Erkunden unterschiedlicher Methoden für das Azure Arc-Onboarding für Server im großen Stil
Wide World Importers verfügt über Tausende von Computern in mehreren Niederlassungen. Angesichts des Umfangs der Bereitstellung muss die wichtige Frage geklärt werden, wie das Onboarding für alle Server erfolgreich durchgeführt werden kann.
Für einen einzelnen Server können das Azure-Portal, Azure PowerShell, Azure PowerShell DSC und Windows Admin Center für das Onboarding genutzt werden. Bei mehreren Servern sind der Azure-Dienstprinzipal und die Updateverwaltung von Azure Automation geeignete Onboardingoptionen. Darüber hinaus können Sie den Ansatz mit einem Dienstprinzipal automatisieren, indem Sie ein Tool Ihrer Wahl für die Konfigurationsverwaltung verwenden (z. B. Gruppenrichtlinie, System Center Configuration Manager, Ansible usw.).
Bei vielen Bereitstellungsmethoden können Sie Server mit Azure Arc-Unterstützung im großen Stil bereitstellen, indem Sie die Tools nutzen, die basierend auf den Anforderungen und dem Wissensstand Ihrer Organisation am besten geeignet sind.
Bereitstellen auf einem einzelnen Server
Es gibt mehrere Optionen für die Durchführung der Arc-Aktivierung für einen einzelnen Server, z. B. das Azure-Portal, PowerShell, PowerShell DSC und Windows Admin Center.
| Methode | BESCHREIBUNG |
|---|---|
| Azure portal | Nachdem Sie im Azure-Portal die Ressourcen- und Bereitstellungsdetails übermittelt haben, erhalten Sie ein Skript, mit dem Sie Arc für einen Server aktivieren können. Sie müssen dieses Skript herunterladen und mit erhöhten Rechten auf Ihren Windows- bzw. Linux-Servern ausführen. Hierfür müssen Sie sich für jede Installation interaktiv bei Ihrem Azure-Abonnement authentifizieren. |
| PowerShell | Sie können das PowerShell-Cmdlet Connect-AzConnectedMachine verwenden, um den Connected Machine-Agent herunterzuladen und zu installieren und den Computer bei Azure Arc zu registrieren. Mit dem Cmdlet können Sie das Paket für den Windows-Agent (Windows Installer) im Microsoft Download Center und das Paket für den Linux-Agent im Microsoft-Paketrepository herunterladen. |
| PowerShell DSC | Mit Windows PowerShell Desired State Configuration (DSC) können Sie die Softwareinstallation und -konfiguration für einen Windows-Computer automatisieren. Sie können das ConnectedMachine-DSC-Modul installieren, das für die Verwaltung der Konfiguration des Azure Connected Machine-Agents konzipiert wurde. Das Modul enthält auch das PowerShell-Skript AzureConnectedMachineAgent.ps1, mit dem der Download und die Installation automatisiert werden und eine Verbindung mit Azure Arc hergestellt wird. Diese Ressource kann vorhandenen DSC-Konfigurationen als End-to-End-Konfiguration für einen Computer hinzugefügt werden. |
| Windows Admin Center | Sie können Windows Admin Center verwenden, um den Connected Machine-Agent bereitzustellen und Ihre lokalen Server zu registrieren, ohne dass Sie Schritte außerhalb dieses Tools ausführen müssen. Wählen Sie in Windows Admin Center unter den Azure-Hybriddiensten den Dienst zum Nutzen von Azure-Richtlinien und -Lösungen zum Verwalten Ihrer Server mit Azure Arc aus. |
Bereitstellen auf mehreren Servern
Für die Bereitstellung von Servern mit Arc-Unterstützung im großen Stil können Sie eine privilegierte Identität mit Dienstprinzipal verwenden. Sie können dieses Skript mit vielen verschiedenen Tools für die Konfigurationsverwaltung verknüpfen, um das Onboarding für mehrere Server zu automatisieren. Stattdessen können Sie das Onboarding für Azure-externe Computer, die bereits per Updateverwaltung verwaltet werden, direkt über das Azure-Portal durchführen.
| Methode | BESCHREIBUNG |
|---|---|
| Verbinden mehrerer Computer per Dienstprinzipal | Zum sicheren Verbinden von Computern mit Azure Arc im großen Stil können Sie einen Microsoft Entra-Dienstprinzipal anstelle Ihrer privilegierten Identität verwenden, um interaktiv eine Verbindung mit dem Computer herzustellen. Bei einem Dienstprinzipal handelt es sich um eine spezielle eingeschränkte Verwaltungsidentität, der nur die Mindestberechtigung erteilt wird, die erforderlich ist, um Computer mithilfe des Befehls azcmagent mit Azure zu verbinden. Dieser Ansatz ist sicherer als die Nutzung eines Ansatzes mit höheren Rechten und entspricht unseren bewährten Methoden für die Sicherheit bei der Zugriffssteuerung. Der Dienstprinzipal wird nur während des Onboardings und nicht für andere Zwecke genutzt. |
| Updateverwaltung (Azure-Portal) | Sie können Azure-externe Server, die mit dem Dienst „Updateverwaltung“ verwaltet werden, über Azure Arc problemlos mit Azure verbunden werden. Sie können diese Azure-externen Server direkt im Azure-Portal auswählen, und die Bereitstellung erfolgt dann automatisch. |
Sie können verschiedene vorhandene Produkte für die Softwarekonfiguration verwenden, um den Agent für Server mit Azure Arc-Unterstützung im großen Stil auf Computern bereitzustellen. Für das Skript für die Bereitstellung sollte die Methode mit dem Azure-Dienstprinzipal verwendet werden, da beim Skript für die Bereitstellung einzelner Server eine separate Authentifizierung für jeden Server erforderlich ist.
Gruppenrichtlinie: Definieren Sie ein neues Gruppenrichtlinienobjekt (GPO) zum Ausführen eines PowerShell-Skripts, Zuweisen des GPO zur gewünschten Organisationseinheit und Planen einer Aufgabe für die Bereitstellung auf mehreren Servern.
System Center Configuration Manager: Ermöglicht das Erstellen, Genehmigen und Ausführen eines benutzerdefinierten PowerShell-Skripts für eine Sammlung mit Geräten. Weitere Informationen finden Sie unter Erstellen und Ausführen von Skripts: Configuration Manager.
Sie können auch andere Automatisierungstools, z. B. Chef, Puppet oder Ansible verwenden, um das Skript auf verwalteten Servern bereitzustellen.