Beschreiben der Azure Arc-Integration in Azure Policy und Azure Monitor

  • 5 Minuten

Mit Azure Arc können Organisationen wie Contoso einige Azure-Funktionen auf Computerbetriebssysteme erweitern, die sich in lokalen Rechenzentren befinden oder von einem anderen Cloudanbieter gehostet werden. Beispielsweise können Azure-Richtlinien verwendet werden, um die Einhaltung von Einstellungen für das Betriebssystem, die Anwendungen und die Umgebung zu überwachen. Das IT-Personal von Contoso kann außerdem Azure Policy verwenden, um die Compliance von für Azure Arc aktivieren Kubernetes-Clustern zu verwalten und zu bewerten.

Ebenso könnte Contoso Azure Monitor verwenden, um ihre vorhandenen lokalen Serverressourcen zu überwachen und zu verwalten, die über Azure Arc verbunden sind. Azure Monitor-Container Insights können Contoso helfen, Integritäts- und Ressourcenverwendungsdaten für ihre Kubernetes-Cluster mit Azure Arc-Unterstützung zu erfassen.

Screenshot: Registerkarte „Zuordnung“ auf der Seite „Erkenntnisse“ für eine VM in Azure ContosoVM1 wird mit Details geöffneter TCP-Ports angezeigt. Es wird außerdem eine VM-Zusammenfassung angezeigt.

Wie können Sie Azure Policy verwenden?

Azure Policy ist ein Dienst, der Organisationen bei der Verwaltung und Bewertung der Compliance für die Organisationsstandards ihrer Azure-Umgebungen unterstützen kann. Azure Policy verwendet deklarative Regeln, basierend auf den Eigenschaften von Azure-Zielressourcentypen. Diese Regeln bilden Richtliniendefinitionen, die Administratoren mittels Richtlinienzuweisung auf eine Ressourcengruppe oder ein Abonnement anwenden können.

Zu den Azure-Richtlinienfunktionen für Arc-fähige Server gehören:

  • Erzwingen der Compliance beim Bereitstellen neuer Azure-Ressourcen
  • Überprüfen der Compliance vorhandener Azure-Ressourcen
  • Überprüfen der Compliance des Betriebssystems, der Anwendungskonfiguration und der Umgebungseinstellungen in Azure-VMs

Um Azure Arc-Richtlinien für einen Computer zu verwalten und zuzuweisen, navigieren Sie im Azure-Portal zu Azure Arc. Wählen Sie in der zurückgegebenen Liste der verwalteten Server den entsprechenden Server aus, und weisen Sie ihm dann eine Richtlinie zu. Sie müssen die folgenden Einstellungen konfigurieren:

  • Geltungsbereich der Richtlinie und alle Ausnahmen von diesem
  • Richtliniendefinition
  • Zuweisungsname
  • BESCHREIBUNG
  • Richtlinienerzwingung (aktiviert oder deaktiviert).

Der Screenshot zeigt die Seite „Richtlinie zuweisen“ im Azure-Portal. Der Administrator wählt aus einer Liste verfügbarer Richtlinien aus.

Nachdem Sie Richtlinien zugewiesen haben, können Sie die Richtlinieneinstellungen auf dem ausgewählten Server aus Azure Arc überprüfen.

Der Screenshot zeigt die angewendeten Richtlinien auf ContosoVM1. Zwei Richtlinien werden angewendet, und der virtuelle Computer ist mit der einen kompatibel, aber nicht mit der anderen.

Wie können Sie Azure Monitor verwenden?

Mithilfe von Monitor können Sie die Verwaltung Ihrer vorhandenen Bereitstellungen optimieren und Kapazitätsanforderungen für zukünftige Bereitstellungen prognostizieren. Monitor bietet fokussierte, umfassende Überwachungsfunktionen durch:

  • Überwachung und Metrikvisualisierung:
  • Abfragen und Analysieren von Protokollen.
  • Warnungen und Wartung.

Sie können Metriken, Aktivitäts- und Diagnoseprotokolle sowie Ereignisse für Arc-fähige Server sammeln und überwachen. Azure Monitor kann Daten direkt von Ihren verbundenen Computern zur detaillierten Analyse und Korrelation in einem Log Analytics-Arbeitsbereich sammeln.

Wenn Sie den Azure Monitor-Agent auf Ihren Arc-fähigen Servern bereitstellen, können Sie die folgenden Aktionen ausführen:

  • Überwachen des Betriebssystems und aller Workloads, die auf dem Computer oder Server ausgeführt werden, mithilfe von VM-Erkenntnissen
  • Zum Analysieren und Warnen mithilfe von Azure Monitor
  • Führen Sie die Sicherheitsüberwachung in Azure mithilfe von Microsoft Defender für Cloud oder Microsoft Sentinel aus
  • Sammeln von Bestand und Nachverfolgen von Änderungen mithilfe von Azure Automation Change Tracking und Inventory

Für Azure Arc-fähige Kubernetes können Sie Containereinblicke verwenden, ein Feature von Azure Monitor, das die Leistung und Integrität von Containerworkloads überwacht. Containereinblicke helfen beim Sammeln von Speicher- und Prozessormetriken von Controllern, Knoten und Containern sowie beim Sammeln von Containerprotokollen. Sie können die gesammelten Daten für die verschiedenen Komponenten in Ihren Kubernetes-Clustern mit einer Sammlung von Ansichten und vordefinierten Arbeitsmappen analysieren.

Sie können gesammelte Überwachungsdaten in Azure Storage für langfristige Analyse- oder Compliancezwecke archivieren. Sie können diese Daten auch zur weiteren Analyse an Azure Stream Analytics oder an andere Dienste weiterleiten.