Upravit

Sdílet prostřednictvím

Správa konfigurací pro servery s podporou Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Tato referenční architektura ukazuje, jak můžete pomocí služby Azure Arc spravovat, řídit a zabezpečit servery v místních scénářích, multicloudových a hraničních scénářích. Architektura je založená na implementaci ArcBoxu pro IT specialisty. ArcBox je řešení, které poskytuje snadno nasadit sandbox pro všechny věci Azure Arc. ArcBox pro IT profesionály je verze ArcBoxu, která je určená pro uživatele, kteří chtějí využívat možnosti serveru s podporou Azure Arc v prostředí sandboxu.

Architektura

diagram hybridní topologie serveru Azure Arc, který obsahuje servery s podporou Azure Arc, které jsou připojené k Azure.

Stáhněte si soubor PowerPointu této architektury.

Komponenty

Tato architektura se skládá z následujících součástí:

  • skupiny prostředků Azure je kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků může zahrnovat všechny prostředky pro řešení nebo pouze ty prostředky, které chcete spravovat jako skupinu.
  • Sešit ArcBox je sešit služby Azure Monitor, který poskytuje jediné podokno skla pro monitorování a vytváření sestav prostředků ArcBox. Sešit funguje jako flexibilní plátno pro analýzu a vizualizaci dat na webu Azure Portal, shromažďuje informace z několika zdrojů dat z celého ArcBoxu a kombinuje je do integrovaného interaktivního prostředí.
  • Azure Monitor umožňuje sledovat výkon a události pro systémy spuštěné v Azure, v místním prostředí nebo v jiných cloudech.
  • konfigurace hosta Azure Policy může auditovat operační systémy a konfiguraci počítačů jak pro počítače spuštěné v Azure, tak na serverech s podporou Azure Arc, které běží místně nebo v jiných cloudech.
  • Azure Log Analytics je nástroj na webu Azure Portal pro úpravy a spouštění dotazů protokolu z dat shromážděných protokoly služby Azure Monitor a interaktivní analýza jejich výsledků. Pomocí dotazů Log Analytics můžete načíst záznamy, které odpovídají konkrétním kritériím, identifikují trendy, analyzují vzory a poskytují různé přehledy o vašich datech.
  • Microsoft Defender for Cloud je řešení pro správu stavu zabezpečení cloudu (CSPM) a řešení ochrany cloudových úloh (CWP). Defender for Cloud najde slabá místa v konfiguraci cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a může chránit úlohy napříč více cloudovými a hybridními prostředími před vyvíjejícími se hrozbami.
  • Microsoft Sentinel je škálovatelné, nativní cloudové řešení, řešení správy informací o zabezpečení a událostí (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku. Poskytuje také jedno řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby.
  • Servery s podporou Azure Arc umožňují připojit Azure k počítačům s Windows a Linuxem hostovaným mimo Azure ve vaší podnikové síti. Když je server připojený k Azure, stane se serverem s podporou Azure Arc a považuje se za prostředek v Azure. Každý server s podporou Služby Azure Arc má ID prostředku, identitu spravovaného systému a spravuje se jako součást skupiny prostředků v rámci předplatného. Servery s podporou Služby Azure Arc využívají standardní konstrukce Azure, jako jsou inventář, zásady, značky a Azure Lighthouse.
  • Hyper-V vnořené virtualizační používá Jumpstart ArcBox pro IT specialisty k hostování virtuálních počítačů s Windows a Linux Serverem uvnitř virtuálního počítače Azure. Tento přístup poskytuje stejné prostředí jako používání fyzických počítačů s Windows Serverem, ale bez požadavků na hardware.
  • azure Virtual Network poskytuje privátní síť, která umožňuje komunikaci komponent, jako jsou virtuální počítače, ve skupině prostředků Azure.

Podrobnosti scénáře

Potenciální případy použití

Obvyklá využití pro tuto architekturu:

  • Uspořádání, řízení a inventarizace velkých skupin virtuálních počítačů a serverů napříč několika prostředími
  • Vynucujte standardy organizace a vyhodnoťte dodržování předpisů ve velkém měřítku pro všechny vaše prostředky kdekoli pomocí služby Azure Policy.
  • Snadno nasaďte podporovaná rozšíření virtuálních počítačů na servery s podporou Azure Arc.
  • Nakonfigurujte a vynucujte Azure Policy pro virtuální počítače a servery hostované v několika prostředích.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Konfigurace agenta připojeného počítače Azure Arc

Ke službě Azure Arc můžete připojit jakýkoli jiný fyzický nebo virtuální počítač s Windows nebo Linuxem. Před onboardingem počítačů nezapomeňte dokončit požadavky agenta připojeného počítače, včetně registrace poskytovatelů prostředků Azure pro servery s podporou Azure Arc. Pokud chcete k připojení počítače k Azure použít Azure Arc, musíte na každý počítač, který plánujete připojit pomocí Azure Arc, nainstalovat agenta Azure Connected Machine. Další informace najdete v tématu Přehled agenta serverů s podporou Služby Azure Arc.

