意事项。
- 使用 Azure 定价计算器估算成本。
- 在为此体系结构部署 Jumpstart ArcBox for IT Pros 参考实现时请记住,ArcBox 资源会从基础 Azure 资源产生 Azure 使用费。 这些资源包括核心计算、存储、网络和辅助服务。
卓越运营
- 自动部署已启用 Arc 的服务器环境。 此体系结构的参考实现已使用 Azure ARM 模板、VM 扩展、Azure Policy 配置和 PowerShell 脚本的组合完全自动化。 你还可以将这些项目重用于自己的部署。 有关云采用框架 (CAF) 中其他已启用 Arc 的服务器自动化指导,请参阅已启用 Azure Arc 的服务器的自动化规程。
- Azure 中提供了多个选项用于自动加入已启用 Arc 的服务器。 要大规模加入,请使用服务主体并通过组织的现有自动化平台进行部署。
- 可将 VM 扩展部署到已启用 Arc 的服务器,以简化混合服务器在整个生命周期内的管理。 在大规模管理服务器时,请考虑通过 Azure Policy 自动部署 VM 扩展。
- 在加入的已启用 Azure Arc 的服务器中启用修补程序和更新管理,以简化操作系统生命周期管理。
- 查看 Azure Arc Jumpstart 统一运营用例,了解已启用 Azure Arc 的服务器的其他卓越运营方案。
- Microsoft Azure 架构良好的框架中的卓越运营设计原则部分介绍了解决方案的其他卓越运营注意事项。
性能效率
- 在为计算机配置已启用 Azure Arc 的服务器之前,应查看 Azure 资源管理器订阅限制和资源组限制,以规划要连接的计算机数。
- 部署指南中所述的分阶段部署方法可帮助你确定实现的资源容量要求。
- 使用 Azure Monitor 直接从已启用 Azure Arc 的服务器将数据收集到 Log Analytics 工作区,以便进行详细分析和关联。 查看 Azure Monitor 代理的部署选项。
- Microsoft Azure 架构良好的框架的性能效率原则部分介绍了解决方案的其他性能效率注意事项。
部署此方案
此体系结构的参考实现可以在作为 Arc Jumpstart 项目的一部分包含的 Jumpstart ArcBox for IT Pros 中找到。 ArcBox 在单个 Azure 订阅和资源组中是完全独立的。 借助 ArcBox,只需一个可用的 Azure 订阅,用户就能轻松获得所有可用 Azure Arc 技术的实践体验。
要部署参考实现,请选择下面的“Jumpstart ArcBox for IT Pros”按钮,然后按照 GitHub 存储库中的步骤操作即可。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
首席作者:
- Pieter de Bruin | 高级项目经理
要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
- 详细了解 Azure Arc
- 详细了解已启用 Azure Arc 的服务器
- Azure Arc 学习路径
- 在 Arc Jumpstart 中查看 Azure Arc Jumpstart 方案
- 在 CAF 中查看已启用 Arc 的服务器登陆区域加速器
相关资源
探索相关体系结构: