管理已啟用 Azure Arc 的伺服器設定

Arc
監視器
原則
Azure Resource Manager
虛擬機器

此參考架構說明 Azure Arc 如何讓您跨內部部署、多雲端和邊緣案例管理、控管及保護伺服器,並且以適用于 IT 專業人員的 Azure Arc Jumpstart ArcBox 實作 為基礎。 ArcBox 是一種解決方案,可讓您輕鬆部署 Azure Arc 的所有專案沙箱。ArcBox for IT 專業人員是 ArcBox 的版本,適用于想要在沙箱環境中體驗已啟用 Azure Arc 的伺服器功能的使用者。

架構

已啟用 Arc 的伺服器連線至 Azure 的 Azure Arc 混合式伺服器拓撲圖。

下載此結構的 PowerPoint 檔案。

單元

此架構由下列元件組成:

  • Azure 資源群組是保存 Azure 解決方案相關資源的容器。 資源群組可以包含方案的所有資源,或只包含您要以群組方式管理的資源。
  • ArcBox 活 頁簿是 Azure 監視器活頁簿,可提供單一窗格來監視和報告 ArcBox 資源。 活頁簿可作為Azure 入口網站中資料分析和視覺效果的彈性畫布,從跨 ArcBox 收集數個數據源的資訊,並將其結合成整合式互動式體驗。
  • Azure 監視器 可讓您追蹤在 Azure、內部部署或其他雲端中執行之系統的效能和事件。
  • Azure 原則客體設定可以針對在 Azure 中執行的機器,以及內部部署或其他雲端中執行之已啟用 Arc 的伺服器,稽核作業系統和機器組態。
  • Azure Log Analytics是Azure 入口網站中的工具,可從 Azure 監視器記錄所收集的資料編輯和執行記錄查詢,並以互動方式分析其結果。 您可以使用 Log Analytics 查詢來擷取符合特定準則的記錄、識別趨勢、分析模式,以及提供資料的各種深入解析。
  • 雲端Microsoft Defender是雲端安全性狀態管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案。 Microsoft Defender for Cloud 會尋找雲端設定的弱點、協助加強環境的整體安全性狀態,並可保護跨多雲端和混合式環境的工作負載免于不斷演進的威脅。
  • Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和安全性協調流程、自動化和安全性回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對攻擊偵測、威脅可見性、主動搜捕及威脅回應,提供單一解決方案。
  • 已啟用 Azure Arc 的伺服器 可讓您將 Azure 連線到公司網路上裝載于 Azure 外部的 Windows 和 Linux 機器。 當伺服器連線到 Azure 時,它會變成已啟用 Arc 的伺服器,並被視為 Azure 中的資源。 每個已啟用 Arc 的伺服器都有一個資源識別碼、受控系統識別,而且是訂用帳戶內資源群組的一部分來管理。 已啟用 Arc 的伺服器受益于標準 Azure 建構,例如清查、原則、標籤和 Azure Lighthouse。
  • Jumpstart ArcBox for IT 專業人員會使用Hyper-V 巢狀虛擬化,在 Azure 虛擬機器內裝載 Windows Server 虛擬機器。 這提供與使用實體 Windows Server 機器相同的體驗,但不需要硬體需求。
  • Azure 虛擬網路提供私人網路,可讓 Azure 資源群組內的元件進行通訊,例如虛擬機器。

實例詳細資料

潛在使用案例

此架構的典型使用案例包括:

  • 組織、控管及清查大型虛擬機器群組, (VM 跨多個環境) 和伺服器。
  • 使用 Azure 原則,針對所有資源大規模強制執行組織標準和評估合規性。
  • 輕鬆地將支援的 VM 擴充功能部署至已啟用 Arc 的伺服器。
  • 針對跨多個環境裝載的 VM 和伺服器,設定並強制執行Azure 原則。

建議

下列建議適用於大部分的案例。 除非您有特定的需求會覆寫它們,否則請遵循下列建議。

設定 Azure Arc Connected Machine 代理程式

您可以將執行 Windows 或 Linux 的任何其他實體或虛擬機器連線到 Azure Arc。將機器上線之前,請務必完成 連線的電腦代理程式必要條件,其中包括註冊已啟用 Azure Arc 的伺服器 Azure 資源提供者。 若要使用 Azure Arc 將機器連線到 Azure,您必須在打算使用 Azure Arc 連線的每部電腦上安裝 Azure Connected Machine 代理程式。如需詳細資訊,請參閱 已啟用 Azure Arc 的伺服器代理程式概觀