Jakmile nakonfigurujete agenta Connected Machine, odešle do Azure každých pět minut běžnou zprávu prezenčních signálů. Když se prezenčních signálů nedostává, Azure přiřadí počítač offline stavu, který se projeví na portálu do 15 až 30 minut. Když Azure obdrží další zprávu prezenčních signálů z agenta Connected Machine, jeho stav se automaticky změní na Connected.

V Azure je k dispozici několik možností připojení počítačů s Windows a Linuxem, mezi které patří:

  • Ruční instalace: Servery s podporou Služby Azure Arc můžete povolit pro jeden nebo více počítačů s Windows nebo Linuxem ve vašem prostředí pomocí Centra pro správu Windows nebo ručním provedením sady kroků.
  • Instalace pomocí skriptu: Automatickou instalaci agenta můžete provést spuštěním skriptu šablony, který stáhnete z webu Azure Portal.
  • Připojení počítačů ve velkém měřítku pomocí instančního objektu: Pokud chcete připojit ve velkém měřítku, použijte instanční objekt a nasaďte ho prostřednictvím existující automatizace ve vaší organizaci.
  • Nainstalujte pomocí Prostředí Windows PowerShell DSC.

Podrobné informace o různých dostupných možnostech nasazení najdete v možnostech nasazení agenta Připojeného počítače Azure.

Povolení konfigurace hosta azure Policy

Servery s podporou Azure Arc podporují Azure Policy ve vrstvě správy prostředků Azure a také v rámci jednotlivých serverových počítačů pomocí zásad konfigurace hosta. Konfigurace hosta služby Azure Policy může auditovat nastavení v počítači, a to jak pro počítače spuštěné na serverech s podporou Azure, tak pro servery s podporou Azure Arc. Příklady nastavení, která můžete auditovat:

  • Konfigurace operačního systému
  • Konfigurace nebo přítomnost aplikací
  • Nastavení prostředí

Pro Azure Arc existuje několik předdefinovaných definic Azure Policy. Tyto zásady poskytují nastavení auditování a konfigurace pro počítače s Windows i Linuxem.

Povolení Azure Update Manageru a sledování změn

Je důležité, abyste přijali proces správy aktualizací pro servery s podporou Služby Azure Arc povolením následujících komponent:

  • Pomocí Azure Update Manageru můžete spravovat, vyhodnocovat a řídit instalaci aktualizací Windows a Linuxu na všech serverech.
  • Pomocí sledování změn a inventáře pro servery s podporou Azure Arc:
    • Určete, jaký software je ve vašem prostředí nainstalovaný.
    • Shromážděte a sledujte inventář softwaru, souborů, démonů Linuxu, služeb Windows a klíčů registru Systému Windows.
    • Sledujte konfigurace vašich počítačů, abyste mohli určit provozní problémy v celém prostředí a lépe porozumět stavu vašich počítačů.

Monitorování serverů s podporou Služby Azure Arc

Pomocí služby Azure Monitor můžete monitorovat virtuální počítače, škálovací sady virtuálních počítačů Azure a počítače Azure Arc ve velkém měřítku. Azure Monitor vám umožní:

  • Analyzujte výkon a stav virtuálních počítačů s Windows a Linuxem.
  • Monitorujte procesy a závislosti virtuálních počítačů na jiných prostředcích a externích procesech.
  • Monitorujte výkon a závislosti aplikací pro virtuální počítače hostované místně nebo v jiném poskytovateli cloudu.

Agent Služby Azure Monitor by se měl automaticky nasadit na servery s Windows a Linuxem s podporou služby Azure Arc prostřednictvím azure Policy. Projděte si, jak agent azure Monitor funguje a shromažďuje data před nasazením.

Navrhněte a naplánujte nasazení pracovního prostoru protokolů služby Azure Monitor. Pracovní prostor je kontejner, ve kterém se shromažďují, agregují a analyzují data. Pracovní prostor protokolů služby Azure Monitor představuje zeměpisné umístění dat, izolaci dat a rozsah konfigurací, jako je uchovávání dat. Použijte jeden pracovní prostor protokolů služby Azure Monitor, jak je popsáno v osvědčených postupech pro správu a monitorování architektury přechodu na cloud pro Azure.

Zabezpečení serverů s podporou Služby Azure Arc

Řízení přístupu na základě role v Azure (RBAC) slouží k řízení a správě oprávnění pro spravované identity na serverech s podporou Azure Arc a k provádění pravidelných kontrol přístupu pro tyto identity. Řídit privilegované role uživatelů, aby se zabránilo zneužití systémově spravovaných identit za účelem získání neoprávněného přístupu k prostředkům Azure.

Ověření síťové topologie

Agent Connected Machine pro Linux a Windows komunikuje bezpečně s Azure Arc přes port TCP 443. Agent Connected Machine se může připojit k řídicí rovině Azure pomocí následujících metod:

Informace o komplexních síťových pokynech pro implementaci serverů s podporou Azure Arc najdete v topologii sítě a připojení k serverům s podporou služby Azure Arc.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.

  • Ve většině případů by umístění, které vyberete při vytváření instalačního skriptu, mělo být geograficky nejblíže oblasti Azure k umístění vašeho počítače. Zbývající data se ukládají v zeměpisné oblasti Azure obsahující zadaná oblast, která může mít vliv i na vaši volbu oblasti, pokud máte požadavky na rezidenci dat. Pokud výpadek ovlivní oblast Azure, ke které je počítač připojený, nemá výpadek vliv na server s podporou Azure Arc. Operace správy pomocí Azure ale nemusí být dostupné.
  • Pokud agent připojených počítačů Azure přestane odesílat prezenčních signálů do Azure nebo přejde do offline režimu, nemůžete na něm provádět provozní úlohy. Proto musíte vytvořit plán pro oznámení a odpovědi.
  • Nastavte upozornění služby Resource Health, která budou dostávat oznámení téměř v reálném čase, když se prostředky změní ve svém stavu. Definujte zásady monitorování a upozorňování ve službě Azure Policy , které identifikují servery s podporou Azure Arc, které nejsou v pořádku.
  • Rozšiřte své aktuální řešení zálohování do Azure, nebo jednoduše nakonfigurujte replikaci s podporou aplikací a zálohování konzistentní s aplikacemi, které se škálují podle vašich obchodních potřeb. Centralizované rozhraní pro správu pro azure Backup a azure Site Recovery usnadňuje definování zásad pro nativní ochranu, monitorování a správu serverů s Windows a Linuxem s podporou Služby Azure Arc.
  • Projděte si pokyny k provozní kontinuitě a zotavení po havárii a zjistěte, jestli jsou splněny vaše podnikové požadavky.
  • Další aspekty spolehlivosti pro vaše řešení najdete v tématu principy návrhu spolehlivosti v Well-Architected Frameworku.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

  • Vhodné řízení přístupu na základě role v Azure by se mělo spravovat pro servery s podporou Azure Arc. Pokud chcete připojit počítače, musíte být členem role onboardingu připojeného počítače Azure. Pokud chcete číst, upravovat, znovu připojit a odstranit počítač, musíte být členem role Správce prostředků připojeného počítače Azure.
  • Defender for Cloud může monitorovat místní systémy, virtuální počítače Azure a virtuální počítače hostované jinými poskytovateli cloudu. Povolte Microsoft Defender pro servery pro všechna předplatná, která obsahují servery s podporou Azure Arc, pro účely monitorování standardních hodnot zabezpečení, správy stavu zabezpečení a ochrany před hrozbami.
  • Microsoft Sentinel může zjednodušit shromažďování dat napříč různými zdroji, včetně Azure, místních řešení a cloudů pomocí integrovaných konektorů.
  • Azure Policy můžete použít ke správě zásad zabezpečení na serverech s podporou Azure Arc, včetně implementace zásad zabezpečení v defenderu pro cloud. Zásady zabezpečení definují požadovanou konfiguraci vašich úloh a pomáhají zajistit, abyste dodržovali požadavky vaší společnosti nebo regulačních orgánů na zabezpečení. Zásady Defenderu pro cloud jsou založené na iniciativách zásad vytvořených ve službě Azure Policy.
  • Pokud chcete omezit, která rozšíření je možné nainstalovat na server s podporou Služby Azure Arc, můžete nakonfigurovat seznamy rozšíření, která chcete povolit a blokovat na serveru. Správce rozšíření vyhodnocuje všechny požadavky na instalaci, aktualizaci nebo upgrade rozšíření na seznam povolených a blokovaných, aby určil, jestli je možné rozšíření nainstalovat na server.
  • Azure Private Link umožňuje bezpečně propojit služby Azure PaaS s virtuální sítí pomocí privátních koncových bodů. Místní nebo multicloudové servery můžete připojit pomocí Služby Azure Arc a posílat veškerý provoz přes připojení VPN typu Site-to-Site přes Azure ExpressRoute místo veřejných sítí. Model oboru služby Private Link můžete použít k tomu, abyste umožnili více serverům nebo počítačům komunikovat s jejich prostředky Azure Arc pomocí jednoho privátního koncového bodu.
  • Přehled zabezpečení serverů s podporou služby Azure Arc najdete v komplexním přehledu funkcí zabezpečení na serveru s podporou Azure Arc.
  • Další aspekty zabezpečení pro vaše řešení najdete v tématu Principy návrhu zabezpečení v Well-Architected Frameworku.

Optimalizace nákladů

Optimalizacenákladůch Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

  • Funkce řídicí roviny Azure Arc se poskytuje bez dalších poplatků. To zahrnuje podporu pro organizaci prostředků prostřednictvím skupin pro správu Azure a značek a řízení přístupu prostřednictvím Azure RBAC. Služby Azure používané ve spojení se servery s podporou Azure Arc účtují náklady podle jejich využití.
  • Další pokyny k optimalizaci nákladů služby Azure Arc najdete v tématu Zásady správného řízení nákladů pro servery s podporou služby Azure Arc.
  • Další aspekty optimalizace nákladů pro vaše řešení najdete v tématu principy návrhu optimalizace nákladů v Well-Architected Frameworku.
  • K odhadu nákladů použijte cenovou kalkulačku Azure.
  • Při nasazování referenční implementace ArcBoxu jumpstartu pro IT specialisty pro tuto architekturu mějte na paměti, že prostředky ArcBox generují poplatky za využití Azure ze základních prostředků Azure. Mezi tyto prostředky patří základní výpočetní prostředky, úložiště, sítě a pomocné služby.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

  • Automatizujte nasazení prostředí serverů s podporou Služby Azure Arc. Referenční implementace této architektury je plně automatizovaná pomocí kombinace šablon Azure ARM, rozšíření virtuálních počítačů, konfigurací Azure Policy a skriptů PowerShellu. Tyto artefakty můžete také použít pro vlastní nasazení. Další informace najdete v tématu disciplíny služby Automation pro servery s podporou služby Azure Arc.
  • V Azure je k dispozici několik možností, jak automatizovat onboarding serverů s podporou Azure Arc. Pokud chcete provést nasazení ve velkém měřítku, použijte instanční objekt a nasaďte ho prostřednictvím stávající platformy automatizace vaší organizace.
  • Rozšíření virtuálních počítačů je možné nasadit na servery s podporou Azure Arc, aby se zjednodušila správa hybridních serverů v průběhu jejich životního cyklu. Při správě serverů ve velkém zvažte automatizaci nasazení rozšíření virtuálních počítačů prostřednictvím služby Azure Policy.
  • Povolte opravu a řešení Update Management na nasazených serverech s podporou Azure Arc, abyste usnadnili správu životního cyklu operačního systému.
  • Informace o dalších scénářích efektivity provozu pro servery s podporou Azure Arc najdete v tématu případy použití sjednocených operací Azure Arc.
  • Další aspekty efektivity provozu pro vaše řešení najdete v tématu principy návrhu efektivity provozu v Well-Architected Frameworku.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy efektivně splňovat požadavky, které na ni mají uživatelé. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.

  • Před konfigurací počítačů se servery s podporou Azure Arc byste měli zkontrolovat limity předplatného Azure Resource Manageru a omezení skupin prostředků a naplánovat počet počítačů, které se mají připojit.
  • Postup postupného nasazení, jak je popsáno v průvodci nasazením, vám může pomoct určit požadavky na kapacitu prostředků pro vaši implementaci.
  • Pomocí služby Azure Monitor můžete shromažďovat data přímo ze serverů s podporou Služby Azure Arc do pracovního prostoru protokolů služby Azure Monitor pro účely podrobné analýzy a korelace. Projděte si možnosti nasazení agenta služby Azure Monitor.
  • Další aspekty efektivity výkonu pro vaše řešení najdete v tématu principy efektivity výkonu v Well-Architected Frameworku.

Nasazení tohoto scénáře

Referenční implementaci této architektury najdete v Jumpstart ArcBox pro IT specialisty, která je součástí projektu Jump start azure Arc. ArcBox je navržený tak, aby byl samostatně obsažený v rámci jednoho předplatného Azure a skupiny prostředků. ArcBox usnadňuje uživateli praktické zkušenosti se všemi dostupnými technologiemi Azure Arc, které nemají víc než dostupné předplatné Azure.

Pokud chcete nasadit referenční implementaci, vyberte Jumpstart ArcBox pro IT profesionály a postupujte podle kroků v úložišti GitHub.

Jumpstart ArcBox pro IT specialisty

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Prozkoumejte související architektury: