規劃和部署已啟用 Azure Arc 的伺服器
部署 IT 基礎結構服務或商務應用程式,對任何公司來說都是挑戰。 為了順利執行並避免任何令人困擾的意外成本,您需要徹底進行規劃,以確保盡可能做好準備。 若要規劃以任何規模部署已啟用 Azure Arc 的伺服器,其應該涵蓋必須符合的設計和部署準則,才能順利完成工作。
為了讓部署能順暢進行,您的方案應該建立清晰易理解的:
- 角色和職責。
- 實體伺服器或虛擬機器的清查,以確認它們符合網路和系統需求。
- 啟用成功之部署和進行中的管理所需技能集和訓練。
- 驗收準則和您追蹤其成功的方式。
- 用來將部署自動化的工具或方法。
- 識別到的風險事件和風險降低計畫 (以避免延遲、中斷等) 清單。
- 在部署期間避免中斷的計畫。
- 發生重大問題時的呈報路徑。
本文的目的是確保您已準備好在環境中多個生產實體伺服器或虛擬機器上,成功部署已啟用 Azure Arc 的伺服器。
若要深入了解我們的大規模部署建議,您也可以參閱這段影片。
必要條件
規劃部署時,請考量下列基本要求:
- 您的機器必須針對 Connected Machine 代理程式執行支援的作業系統。
- 您的機器必須可以直接或透過 Proxy 伺服器,從內部部署網路或其他雲端環境連線至 Azure 中的資源。
- 若要安裝和設定 Azure Connected Machine Agent,您必須在機器上擁有具備較高權限 (也就是管理員或根) 的帳戶。
- 若要讓機器上線,您必須具備 Azure Connected Machine 上線 Azure 內建角色。
- 若要讀取、修改和刪除機器,您必須擁有 Azure Connected Machine 資源管理員 Azure 內建角色。
如需詳細資訊,請參閱安裝 Connected Machine 代理程式的必要條件和網路需求。
試驗
部署至所有生產機器之前,請先評估此部署流程,之後再廣泛採用其至您的環境中。 針對試驗,請找出對您公司進行業務能力不重要的機器代表性取樣。 您會想要確保有足夠時間執行試驗並評估其影響:建議至少 30 天。
建立描述該試驗範圍和詳細資料的正式計畫。 以下是計畫應包含的範例,以協助您開始使用。
- 目標 - 描述導致試驗為必要決策的商業和技術驅動因素。
- 選取準則 - 指定用來選取解決方案哪些層面的準則將會透過試驗來示範。
- 範圍 - 描述試驗的範圍,其中包括但不限於解決方案元件、預期的排程、試驗持續時間,以及要設定目標的機器數目。
- 成功準則和計量 - 定義試驗的成功準則和用來判斷成功層級的特定量值。
- 訓練計劃 - 描述在試驗期間為 Azure 新手的系統工程師、系統管理員等訓練計劃。
- 轉換計劃 - 描述用來引導從試驗轉換到生產環境的策略和準則。
- 復原 - 描述將試驗復原 至部署前狀態的程式。
- 風險 - 列出所有已識別的風險,以執行試驗並與生產環境部署相關聯。
階段 1:組建基礎
在此階段中,系統工程師或管理員可啟用組織 Azure 訂用帳戶中的核心功能開始基礎,再啟用機器由已啟用Azure Arc 的伺服器和其他 Azure 服務進行管理。
| Task | 詳細資料 | 預估的持續時間 |
|---|---|---|
| 建立資源群組 | 專用的資源群組僅包含已啟用 Azure Arc 的伺服器,並集中管理和監視這些資源。 | 一個小時 |
| 套用標記以協助組織機器。 | 評估和開發符合 IT 的標記策略,有助於降低管理已啟用 Azure Arc 的伺服器的複雜性,以及簡化管理決策。 | 一天 |
| 設計和部署 Azure 監視器記錄 | 評估設計和部署考量,以判斷您的組織應該使用現有 Log Analytics 工作區還是實作另一個 Log Analytics 工作區,來儲存從混合式伺服器和機器所收集的記錄資料。1 | 一天 |
| 開發 Azure 原則治理方案 | 決定如何使用 Azure 原則,在訂用帳戶或資源群組範圍實作混合式伺服器和機器的治理。 | 一天 |
| 設定角色型存取控制 (RBAC) | 開發存取方案,以控制誰有權管理已啟用 Azure Arc 的伺服器,以及能夠檢視其在其他 Azure 服務和解決方案中的資料。 | 一天 |
| 識別已安裝 Log Analytics 代理程式的機器 | 在 Log Analytics 中執行下列記錄查詢,以支援將現有的 Log Analytics 代理程式部署轉換為延伸模組受控代理程式: Heartbeat | summarize arg_max(TimeGenerated, OSType, ResourceId, ComputerEnvironment) by Computer | where ComputerEnvironment == "Non-Azure" and isempty(ResourceId) | project Computer, OSType |
一個小時 |
1 評估 Log Analytics 工作區設計時,請考慮與 Azure 自動化整合,以支援其「更新管理」和「變更追蹤和清查」功能,以及適用於雲端的 Microsoft Defender 和 Microsoft Sentinel。 如果您的組織已經有自動化帳戶,並啟用其與 Log Analytics 工作區連結的管理功能,請評估您是否可以藉由使用這些現有的資源,以及建立重複的帳戶、工作區等,集中並簡化管理作業,以及將成本降至最低。
階段 2:部署已啟用 Azure Arc 的伺服器
接下來,我們會準備並部署 Azure Connected Machine 代理程式,以新增至階段 1 中所建立的基礎。
| Task | 詳細資料 | 預估的持續時間 |
|---|---|---|
| 下載預先定義的安裝指令碼 | 檢閱並自訂適用於 Connected Machine 代理程式大規模部署的預先定義安裝指令碼,以支援您的自動化部署需求。 大規模上線資源的範例:
|
視需求、組織流程 (例如,變更與發行管理) 和使用的自動化方法而定,需要一或多天。 |
| 建立服務主體 | 使用 Azure PowerShell 或從入口網站建立服務主體,以非互動方式連線機器。 | 一個小時 |
| 將 Connected Machine 代理程式部署至目標伺服器和機器 | 使用自動化工具將指令碼部署至伺服器,並將其連線至 Azure。 | 視您的發行方案而定 (且如果遵循階段式推出),需要一或多天。 |
階段 3:管理並操作
階段 3 是管理員或系統工程師可以啟用手動任務的自動化,以在 Connected Machine 代理程式和機器的生命週期內對其進行管理和操作。
| Task | 詳細資料 | 預估的持續時間 |
|---|---|---|
| 新增資源健康狀態警示 | 如果伺服器停止將活動訊號傳送至 Azure 超過 15 分鐘,則可能表示其已離線、已封鎖網路連線,或代理程式未執行。 開發方案以了解如何回應和調查這些事件,並使用資源健康狀態警示以在其啟動時收到通知。 設定警示時,請指定下列項目: 資源類型 = 已啟用 Azure Arc 的伺服器 目前資源狀態 = 無法使用 先前的資源狀態 = 可用 |
一個小時 |
| 建立 Azure Advisor 警示 | 為了獲得最佳體驗和最新的安全性和錯誤修正程式,建議讓 Azure Connected Machine 代理程式保持最新狀態。 過期的代理程式將會以 Azure Advisor 警示來識別。 設定警示時,請指定下列項目: 建議類型 = 升級至最新版的 Azure Connected Machine 代理程式 |
一個小時 |
| 將 Azure 原則指派給您的訂用帳戶或資源群組範圍 | 將 [啟用適用於 VM 的 Azure 監視器] 原則 (以及符合您需求的其他原則) 指派給訂用帳戶或資源群組範圍。 Azure 原則允許您指派可在您環境中安裝 VM 深入解析必要代理程式的原則定義。 | 不定 |
| 為已啟用 Azure Arc 的伺服器啟用 Azure Update Manager。 | 在已啟用 Arc 的伺服器上設定 Azure Update Manager,以管理 Windows 和 Linux 虛擬機器的系統更新。 您可以選擇按需部署更新或使用自訂排程套用更新。 | 5 分鐘 |
下一步
- 透過適用於混合雲和多雲的 Azure Arc 登陸區域加速器,了解最佳做法和設計模式。
- 了解如何重新設定、升級和移除 Connected Machine 代理程式。
- 請檢閱代理程式連線問題疑難排解指南中的疑難排解資訊。
- 了解如何簡化與其他 Azure 服務的部署,例如 Azure 自動化狀態設定和其他支援的 Azure VM 延伸模組。