設定之後,連線的電腦代理程式會每隔五分鐘傳送一次一般活動訊號訊息給 Azure。 未收到活動訊號時,Azure 會指派機器離線狀態,這會在 15 到 30 分鐘內反映在入口網站中。 從連線的電腦代理程式收到後續的活動訊號訊息時,其狀態會自動變更為 [已連線]。

Azure 中有數個選項可用來連線您的 Windows 和 Linux 機器:

  • 手動安裝:您可以使用 Windows Admin Center 工具集或手動執行一組步驟,為環境中的一或幾個 Windows 或 Linux 電腦啟用 Azure Arc 的伺服器。
  • 腳本型安裝:您可以執行從 Azure 入口網站 下載的範本腳本,以執行自動化代理程式安裝。
  • 使用服務主體大規模連接機器:若要大規模上線,請使用服務主體,並透過組織現有的自動化進行部署。
  • 使用 Windows PowerShell DSC 進行安裝

如需各種可用部署選項的完整檔,請參閱 Azure Connected Machine 代理程式部署選項

啟用Azure 原則來賓設定

已啟用 Azure Arc 的伺服器支援Azure 資源管理層Azure 原則,以及使用體設定原則的個別伺服器機器內。 Azure 原則客體設定可以稽核機器內的設定,適用于在 Azure 中執行的機器和已啟用 Arc 的伺服器。 舉例來說,您可以稽核像這樣的設定:

  • 作業系統設定
  • 應用程式設定或目前狀態
  • 環境設定

Azure Arc 有數個Azure 原則內建定義。這些原則可為以 Windows 和 Linux 為基礎的電腦提供稽核和組態設定。

啟用 Azure 更新管理

更新管理。 您可以針對已啟用 Arc 的伺服器執行更新管理。 Azure 自動化中的更新管理可讓您管理作業系統更新,並快速評估所有代理程式電腦上可用更新的狀態。 您也可以管理安裝伺服器所需更新的程式。

變更追蹤和清查。 已啟用 Arc 的伺服器Azure 自動化 變更追蹤和清查可讓您判斷環境中已安裝的軟體。 您可以收集並觀察軟體、檔案、Linux 精靈、Windows 服務和 Windows 登錄機碼的清查。 追蹤您電腦的設定可協助您找出環境中的操作問題,並進一步了解您電腦的狀態。

監視已啟用 Azure Arc 的伺服器

您可以使用 Azure 監視器大規模監視 VM、虛擬機器擴展集和 Azure Arc 機器。 Azure 監視器會分析 Windows 和 Linux VM 的效能和健康情況,並監視其進程和其他資源和外部進程的相依性。 包含針對在內部部署環境或其他雲端提供者上裝載的 VM,監視效能和應用程式相依性的支援。

Azure 監視器代理程式應該透過Azure 原則自動部署到已啟用 Azure Arc 的 Windows 和 Linux 伺服器。 檢閱並瞭解 Log Analytics 代理程式 在部署前的運作和收集資料的方式。

設計和規劃 Log Analytics 工作區部署。 它會是收集、匯總及稍後分析資料的容器。 Log Analytics 工作區代表資料的地理位置、資料隔離,以及資料保留等設定的範圍。 使用單一 Azure 監視器 Log Analytics 工作區,如管理與監視雲端採用架構的最佳做法中所述。

保護已啟用 Azure Arc 的伺服器

使用 Azure RBAC 來控制和管理已啟用 Azure Arc 的伺服器受控識別的許可權,並針對這些身分識別執行定期存取權檢閱。 控制特殊許可權的使用者角色,以避免系統管理的身分識別遭到誤用,以未經授權存取 Azure 資源。

請考慮使用Azure 金鑰保存庫來管理已啟用 Azure Arc 之伺服器上的憑證。 金鑰保存庫 VM 擴充功能可讓您管理 Windows 和 Linux 機器上的憑證生命週期。

將已啟用 Azure Arc 的伺服器連線到適用于雲端的 Microsoft Defender。這可協助您開始收集安全性相關組態和事件記錄檔,以便建議動作並改善整體 Azure 安全性狀態。

將已啟用 Azure Arc 的伺服器連線到 Microsoft Sentinel。 這可讓您開始收集安全性相關事件,並開始將其與其他資料來源相互關聯。

驗證網路拓撲

適用于 Linux 和 Windows 的連線機器代理程式會透過 TCP 埠 443安全地向 Azure Arc 通訊。 Connected Machine 代理程式可以使用下列方法來連線到 Azure 控制平面:

如需已啟用 Arc 的伺服器實作的完整網路指引,請參閱已啟用 Azure Arc 的伺服器網路拓撲和 連線能力。

考量

這些考慮會實作 Azure Well-Architected Framework 的要素,這是一組可用來改善工作負載品質的指引原則。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

可靠性

  • 在大部分情況下,您在建立安裝指令碼時所選取的位置,應該是地理位置最接近機器位置的 Azure 區域。 其餘資料會儲存在包含您所指定區域的 Azure 地理位置中,如果您有資料落地需求,這可能也會影響選擇的區域。 如果中斷會影響您的電腦所連線的 Azure 區域,中斷不會影響已啟用 Arc 的伺服器。 不過,可能無法使用 Azure 的管理作業。
  • 如果您有多個位置提供地理備援服務,最好將每個位置中的機器連線到不同的 Azure 區域,以在發生區域性中斷時進行復原。
  • 如果 Azure 連線的電腦代理程式停止將活動訊號傳送至 Azure,或離線,您將無法對它執行操作工作。 因此,您必須 開發通知和回應的計畫
  • 設定 資源健康狀態警示 ,以在資源健康情況狀態有所變更時,以近乎即時的方式收到通知。 並在Azure 原則中定義監視和警示原則,以識別已啟用 Azure Arc 的伺服器狀況不良。
  • 將目前的備份解決方案擴充至 Azure,或輕鬆地設定應用程式感知的複寫和應用程式一致的備份,其會根據您的商務需求進行調整。 Azure 備份Azure Site Recovery的集中式管理介面可讓您輕鬆地定義原則,以原生方式保護、監視和管理已啟用 Arc 的 Windows 和 Linux 伺服器。
  • 檢閱 商務持續性和災害復原 指引,以判斷是否符合您的企業需求。
  • 您的解決方案的其他可靠性考慮會在 Microsoft Azure Well-Architected Framework 的可靠性 設計原則 一節中說明。

安全性

  • 應針對已啟用 Arc 的伺服器管理適當的 Azure 角色型存取控制 (Azure RBAC) 。 若要將機器上線,您必須是 Azure 連線機器上線 角色的成員。 若要讀取、修改、重新上線和刪除電腦,您必須是 Azure 連線機器資源管理員 角色的成員。
  • 適用於雲端的 Microsoft Defender 可以監視內部部署系統、Azure 虛擬機器、Azure 監視器資源,甚至是由其他雲端提供者託管的虛擬機器。 針對包含已啟用 Azure Arc 之伺服器的所有訂用帳戶啟用Microsoft Defender,以進行安全性基準監視、安全性狀態管理和威脅防護。
  • Microsoft Sentinel 有助於簡化跨不同來源的資料收集,包括 Azure、內部部署解決方案,以及使用內建連接器的跨雲端資料收集。
  • 您可以使用Azure 原則來管理已啟用 Arc 之伺服器的安全性原則,包括在 cloud Microsoft Defender中實作安全性原則。 安全性原則會定義工作負載所需的設定,並協助確保您符合公司或法規的安全性需求。 適用于雲端的 Defender 原則是以Azure 原則中建立的原則計畫為基礎。
  • 若要限制哪些擴充功能可以安裝在已啟用 Arc 的伺服器上,您可以設定您想要在伺服器上允許和封鎖的延伸模組清單。 延伸模組管理員會根據允許清單和封鎖清單評估安裝、更新或升級延伸模組的所有要求,以判斷是否可以在伺服器上安裝擴充功能。
  • Azure 私人連結可讓您使用私人端點,將 Azure PaaS 服務安全地連結至您的虛擬網路。 您可以將內部部署或多雲端伺服器與 Azure Arc 連線,並透過 Azure ExpressRoute 或站對站 VPN 連線傳送所有流量,而不是使用公用網路。 您可以使用Private Link範圍模型,允許多部伺服器或電腦使用單一私人端點與其 Azure Arc 資源通訊。
  • 如需已啟用 Azure Arc 的伺服器安全性功能的完整概觀,請參閱已啟用 Azure Arc 的伺服器安全性 概觀。
  • Microsoft Azure Well-Architected Framework 的安全性設計原則 一節會說明您解決方案的其他安全性考慮。

