Azure 中已啟用 Azure Arc 的伺服器管理和服務的最佳做法
在成功透過 Arc 啟用 Wide World Importers 的數千部伺服器之後,繼續確保這些伺服器是從 Azure 平面進行組織和管理是不可或缺的。 我們會合併一組有關標記、記錄分析、健康情況警示和更新管理的最佳做法,以確保可查看、監視和管理資源。 此外,我們還會為您介紹 Azure Automanage,讓您指向、按一下、設定和忘記整個運算基礎結構。 透過 Azure Automanage,您可以在任何地方跨伺服器的安全性、治理和更新管理,自動執行 Azure 最佳做法。
組織已啟用 Azure Arc 的伺服器
您需要確定機器已進行標記並且與 Log Analytics 工作區相關聯,以確保其在 Azure 內進行組織。
作為 Azure 資源,可以標記已啟用 Arc 的伺服器以進行組織。 您應評估和開發符合 IT 的標記策略,有助於降低管理已啟用 Azure Arc 的伺服器的複雜性,以及簡化管理決策。
已啟用 Arc 的伺服器可以透過 Azure 監視器或 Log Analytics 進行監視。 評估設計和部署考量,以判斷您的組織應該使用現有 Log Analytics 工作區還是實作另一個 Log Analytics 工作區,來儲存從混合式伺服器和機器所收集的記錄資料。 請考慮針對安全性和威脅情報應用程式設定繫結至 Microsoft Sentinel 的工作區。
確定已啟用 Arc 的伺服器連線能力
建立資源健康狀態警示,以在不再連線已啟用 Arc 的伺服器時發出警示。 如果伺服器停止將活動訊號傳送至 Azure 超過 15 分鐘,則可能表示其已離線、已封鎖網路連線,或代理程式未執行。 開發方案以了解如何回應和調查這些事件,並使用資源健康狀態警示以在其啟動時收到通知。 設定警示時,請指定下列設定:
資源類型 = 已啟用 Azure Arc 的伺服器
目前資源狀態 = 無法使用
先前的資源狀態 = 可用
管理 Connected Machine 代理程式
在針對 Windows 或 Linux 初始部署已啟用 Azure Arc 的伺服器 Connected Machine 代理程式之後,您可能需要重新設定代理程式、將其升級、或是從電腦中將其移除。 您可以手動或自動的方式輕鬆地管理這些例行維護工作,後者可以降低操作錯誤和費用。
為了獲得最佳體驗和最新的安全性和錯誤修正程式,建議讓已啟用 Azure Arc 的伺服器代理程式保持最新狀態。 過期的代理程式會以 Azure Advisor 警示來識別。 設定警示時,請指定下列設定:
- 建議類型 = 升級至最新版的 Azure Connected Machine 代理程式
開始使用 Azure 服務
作為管理已啟用 Azure Arc 的伺服器的基礎,建議您組織具有標記的機器、連線至 Log Analytics 工作區,以及指派 Azure 原則。 有了正確的可檢視性和治理之後,您將能夠更輕鬆地使用其他 Azure 服務,例如適用於雲端的 Microsoft Defender、Microsoft Sentinel 和 Azure Automanage。
| 建議 | 描述 |
|---|---|
| 套用標記以協助組織機器 | 評估和開發符合 IT 的標記策略,有助於降低管理已啟用 Azure Arc 的伺服器的複雜性,以及簡化管理決策。 |
| 設計和部署 Azure 監視器記錄 | 評估設計和部署考量,以判斷您的組織應該使用現有 Log Analytics 工作區還是實作另一個 Log Analytics 工作區,來儲存從混合式伺服器和機器所收集的記錄資料。 |
| 開發 Azure 原則治理方案 | 決定如何使用 Azure 原則,以在訂用帳戶或資源群組範圍實作混合式伺服器和機器的治理。 |