管理已啟用 Azure Arc 的伺服器設定

此參考架構說明 Azure Arc 如何讓您跨內部部署、多重雲端和邊緣案例管理、治理及保護伺服器，並根據適用于 IT 專業人員的 Azure Arc Jumpstart ArcBox 實作 。 ArcBox 是一種解決方案，可為所有 Azure Arc 提供輕鬆部署沙箱。ArcBox for IT 專業人員是 ArcBox 的版本，適用于想要在沙箱環境中體驗已啟用 Azure Arc 的伺服器功能的使用者。

架構

下載此架構的 PowerPoint 檔案 。

元件

架構包含下列元件：

• Azure 資源群組 是保存 Azure 解決方案相關資源的容器。 該資源群組可包含解決方案的所有資源，或是只包含您想以群組方式管理的資源。
• ArcBox 活 頁簿是 Azure 監視器活頁簿，可提供單一窗格來監視和報告 ArcBox 資源。 活頁簿可作為Azure 入口網站中資料分析和視覺效果的彈性畫布，從 ArcBox 之間的數個數據源收集資訊，並將其結合成整合式互動式體驗。
• Azure 監視器 可讓您追蹤在 Azure、內部部署或其他雲端中執行之系統的效能和事件。
• Azure 原則來賓設定 可以針對在 Azure 中執行的機器，以及執行內部部署或其他雲端的已啟用 Arc 的伺服器，稽核作業系統和機器組態。
• Azure Log Analytics 是 Azure 入口網站中的一項工具，可從 Azure 監視器記錄所收集的資料編輯和執行記錄查詢，並以互動方式分析其結果。 您可以使用 Log Analytics 查詢來擷取符合特定準則的記錄、識別趨勢、分析模式，以及提供資料的各種深入解析。
• 適用於雲端的 Microsoft Defender 是雲端安全性狀態管理 （CSPM） 和雲端工作負載保護 （CWP） 解決方案。 適用於雲端的 Microsoft Defender會尋找雲端設定的弱點、協助加強環境的整體安全性狀態，並可保護跨多雲端和混合式環境的工作負載免于不斷演變的威脅。
• Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 （SIEM） 和安全性協調流程、自動化和回應 （SOAR） 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報，並針對攻擊偵測、威脅可見性、積極式搜捕及回應威脅，提供單一的解決方案。
• 已啟用 Azure Arc 的伺服器 可讓您將 Azure 連線到公司網路上裝載于 Azure 外部的 Windows 和 Linux 機器。 當伺服器連線到 Azure 時，它會變成已啟用 Arc 的伺服器，並被視為 Azure 中的資源。 每個已啟用 Arc 的伺服器都有資源識別碼、受控系統身分識別，並作為訂用帳戶內資源群組的一部分進行管理。 已啟用 Arc 的伺服器受益于標準 Azure 建構，例如清查、原則、標籤和 Azure Lighthouse。
• 適用于 IT 專業人員的 Jumpstart ArcBox 會使用 Hyper-V 巢狀虛擬化 ，在 Azure 虛擬機器內裝載 Windows Server 虛擬機器。 這提供與使用實體 Windows Server 機器相同的體驗，但不需要硬體需求。
• Azure 虛擬網絡 提供私人網路，可讓 Azure 資源群組內的元件進行通訊，例如虛擬機器。

案例詳細資料

潛在的使用案例

此架構的典型用法包括：

• 跨多個環境組織、控管和清查大型虛擬機器（VM）和伺服器群組。
• 使用 Azure 原則，針對所有資源大規模強制執行組織標準並評估合規性。
• 輕鬆地將支援的 VM 擴充功能部署至已啟用 Arc 的伺服器。
• 為裝載于多個環境的 VM 和伺服器設定並強制執行Azure 原則。

建議

下列建議適用于大部分案例。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

設定 Azure Arc 連線電腦代理程式

您可以將執行 Windows 或 Linux 的任何其他實體或虛擬機器連線到 Azure Arc。在上線機器之前，請務必完成 連線機器代理程式必要條件 ，其中包括註冊已啟用 Azure Arc 的伺服器 Azure 資源提供者。 若要使用 Azure Arc 將機器連線到 Azure，您必須在計畫使用 Azure Arc 連線的每個電腦上安裝 Azure 連線Ed Machine 代理程式。如需詳細資訊，請參閱 已啟用 Azure Arc 的伺服器代理程式 概觀。

設定之後，連線機器代理程式會每隔五分鐘傳送一則活動訊號訊息給 Azure。 未收到活動訊號時，Azure 會指派機器離線狀態，這會在 15 到 30 分鐘內反映在入口網站中。 從連線電腦代理程式收到後續的活動訊號訊息時，其狀態會自動變更為連線。

Azure 中有數個選項可用來連線您的 Windows 和 Linux 機器：

• 手動安裝：您可以使用 Windows 管理員 中心工具集或手動執行一組步驟，為環境中的一或幾部 Windows 或 Linux 機器啟用 Azure Arc 的伺服器。
• 以腳本為基礎的安裝：您可以執行從 Azure 入口網站下載的範本腳本來執行自動化代理程式安裝。
• 使用服務主體大規模連線機器：若要大規模上線，請使用服務主體，並透過組織現有的自動化進行部署。
• 使用 Windows PowerShell DSC 安裝

如需各種可用部署選項的完整檔，請參閱 Azure 連線 機器代理程式部署選項 。

啟用Azure 原則來賓設定

已啟用 Azure Arc 的伺服器支援 在 Azure 資源管理層Azure 原則 ，以及使用 客體設定原則 在個別伺服器機器內。 Azure 原則客體設定可以稽核機器內的設定，無論是在 Azure 中執行的機器，還是已啟用 Arc 的伺服器。 舉例來說，您可以稽核像這樣的設定：

• 作業系統設定
• 應用程式設定或目前狀態
• 環境設定

Azure Arc 有數 個Azure 原則內建定義。這些原則提供 Windows 和 Linux 型機器的稽核和組態設定。

啟用 Azure 更新管理

更新管理。 您可以針對已啟用 Arc 的伺服器執行更新管理。 Azure 自動化中的更新管理 可讓您管理作業系統更新，並快速評估所有代理程式電腦上可用更新的狀態。 您也可以管理安裝伺服器所需更新的程式。

變更追蹤和清查。 已啟用 Arc 的伺服器Azure 自動化 變更追蹤和清查 可讓您判斷環境中已安裝的軟體。 您可以收集並觀察軟體、檔案、Linux 精靈、Windows 服務和 Windows 登錄機碼的清查。 追蹤機器的組態可協助您找出整個環境的作業問題，並進一步瞭解機器的狀態。

監視已啟用 Azure Arc 的伺服器

您可以使用 Azure 監視器來大規模監視 VM、虛擬機器擴展集和 Azure Arc 機器。 Azure 監視器會分析 Windows 和 Linux VM 的效能和健康情況，並監視其進程和其他資源和外部進程的相依性。 包含針對在內部部署環境或其他雲端提供者上裝載的 VM，監視效能和應用程式相依性的支援。

Azure 監視器代理程式應該透過 Azure 原則 自動部署到已啟用 Azure Arc 的 Windows 和 Linux 伺服器。 檢閱並瞭解 Log Analytics 代理程式 在部署之前如何 運作和收集資料。

設計和規劃 Log Analytics 工作區部署。 它會是收集、匯總及稍後分析資料的容器。 Log Analytics 工作區代表資料的地理位置、資料隔離，以及資料保留等設定的範圍。 使用單一 Azure 監視器 Log Analytics 工作區，如管理和監視雲端採用架構的最佳做法 中所述 。

保護已啟用 Azure Arc 的伺服器

使用 Azure RBAC 來控制和管理已啟用 Azure Arc 的伺服器受控識別的許可權，並針對這些身分識別執行定期存取權檢閱。 控制特殊許可權的使用者角色，以避免系統管理的身分識別遭到誤用，以取得未經授權的 Azure 資源存取權。

請考慮使用 Azure 金鑰保存庫 來管理已啟用 Azure Arc 的伺服器上憑證。 金鑰保存庫 VM 擴充功能可讓您管理 Windows 和 Linux 機器上的憑證生命週期。

連線已啟用 Azure Arc 的伺服器適用於雲端的 Microsoft Defender 。這可協助您開始收集安全性相關組態和事件記錄檔，以便建議動作並改善整體 Azure 安全性狀態。

連線已啟用 Azure Arc 的伺服器至 Microsoft Sentinel 。 這可讓您開始收集安全性相關事件，並開始與其他資料來源相互關聯。

驗證網路拓撲

適用于 Linux 和 Windows 的連線機器代理程式會透過 TCP 埠 443 安全地向 Azure Arc 通訊。 連線電腦代理程式可以使用下列方法連線到 Azure 控制平面：

• 選擇性地從防火牆或 Proxy 伺服器後方直接連線至 Azure 公用端點 。
• Azure Private Link 使用 Private Link 範圍模型，允許多部伺服器或電腦使用單一私人端點與其 Azure Arc 資源通訊。

如需已啟用 Arc 的伺服器實作的完整網路指引，請參閱 已啟用 Azure Arc 的伺服器 網路拓撲和連線能力。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱，這是一組指導原則，可用來改善工作負載的品質。 如需詳細資訊，請參閱 Microsoft Azure Well-Architected Framework 。

可靠性

• 在大部分情況下，您在建立安裝腳本時選取的位置應該是最接近您電腦位置的 Azure 區域。 其餘的資料會儲存在 Azure 地理位置內，其中包含您指定的區域，如果您擁有資料落地需求，也可能會影響您選擇的區域。 如果中斷會影響您的電腦所連線的 Azure 區域，中斷不會影響已啟用 Arc 的伺服器。 不過，使用 Azure 的管理作業可能無法使用。
• 如果您有多個位置提供異地備援服務，最好在發生區域性中斷時，將每個位置中的機器連線到不同的 Azure 區域，以恢復復原。
• 如果 Azure 連線的機器代理程式停止將活動訊號傳送至 Azure，或離線，您將無法對它執行作業工作。 因此，必須 開發通知和回應 的計畫。
• 設定 資源健康情況警示 ，以在資源健康情況狀態有所變更時，以近乎即時的方式收到通知。 並在 Azure 原則 中 定義監視和警示原則，以識別已啟用 Azure Arc 的伺服器狀況不良。
• 將您目前的備份解決方案延伸至 Azure，或輕鬆地設定應用程式感知複寫和應用程式一致備份，以根據您的業務需求進行調整。 Azure 備份 和 Azure Site Recovery 的 集中式管理介面可讓您輕鬆地定義原則，以原生方式保護、監視及管理已啟用 Arc 的 Windows 和 Linux 伺服器。
• 檢閱 商務持續性和災害復原 指引，以判斷是否符合您的企業需求。
• 解決方案的其他可靠性考慮， 請參閱 Microsoft Azure 良好架構架構中的可靠性設計原則 一節。

安全性

• 應針對已啟用 Arc 的伺服器管理適當的 Azure 角色型存取控制 （Azure RBAC）。 若要將機器上線，您必須是 Azure 連線電腦上線 角色的成員 。 若要讀取、修改、重新上線和刪除電腦，您必須是 Azure 連線 電腦資源管理員istrator 角色的成員 。
• 適用於雲端的 Microsoft Defender可以監視內部部署系統、Azure VM、Azure 監視器資源，甚至是由其他雲端提供者裝載的 VM。 針對包含已啟用 Azure Arc 的伺服器的所有訂用帳戶啟用 Microsoft Defender，以進行安全性基準監視、安全性狀態管理和威脅防護。
• Microsoft Sentinel 可協助簡化不同來源的資料收集，包括 Azure、內部部署解決方案，以及使用內建連接器跨雲端的資料收集。
• 您可以使用Azure 原則來管理已啟用 Arc 的伺服器的安全性原則，包括在適用於雲端的 Microsoft Defender中實作安全性原則。 安全性原則會定義工作負載所需的設定，並協助確保您符合公司或監管機構的安全性需求。 適用於雲端的 Defender原則是以Azure 原則中建立的原則計畫為基礎。
• 若要限制可在已啟用 Arc 的伺服器上安裝哪些延伸模組，您可以設定您想要在伺服器上允許和封鎖的延伸模組清單。 延伸模組管理員會評估針對允許清單和封鎖清單安裝、更新或升級延伸模組的所有要求，以判斷是否可以在伺服器上安裝擴充功能。
• Azure Private Link 可讓您使用私人端點安全地將 Azure PaaS 服務連結到您的虛擬網路。 您可以使用 Azure Arc 連線內部部署或多雲端伺服器，並透過 Azure ExpressRoute 或站對站 VPN 連線傳送所有流量，而不是使用公用網路。 您可以使用 Private Link 範圍模型，允許多部伺服器或電腦使用單一私人端點與其 Azure Arc 資源通訊。
• 如需已啟用 Azure Arc 的伺服器安全性功能的完整概觀，請參閱 已啟用 Azure Arc 的伺服器安全性概觀 。
• 解決方案的其他安全性考慮，請參閱 Microsoft Azure Well-Architected Framework 中的安全性設計原則 一節。

成本最佳化

• Azure Arc 控制平面功能不需額外費用。 這包括透過 Azure 管理群組和標籤支援資源組織，以及透過 Azure 角色型存取控制 （RBAC） 進行存取控制。 與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務會根據其使用量產生成本。
• 如需額外的 Azure Arc 成本優化指引，請參閱 已啟用 Azure Arc 的伺服器 的成本控管。
• 您的解決方案的其他成本優化考慮，請參閱 Microsoft Azure Well-Architected Framework 中的成本優化 原則一節。
• 使用 Azure 定價計算機 來預估成本。
• 部署此架構的 Jumpstart ArcBox for IT 專業人員參考實作時，請記住 ArcBox 資源會產生來自基礎 Azure 資源的 Azure 使用量費用。 這些資源包括核心計算、儲存體、網路和輔助服務。

卓越營運

• 自動部署已啟用 Arc 的伺服器環境。 此 架構的參考實 作會使用 Azure ARM 範本、VM 擴充功能、Azure 原則組態和 PowerShell 腳本的組合，完全自動化。 您也可以針對自己的部署重複使用這些成品。 如需雲端採用架構 （CAF） 中其他已啟用 Arc 的伺服器自動化指引，請參閱 已啟用 Azure Arc 之伺服器的 自動化專業領域。
• Azure 中有數個選項可供自動上線已啟用 Arc 的伺服器 。 若要大規模上線，請使用服務主體，並透過組織現有的自動化平臺進行部署。
• VM 擴充功能可以部署到已啟用 Arc 的伺服器，以簡化其整個生命週期的混合式伺服器管理。 請考慮在大規模管理伺服器時，透過Azure 原則自動部署 VM 擴充功能。
• 在已上線的 Azure Arc 伺服器中啟用修補程式和更新管理，以簡化作業系統生命週期管理。
• 檢閱 Azure Arc Jumpstart Unified Operations Use Cases ，以瞭解已啟用 Azure Arc 的伺服器的其他卓越營運案例。
• 您解決方案的其他卓越營運考慮，請參閱 Microsoft Azure 良好架構架構中的營運卓越設計原則 一節。

效能效益

• 使用已啟用 Azure Arc 的伺服器設定機器之前，您應該先檢閱 Azure Resource Manager 訂用帳戶限制 和資源 群組限制 ，以規劃要連線的機器數目。
• 部署指南 中所述的 階段式部署方法可協助您判斷實作的資源容量需求。
• 使用 Azure 監視器將資料直接從已啟用 Azure Arc 的伺服器收集到 Log Analytics 工作區，以取得詳細的分析和相互關聯。 檢閱 Azure 監視器代理程式的部署選項 。
• 解決方案的其他效能效率考慮，請參閱 Microsoft Azure 良好架構架構中的效能效率原則 一節。

部署此案例

您可以在適用于 IT 專業人員 的 Jumpstart ArcBox 中找到 此架構的參考實作，並包含在 Arc Jumpstart 專案中。 ArcBox 的設計目的是在單一 Azure 訂用帳戶和資源群組內完全獨立。 ArcBox 可讓使用者輕鬆取得所有可用 Azure Arc 技術的實作體驗，只不過是可用的 Azure 訂用帳戶。

若要部署參考實作，請選取 下方的 Jumpstart ArcBox for IT 專業人員 按鈕，以遵循 GitHub 存放庫中的步驟。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者：

• Pieter de Bruin |資深專案經理

若要查看非公用LinkedIn設定檔，請登入 LinkedIn。

下一步

• 深入瞭解 Azure Arc
• 深入瞭解已啟用 Azure Arc 的伺服器
• Azure Arc 學習路徑
• 在 Arc Jumpstart 中檢閱 Azure Arc Jumpstart 案例
• 在 CAF 中檢閱已啟用 Arc 的伺服器登陸區域加速器

相關資源

探索相關的架構：

• 管理已啟用 Azure Arc 的伺服器設定
• 適用于 Kubernetes 叢集的 Azure Arc 混合式管理和部署