成本最佳化

  • Azure Arc 控制平面功能不需額外費用。 這包括透過 Azure 管理群組和標籤對資源組織的支援,以及透過 Azure 角色型存取控制 (RBAC) 的存取控制。 與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務會根據其使用量產生成本。
  • 如需其他 Azure Arc 成本優化指引,請參閱 已啟用 Azure Arc 之伺服器的成本控 管。
  • 您的解決方案的其他成本優化考慮會在 Microsoft Azure Well-Architected Framework 中的 成本優化原則 一節中說明。
  • 使用 Azure 定價計算機來估計成本。
  • 針對此架構部署 Jumpstart ArcBox for IT 專業人員參考實作時,請記住 ArcBox 資源會從基礎 Azure 資源產生 Azure 耗用量費用。 這些資源包括核心計算、儲存體、網路和輔助服務。

卓越營運

  • 自動部署已啟用 Arc 的伺服器環境。 此架構的參考實作會使用 Azure ARM 範本、VM 擴充功能、Azure 原則組態和 PowerShell 腳本的組合,完全自動化。 您也可以針對自己的部署重複使用這些成品。 如需雲端採用架構 (CAF) 中已啟用 Arc 的伺服器自動化指引,請參閱已啟用Azure Arc 之伺服器的自動化專業領域
  • Azure 中有數個選項可供自動 上線已啟用 Arc 的伺服器。 若要大規模上線,請使用服務主體,並透過組織現有的自動化平臺進行部署。
  • VM 擴充功能可以部署到已啟用 Arc 的伺服器,以簡化整個生命週期的混合式伺服器管理。 請考慮在大規模管理伺服器時,透過Azure 原則自動部署 VM 擴充功能。
  • 在已啟用 Azure Arc 的伺服器中啟用修補程式和更新管理,以簡化作業系統生命週期管理。
  • 檢閱 Azure Arc Jumpstart Unified Operations 使用案例 ,以瞭解已啟用 Azure Arc 的伺服器的其他營運卓越案例。
  • Microsoft Azure Well-Architected Framework 中的 營運卓越設計原則 一節將說明您解決方案的其他營運卓越考慮。

效能效率

  • 使用已啟用 Azure Arc 的伺服器設定機器之前,您應該先檢閱 Azure Resource Manager訂用帳戶限制和資源群組限制,以規劃要連線的電腦數目。
  • 部署指南 中所述的階段式部署方法,可協助您判斷實作的資源容量需求。
  • 使用 Azure 監視器,直接從已啟用 Azure Arc 的伺服器收集資料到 Log Analytics 工作區,以取得詳細的分析和相互關聯。 檢閱 Azure 監視器代理程式的 部署選項
  • Microsoft Azure Well-Architected Framework 的 效能效率原則 一節將說明解決方案的其他效能效率考慮。

部署此案例

您可以在 適用于 IT 專業人員的 Jumpstart ArcBox中找到此架構的參考實作,包含在 Arc Jumpstart 專案中。 ArcBox 是設計成在單一 Azure 訂用帳戶和資源群組內完全獨立。 ArcBox 可讓使用者輕鬆取得所有可用 Azure Arc 技術的實作體驗,而不只是可用的 Azure 訂用帳戶。

若要部署參考實作,請選取下方的 Jumpstart ArcBox for IT 專業人員 按鈕,以遵循 GitHub 存放庫中的步驟。

參與者

本文由 Microsoft 維護。 最初是由下列參與者所撰寫。

主體作者:

若要查看非公用LinkedIn設定檔,請登入 LinkedIn。

下一步

探索相關的架構: