編輯

共用方式為

管理已啟用 Azure Arc 的伺服器設定

Azure Arc
Azure 監視器
Azure 原則
Azure Resource Manager
Azure 虛擬機器

此參考架構說明 Azure Arc 如何讓您跨內部部署、多重雲端和邊緣案例管理、治理及保護伺服器,並且是以 Azure Arc Jumpstart 適用於 IT 專業人員的 ArcBox 實作為基礎。 ArcBox 是一種解決方案,可為所有 Azure Arc 提供輕鬆部署沙箱。ArcBox for IT 專業人員是 ArcBox 的版本,適用於想要在沙盒環境中體驗已啟用 Azure Arc 的伺服器功能的使用者。

架構

已啟用 Arc 的伺服器連線至 Azure 的 Azure Arc 混合式伺服器拓撲圖表。

下載此架構的 PowerPoint 檔案

元件

此架構由下列元件組成:

  • Azure 資源群組是存放 Azure 解決方案相關資源的容器。 該資源群組可包含解決方案的所有資源,或是只包含您想以群組方式管理的資源。
  • ArcBox 活頁簿是 Azure 監視器活頁簿,可提供單一窗格來監視和報告 ArcBox 資源。 活頁簿可做為 Azure 入口網站中資料分析和視覺化的彈性畫布,從來自 ArcBox 的數個資料來源收集資訊,並結合成整合式互動式體驗。
  • Azure 監視器可讓您追蹤在 Azure、內部部署或其他雲端中執行的系統效能和事件。
  • Azure 原則來賓設定可以替在 Azure 中運行的電腦與在內部部署和其他雲端上運行且已啟用 Arc 的伺服器稽核作業系統與機器設定。
  • Azure Log Analytics 是 Azure 入口網站中的一項工具,可從 Azure 監視器記錄所收集的資料編輯和執行記錄查詢,並以互動方式分析其結果。 您可以使用 Log Analytics 查詢來擷取符合特定準則的記錄、識別趨勢、分析模式,以及提供資料的各種深入解析。
  • 適用於雲端的 Microsoft Defender 是雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案。 適用於雲端的 Microsoft Defender 會尋找整個雲端設定的弱點、協助加強環境的整體安全性態勢,並能保護跨多重雲端和混合式環境的工作負載,避免遭受不斷演進的威脅。
  • Microsoft Sentinel 是可調整的雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程、自動化及回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、積極式搜捕及回應威脅,提供單一的解決方案。
  • 已啟用 Azure Arc 的伺服器使您能將 Azure 連接到企業網路上在 Azure 外部裝載的 Windows 和 Linux 機器。 當伺服器連線到 Azure 時,會變成已啟用 Arc 的伺服器,並視為 Azure 中的資源。 每個已啟用 Arc 的伺服器都有一個資源 ID、一個受控系統識別,並做為訂閱內資源組的一部分進行管理。 已啟用 Arc 的伺服器受益於標準 Azure 建構,例如清查、原則、標籤和 Azure Lighthouse。
  • 適用於 IT 專業人員的 Jumpstart ArcBox 會使用 Hyper-V 巢狀虛擬化,在 Azure 虛擬機器內裝載 Windows Server 虛擬機器。 這提供與使用實體 Windows Server 機器相同的體驗,但不需要硬體需求。
  • Azure 虛擬網路提供私人網路,可讓 Azure 資源群組內的元件進行通訊,例如虛擬機器。

案例詳細資料

潛在使用案例

此架構的一般用法包括:

  • 跨多個環境組織、控管和清查大型虛擬機器 (VM) 和伺服器群組。
  • 使用 Azure 原則,為任何位置的資源實施組織標準及大規模評定合規性。
  • 輕鬆地將支援的 VM 擴充功能部署至已啟用 Arc 的伺服器。
  • 為裝載於多個環境的 VM 和伺服器設定並強制執行 Azure 原則。

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

設定 Azure Arc Connected Machine 代理

您可以將執行 Windows 或 Linux 的任何其他實體或虛擬機器連線到 Azure Arc。在機器上線之前,請務必完成已連線機器代理程式必要條件,其中包括註冊已啟用 Azure Arc 的伺服器的 Azure 資源提供者。 若要使用 Azure Arc 將機器連線至 Azure,您必須在計劃使用 Azure Arc 連線的每部機器上安裝 Azure Connected Machine 代理程式。如需詳細資訊,請參閱已啟用 Azure Arc 的伺服器代理程式概觀

設定完成後,Connected Machine 代理程式每五分鐘固定會向 Azure 傳送活動訊號訊息一次。 未收到活動訊號時,Azure 會指派機器脫機狀態,這會在 15 到 30 分鐘內反映在入口網站中。 收到來自 Connected Machine 代理的後續檢測信號消息後,其狀態將自動更改為 Connected。

Azure 中有數個選項可用來連線您的 Windows 和 Linux 機器:

  • 手動安裝:您可以使用 Windows Admin Center 工具集或手動執行一組步驟,為環境中的一或幾部 Windows 或 Linux 機器啟用 Azure Arc 的伺服器啟用。
  • 指令碼型安裝:您可以執行從 Azure 入口網站下載的範本指令碼,以執行自動化代理程式安裝。
  • 使用服務主體大規模連接機器:若要大規模上線,請使用服務主體,並透過組織現有的自動化進行部署。
  • 使用 Windows PowerShell DSC 安裝

如需各種可用部署選項的所有文件,請參閱 Azure Connected Machine 代理程式部署選項

啟用 Azure 原則來賓設定

已啟用 Azure Arc 的伺服器支援在 Azure 資源管理層套用 Azure 原則,以及在個別伺服器機器內套用來賓設定原則。 Azure 原則來賓設定可以稽核機器內的設定,不論是在 Azure 中執行的機器,還是已啟用 Arc 的伺服器。 舉例來說,您可以稽核像這樣的設定:

  • 作業系統設定
  • 應用程式設定或目前狀態
  • 環境設定

Azure Arc 有數個 Azure 原則內建定義。這些原則提供 Windows 和 Linux 電腦的稽核和設定。

啟用 Azure 更新管理員

更新管理員。 您必須針對已啟用 Arc 的伺服器採用更新管理。 建議使用更新管理員來管理作業系統更新,並評估所有代理程式機器上可用更新的狀態。 更新管理員也應該用來管理安裝伺服器所需更新的流程。

變更追蹤和清查。 已啟用 Arc 的伺服器適用的 Azure 自動化變更追蹤和清查可讓您判斷環境中已安裝哪些軟體。 您可以收集和觀察軟體、檔案、Linux 守護程式、Windows 服務和 Windows 登錄機碼的清單。 追蹤您電腦的設定可協助您找出環境中的操作問題,並進一步了解您電腦的狀態。

監視已啟用 Azure Arc 的伺服器

您可以使用 Azure 監視器,大規模監視您的 VM、虛擬機器擴展集和 Azure Arc 機器。 Azure 監視器會分析您 Windows 和 Linux VM 的效能與健康情況,並且在其他資源和外部處理序上監視其處理序及相依性。 包含針對在內部部署環境或其他雲端提供者上裝載的 VM,監視效能和應用程式相依性的支援。

Azure 監視器代理程式應該透過 Azure 原則自動部署到已啟用 Azure Arc 的 Windows 和 Linux 伺服器。 檢閱並了解 Log Analytics 代理程式在部署之前如何運作和收集資料。

設計和規劃 Log Analytics 工作區部署。 這會是收集、匯總並在稍後分析資料的容器。 Log Analytics 工作區代表資料的地理位置、資料隔離,以及資料保留等設定的範圍。 如雲端採用架構的管理與監視最佳做法中所述,使用單一 Azure 監視器 Log Analytics 工作區。

保護已啟用 Azure Arc 的伺服器

使用 Azure RBAC 來控制和管理已啟用 Azure Arc 的伺服器受控識別的權限,並針對這些身分識別執行定期存取權檢閱。 控制特殊許可權的使用者角色,以避免系統管理的身分識別遭到誤用,而未經授權取得 Azure 資源存取權。

請考慮使用 Azure Key Vault 來管理已啟用 Azure Arc 的伺服器上的憑證。 金鑰保存庫 VM 延伸模組可讓您管理 Windows 和 Linux 機器上的憑證生命週期。

將已啟用 Azure Arc 的伺服器連線到適用於雲端的 Microsoft Defender。這可協助您開始收集安全性相關設定和事件記錄,以便提供建議的動作並改善整體 Azure 安全性態勢。

將已啟用 Azure Arc 的伺服器連線至 Microsoft Sentinel。 如此您就能夠開始收集與安全性相關的事件,並開始將其與其他資料來源相關聯。

驗證網路拓撲

適用於 Linux 和 Windows 的 Connected Machine 代理程式會透過 TCP 連接埠 443,安全地將訊息輸出到 Azure Arc。 線上的電腦代理程式可以使用下列方法連線到 Azure 控制平面:

如需實作已啟用 Arc 的伺服器的完整網路指引,請參閱支援 Azure Arc 之伺服器的網路拓撲和連線

考量

這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework (部分機器翻譯)。

可靠性

  • 在大部分情況下,您在建立安裝指令碼時所選取的位置,應該是地理位置最接近機器位置的 Azure 區域。 其餘資料將儲存在包含指定區域的 Azure 地理位置中,如果您有資料駐留要求,這也可能會影響您選擇的區域。 如果中斷影響到您的機器所連線的 Azure 區域,則不會影響已啟用 Arc 的伺服器。 不過,使用 Azure 的管理作業可能無法使用。
  • 如果有多個位置提供地理冗餘服務,最好將每個位置的計算機連接到不同的 Azure 區域,以便在發生區域性服務中斷時具有復原能力。
  • 如果與 Azure 連線的機器代理程式停止將活動訊號傳送至 Azure 或離線,您將無法對其執行營運工作。 因此,必須開發通知回應的計劃
  • 設定資源健康狀態警示,在資源的健康情況狀態變更時,以近即時的方式通知您。 並在 Azure 原則中定義監視和警示原則,以識別已啟用 Azure Arc 的伺服器狀況不良。
  • 將您目前的備份解決方案延伸至 Azure,或輕鬆地設定應用程式感知複寫和應用程式一致備份,以根據您的業務需求進行調整。 Azure 備份Azure Site Recovery 的集中式管理介面,可讓您輕鬆地定義原則,以原生方式保護、監視及管理已啟用 Arc 的 Windows 和 Linux 伺服器。
  • 檢閱商務持續性和災害復原指引,以判斷是否符合您的企業需求。
  • 如需解決方案的其他可靠性考量,請參閱 Microsoft Azure Well-Architected Framework 中的可靠性設計原則一節。

安全性

  • 應針對已啟用 Arc 的伺服器管理適當的 Azure 角色型存取控制 (Azure RBAC)。 若要讓機器上線,您必須具備 Azure Connected Machine 上線角色。 若要讀取、修改、重新上線和刪除機器,您必須具備 Azure Connected Machine 資源管理員角色。
  • 適用於雲端的 Microsoft Defender 可以監視內部部署系統、Azure VM、Azure Monitor 資源,甚至由其他雲端供應商搭載的 VM。 針對包含已啟用 Azure Arc 的伺服器的所有訂用帳戶啟用適用於伺服器的 Microsoft Defender,以進行安全性基準監視、安全性態勢管理和威脅防護。
  • Microsoft Sentinel 有助於使用內建連接器,簡化從不同來源 (包括 Azure、內部部署解決方案和不同雲端) 收集資料的作業。
  • 您可以使用 Azure 原則來管理已啟用 Arc 的伺服器的安全性原則,包括在適用於雲端的 Microsoft Defender 中實作安全性原則。 安全性原則會定義工作負載所需的設定,並協助確保您符合公司或法規上的安全性需求。 適用於雲端的 Defender 原則是基於 Azure 原則中建立的原則倡議。
  • 要限制可以在已啟用 Arc 的伺服器上安裝的擴展,您可以設定您希望在伺服器上允許和阻止的延伸清單。 擴展管理員將根據允許清單和封鎖清單評估所有安裝、更新或升級擴展的請求,以確定是否可以在伺服器上安裝延伸模組。
  • Azure Private Link 可讓您使用私人端點,將 Azure PaaS 服務安全地連結至您的虛擬網路。 您可以使用 Azure Arc 連線內部部署或多雲端伺服器,並透過 Azure ExpressRoute 或站對站 VPN 連線來傳送所有流量,而不是使用公用網路。 您可以使用私人連結範圍模型,允許多個伺服器或機器使用單一私人端點與其 Azure Arc 資源通訊。
  • 如需已啟用 Azure Arc 的伺服器安全性功能的完整概觀,請參閱已啟用 Azure Arc 的伺服器安全性概觀
  • 如需解決方案的其他安全性考量,請參閱 Microsoft Azure Well-Architected Framework 中的安全性設計原則一節。

成本最佳化

  • 使用 Azure Arc 控制平面功能不需額外付費。 這包括透過 Azure 管理群組和標籤支援資源組織,以及透過 Azure 角色型存取控制 (RBAC) 進行存取控制。 與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務會根據其使用量產生成本。
  • 如需額外的 Azure Arc 成本最佳化指引,請參閱已啟用 Azure Arc 的伺服器的成本控管
  • 如需解決方案的其他成本最佳化考量,請參閱 Microsoft Azure Well-Architected Framework 中的成本最佳化原則一節。
  • 使用 Azure 定價計算機來預估成本。
  • 部署此架構的 Jumpstart ArcBox for IT 專業人員參考實作時,請記住 ArcBox 資源會產生來自基礎 Azure 資源的 Azure 使用量費用。 這些資源包括核心計算、儲存體、網路和輔助服務。

卓越營運

  • 自動部署已啟用 Arc 的伺服器環境。 此架構的參考實作會合併使用 Azure ARM 範本、VM 擴充功能、Azure 原則設定和 PowerShell 指令碼來完全自動化。 您也可以針對自己的部署重複使用這些成品。 如需雲端採用架構 (CAF) 中其他已啟用 Arc 的伺服器自動化指引,請參閱已啟用 Azure Arc 之伺服器的自動化專業領域
  • Azure 中有數個選項可供自動將已啟用 Arc 的伺服器上線。 若要大規模上線,請使用服務主體,並透過組織現有的自動化平台進行部署。
  • VM 擴充功能可以部署到已啟用 Arc 的伺服器,以簡化其整段生命週期的混合式伺服器管理。 請考慮在大規模管理伺服器時,透過 Azure 原則自動部署 VM 擴充功能。
  • 在已上線的 Azure Arc 伺服器中啟用修補程式和更新管理,以簡化作業系統生命週期管理。
  • 檢閱 Azure Arc Jumpstart Unified Operations 使用案例,以了解已啟用 Azure Arc 的伺服器的其他卓越營運案例。
  • 如需解決方案的其他卓越營運考量,請參閱 Microsoft Azure Well-Architected Framework 中的卓越營運設計原則一節。

效能效益

  • 在使用已啟用 Azure Arc 的伺服器設定您的機器之前,您應檢閱 Azure Resource Manager 訂閱限制資源群組限制,以規劃要連線的機器數量。
  • 部署指南中所述的階段式部署方法可協助您判斷實作的資源容量需求。
  • 使用 Azure Monitor 直接從已啟用 Azure Arc 的伺服器收集資料到 Log Analytics 工作區,以進行詳細分析和關聯。 檢閱 Azure 監視器代理程式的部署選項
  • 如需解決方案的其他效能效率考量,請參閱 Microsoft Azure Well-Architected Framework 中的效能效率原則一節。

部署此案例

您可以在適用於 IT 專業人員的 Jumpstart ArcBox 中找到此架構的參考實作 (包含在 Arc Jumpstart 專案中)。 ArcBox 的設計目的是在單一 Azure 訂用帳戶和資源群組內完全獨立。 ArcBox 可讓使用者輕鬆取得所有可用 Azure Arc 技術的實作體驗,與可用的 Azure 訂用帳戶一樣。

若要部署參考實作,請選取下方的 [適用於 IT 專業人員的 Jumpstart ArcBox] 按鈕,以按照 GitHub 存放庫中的步驟操作。

適用於 IT 專業人員的 Jumpstart ArcBox

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者:

若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。

下一步

探索相關的架構: