描述其他管理最佳化選項

  • 10 分鐘

一旦 Contoso 跨 Windows Server 在 Azure 中部署了許多虛擬機器,就必須最佳化其作業和管理工作。 Azure Automanage 和 Windows Server Azure 版本包含特殊功能,可協助減輕這些日常作業工作。

Azure Automanage

Azure Automanage 提供整合的解決方案,可簡化 Windows Server 虛擬機器上的 IT 作業。 透過簡單的選按懂做,Azure Automanage 可讓您將管理工作自動化,並在 Azure 內整個 Windows Server 生命週期中套用一致的最佳做法。 其可讓您不需要探索及了解如何上線和設定特定 Azure 服務,即可讓您的 Window Server VM 受益。 這些 Azure 服務可協助增強可靠性、安全性和管理,並提供下列優點:

  • 將虛擬機器上線,以選取 Azure 服務的最佳做法
  • 根據 Azure 最佳做法設定每個服務
  • 支援自訂最佳做法服務
  • 監視漂移,並在偵測到漂移時更正
  • 提供簡單的體驗 (點、選取、設定、忘記)

參與的服務

將 Windows Server VM 上線至 Azure Automanage 之後,每個最佳做法服務都會設定為其建議的設定。 下圖顯示可使用 Azure Automanage 最佳做法為 VM 進行設定的服務類型。

Diagram of intelligently onboard services.

當您使用最佳做法組態設定檔時,Windows Server VM 會自動上線到這些參與的服務。 以下是參與服務的清單:

服務 描述
VM 深入解析監視 適用於 VM 的 Azure 監視器會監視虛擬機器的效能及健康情況,包括其執行流程和其他資源的相依性。
Backup Azure 備份提供獨立且隔離的備份,以防止 VM 上意外的資料毀損。
適用於雲端的 Microsoft Defender 適用於雲端的 Microsoft Defender 是整合的基礎結構安全性管理系統,可強化您資料中心的安全性態勢,並為您在雲端中的混合式工作負載提供進階威脅防護。
Microsoft 反惡意程式碼 適用於 Azure 的 Microsoft 反惡意程式碼是即時保護功能,有助於識別和移除病毒、間諜軟體和其他惡意軟體。 其可在已知惡意或垃圾軟體嘗試自行安裝在 Azure 系統或在 Azure 系統上執行時產生警示。
更新管理 您可以針對您的虛擬機器,使用 Azure 自動化中的更新管理來管理作業系統更新。 您可以快速評估所有代理程式機器上可用更新的狀態,並管理為伺服器安裝必要更新的程序。
變更追蹤和清查 結合了變更追蹤和清查功能,可讓您追蹤虛擬機器和伺服器基礎結構的變更。
Azure Automanage 機器設定 Azure Automanage 機器設定原則會用來監視機器合規性的設定和報告。
Azure 自動化帳戶 Azure 自動化可支援透過基礎結構和應用程式的生命週期進行管理。
Log Analytics 工作區 Azure 監視器會將記錄資料儲存在 Log Analytics 工作區中,該工作區是 Azure 資源,也是資料收集和彙總的容器。

Automanage 機器設定

Automanage 機器設定提供原生功能,可稽核作業系統,或將作業系統設定為程式碼,這兩者均適用於在 Azure 中執行的機器和已啟用 Arc 的混合式機器。 此功能可以在每部電腦直接使用,或依 Azure 原則進行大規模協調。 由於 Automanage 機器最佳做法可讓客戶描述管理服務的預期狀態,因此機器設定會在實際資源內提供相同的功能。

建立 Automanage 最佳做法組態設定檔時,請建立內建設定檔或自訂設定檔來啟用機器設定。

Screenshot of the create custom profile window.

Windows Server Datacenter:Azure Edition

Azure 版本的 Windows Server Datacenter 提供額外的功能,以最佳化和管理 VM。

Azure 擴充網路

適用於 Azure 的擴充網路可讓您將內部部署子網路延伸至 Azure,讓內部部署虛擬機器在移轉至 Azure 時保留其原始內部部署私人 IP 位址。

網路會使用兩個做為虛擬裝置的 Windows Server 2019 VM 之間的雙向 VXLAN 通道來擴充,一個在內部部署執行,另一個在 Azure 中執行,每個 VM 也會連線到要擴充的子網路。 您要擴充的每個子網路都需要一對設備。 您可以使用多對設備來擴充多個子網路。

適用於新虛擬機器的熱修補

熱修補是在支援的 Windows Server Azure Edition 虛擬機器 (VM) 上安裝更新的新方式,此方式在安裝之後不需要重新開機。 本文涵蓋支援的 Windows Server Azure Edition VM 的 Hotpatch 相關資訊,其優點如下:

  • 較少的重新開機可降低工作負載影響
  • 更新的部署速度較快,因為套件較小、安裝更快,而且使用 Azure 更新管理員更容易進行修補程式協調流程
  • 更好的保護,因為熱修補更新套件的範圍設定為 Windows 安全性更新,可在不重新開機的情況下更快安裝

熱修補的運作方式是先使用 Windows Update 最新累積更新建立基準。 熱修補會定期發行 (例如,當月的第二個星期二) 且會建置於該基準。 熱修補所包含的更新不需要重新開機。 定期 (從每三個月開始),基準會以新的最新累積更新重新整理。

Hotpatch sample schedule.

基準有兩種類型:計劃性基準非計劃性基準

  • 計畫基準會定期發行,且中間會發行熱修補版本。 計畫基準包含該月份類似最新累積更新中的所有更新,並且需要重新啟動。
    • 上述範例排程說明日曆年度的四個計劃性基準版本 (圖表共有五個),以及八個熱修補版本。
  • 當發行重要更新 (例如零時差修正) 時,便會發行非計劃性基準,且該特定更新無法發行為熱修補。 發行非計劃性基準時,該月份的熱修補版本將會取代為非計劃性基準。 非計畫基準還包括該月份類似最新累積更新中的所有更新,並且需要重新啟動。
    • 上述範例排程說明兩個將取代那些月份熱修補版本的非計劃性基準 (事先不知道一年內的實際非計劃性基準數目)。

透過 QUIC 的 SMB

透過 QUIC 的 SMB 引進 TCP 網路傳輸的替代方案,為透過網際網路等不受信任網路的邊緣檔案伺服器提供安全的可靠連線。 QUIC 是 IETF 標準化的通訊協定,相較於 TCP 具有許多優點:

  • 所有封包一律會經過加密,且會使用 TLS 1.3 驗證交握
  • 可靠與不可靠的應用程式資料的平行串流
  • 在第一次來回行程 (0-RTT) 中交換應用程式資料
  • 改善壅塞控制和遺失復原
  • 不受用戶端 IP 位址或連接埠變更的影響

透過 QUIC 的 SMB 為電信業者、行動裝置使用者和高度安全性組織提供「SMB VPN」。 伺服器憑證會透過易於連線網際網路的 UDP 連接埠 443 (而不是舊版 TCP 連接埠 445) 建立 TLS 1.3 加密通道。 所有 SMB 流量,包括通道內的驗證和授權永遠不會在基礎網路公開。 SMB 通常會在 QUIC 通道內運作,這表示使用者體驗不會變更。 SMB 功能,例如多重通道、簽署、壓縮、持續可用性、目錄租用等,皆正常運作。