¿Cuáles son las principales capacidades de administración y gobernanza de los servidores habilitados para Azure Arc?

10 minutos

Azure Arc permite ampliar el ámbito de varios servicios de Azure a servidores Windows y Linux que no son de Azure. Esto ayuda a empresas como Contoso a normalizar su estrategia de administración al trabajar en escenarios híbridos. En esta unidad va a obtener información sobre las capacidades de Azure Arc, centrándose en las que están disponibles exclusivamente en los servidores habilitados para Azure Arc y Azure.

¿Cuáles son las principales capacidades de administración de recursos de los servidores habilitados para Azure Arc?

Hay una serie de ventajas de Azure Arc que son independientes del tipo de recurso, ya que reflejan las capacidades de Azure Resource Manager. Entre las ventajas se incluye lo siguiente:

La capacidad de organizar todos los recursos de la organización mediante grupos de administración, suscripciones, grupos de recursos y etiquetas de Azure.
Un solo inventario completo de los recursos de la organización en varias nubes y en el entorno local, así como compatibilidad con la búsqueda y la indexación mediante Azure Resource Graph.
Una vista consolidada de los recursos habilitados para Azure y para Azure Arc a través de Azure Portal, la interfaz de la línea de comandos (CLI) de Azure, Azure PowerShell y la interfaz de programación de aplicaciones (API) de Transferencia de estado representacional (REST).
Acceso directo desde Azure Portal a la mayoría de las características de administración de los servidores habilitados para Azure Arc:
- Control de acceso basado en rol (RBAC) para ver registros y datos de inventario de servidores
- Extensiones de máquina virtual para implementar agentes de software y ejecutar scripts en el servidor
- Configuración de invitado de Azure Policy para auditar la configuración del sistema operativo y el software
- Una identidad administrada asignada por el sistema de Microsoft Entra para las aplicaciones que se ejecutan en el servidor para usarla al autenticarse en otros servicios de Azure

Captura de pantalla de la página de Control de acceso (IAM) en Azure Portal para la máquina virtual seleccionada: ContosoVM1. En el panel de detalles se muestran varias pestañas: Comprobar acceso (seleccionada), Asignaciones de roles, Asignaciones de denegación, Administradores clásicos y Roles.

También hay algunas ventajas específicas de los servidores habilitados para Azure Arc, como:

La capacidad de aplicar extensiones de máquina virtual (VM) de Azure para automatizar la configuración de los servidores Windows y Linux de Azure y que no son de Azure de una manera coherente.
La compatibilidad con la configuración de invitado de Azure Policy. Azure Policy admite la auditoría de servidores habilitados para Azure Arc de la misma manera que para sus homólogos que residen en Azure. Esto le permite usar el mismo enfoque para evaluar si las configuraciones de todos los servidores de su entorno cumplen los estándares de la organización.

¿Qué son las extensiones de máquina virtual y cómo se usan con los servidores habilitados para Azure Arc?

Las extensiones de máquina virtual son componentes de software ligeros que automatizan las tareas de automatización y configuración posteriores a la implementación del sistema operativo. Tradicionalmente, las extensiones de máquina virtual solo estaban disponibles en máquinas virtuales de Azure, pero ahora se pueden usar algunas en servidores habilitados para Azure Arc. En la tabla siguiente se describen las extensiones que se pueden agregar a los servidores habilitados para Azure Arc que ejecutan los sistemas operativos Windows Server o Linux:

Comprobación de actualización	Información adicional
Agente de Log Analytics	Instala el agente de Log Analytics en el servidor de destino habilitado para Azure Arc y lo configura para el reenvío de registros a un área de trabajo de Log Analytics.
Dependency Agent	Instala Microsoft Dependency Agent en el servidor de destino habilitado para Azure Arc con el fin de facilitarla identificación de las dependencias internas y externas de las cargas de trabajo del servidor.
Agente de Azure Key Vault	Sincroniza los certificados de una instancia de Azure Key Vault con el servidor habilitado para Arc.
Extensión Qualys	Solución de examen de evaluación de vulnerabilidades de Microsoft Defender para servidores.
Configuración de estado deseado	Aplica una configuración DSC de PowerShell en el servidor de destino habilitado para Azure Arc.
Custom Script Extension	Ejecuta un script en el servidor de destino habilitado para Azure Arc.

¿Qué es Azure Policy y cómo se usa para la gobernanza de servidores habilitados para Azure Arc?

Azure Policy es un servicio que puede ayudar a las organizaciones a administrar y evaluar el cumplimiento interno y normativo de sus servidores habilitados para Azure Arc, así como de una amplia gama de servicios de Azure. Azure Policy usa reglas declarativas basadas en las propiedades de los tipos de recursos de destino, incluidos los sistemas operativos Windows y Linux. Estas reglas forman definiciones de directiva que los administradores pueden aplicar a través de la asignación de directivas a grupos de recursos, suscripciones o grupos de administración que hospedan servidores habilitados para Azure Arc. Para simplificar la administración de definiciones de directiva, puede combinar varias directivas en iniciativas y, después, crear varias asignaciones de iniciativas, en lugar de varias asignaciones de directivas.

Azure Policy admite la auditoría del estado del servidor habilitado para Azure Arc con las directivas de configuración de invitado. Las directivas de configuración de invitado no aplican configuraciones, sino que auditan la configuración dentro del sistema operativo de destino y evalúan su cumplimiento. Pero puede usar Azure Policy para aplicar la configuración del recurso de Azure que representa un servidor habilitado para Azure Arc. También puede usar Azure Policy para implementar configuraciones mediante extensiones de máquina virtual.

A modo de ejemplo, Contoso podría usar Azure Policy para implementar reglas para:

Asignar una etiqueta específica a los recursos que representan servidores habilitados para Azure Arc durante su registro.
Identificar los servidores habilitados para Azure Arc con la característica Protección contra vulnerabilidades de seguridad de Microsoft Defender deshabilitada.
Identificar los servidores habilitados para Azure Arc que ejecutan Windows y que no están unidos a un dominio específico de Active Directory Domain Services (AD DS).
Identificar los servidores habilitados para Azure Arc que ejecutan Windows o Linux sin el agente de Log Analytics instalado.
Identificar los servidores habilitados para Azure Arc que ejecutan Linux y que no usan claves SSH para la autenticación.

Nota

Las directivas que admiten la corrección no tienen que evaluar la lógica de la directiva dentro del sistema operativo del servidor habilitado para Azure Arc, sino que dependen de los metadatos de recursos de Azure. Algunos ejemplos de estas directivas incluyen la aplicación del cumplimiento de etiquetas o la implementación de extensiones de máquina virtual.

Nota:

Azure Policy admite máquinas virtuales de Azure y servidores habilitados para Azure Arc, lo que proporciona una vista coherente de toda la organización de la información de cumplimiento.

¿Cómo se asignan directivas de Azure Policy a servidores habilitados para Azure Arc?

Puede administrar y asignar directivas de Azure a servidores habilitados para Azure Arc directamente desde Azure Portal.

Captura de pantalla que muestra la página Asignar directiva en Azure Portal. El administrador selecciona de una lista de directivas disponibles.

Una vez creada una asignación de directiva, poco después podrá revisar el resultado de la evaluación de la directiva en los servidores habilitados para Azure Arc de destino.

Captura de pantalla que muestran las directivas aplicadas en ContosoVM1. Se aplican dos directivas, y la máquina virtual es compatible con una pero no con la otra.

¿Cuáles son las ventajas de Azure Update Manager en escenarios híbridos?

Azure Update Manager es un servicio unificado que ayuda a administrar y controlar las actualizaciones de todas las máquinas híbridas, incluidas las máquinas híbridas. Puede supervisar el cumplimiento de actualizaciones de Windows y Linux en las máquinas híbridas desde un único panel de administración. También puede usar Update Manager para realizar actualizaciones en tiempo real o programarlas dentro de una ventana de mantenimiento definida.

Azure Update Manager le permite:

Compruebe al instante si hay actualizaciones o implemente actualizaciones críticas o de seguridad para ayudar a proteger las máquinas híbridas.
Habilite la evaluación periódica para comprobar las actualizaciones más recientes disponibles para las máquinas híbridas.
Use opciones de aplicación de revisiones flexibles, como programaciones de mantenimiento definidas por el cliente y aplicación de revisiones activas.
Compile paneles de informes personalizados para notificar el estado de actualización y configure alertas para determinadas condiciones.
Supervise el cumplimiento de actualizaciones de todas las máquinas híbridas.

¿Cuáles son las ventajas de Desired State Configuration (DSC) de Azure Automation en escenarios híbridos?

DSC de PowerShell es una tecnología que implementa la administración de configuración declarativa por medio de una combinación de características del sistema operativo y scripts de PowerShell. La configuración puede ser tan sencilla como garantizar que una característica concreta de Windows esté habilitada, o tan compleja como implementar SharePoint. Puede implementar la configuración de DSC en modo de inserción o de extracción. El modo de inserción conlleva invocar a la implementación desde un equipo de administración en uno o varios equipos administrados. En el modo de extracción, los equipos administrados realizan la implementación automáticamente, en función de los datos de configuración de una ubicación designada, denominada servidor de extracción. Azure Automation incluye un servidor de extracción de DSC administrado y residente en Azure. Puede aplicar la configuración de DSC en el modo de extracción a equipos que no son de Azure, incluidos servidores habilitados para Azure Arc, mediante la extensión de máquina virtual. Como alternativa, puede incorporar ambos tipos de sistemas a Azure Automation y administrar su configuración por medio de un servidor de extracción.

¿Cuáles son las ventajas de Azure Automanage en escenarios híbridos?

Los procedimientos recomendados para máquinas de Azure Automanage es un servicio que elimina la necesidad de detectar, saber cómo incorporar y cómo configurar determinados servicios en Azure que beneficiarían al servidor habilitado para Azure Arc. Después de incorporar las máquinas a Azure Automanage, se usa la configuración recomendada en todos los servicios de procedimientos recomendados. Azure Automanage también supervisa automáticamente las desviaciones y las corrige cuando se detectan. Entre los servicios participantes se incluyen los siguientes:

Supervisión de la información de las máquinas
Change Tracking e inventario
Configuración de invitado de Azure
Cuenta de Azure Automation
Área de trabajo de Log Analytics

Elija la respuesta más adecuada para cada una de las siguientes preguntas.

Comprobación de conocimientos

¿Qué extensión de máquina virtual puede agregar el administrador a los servidores habilitados para Azure Arc para empezar a supervisar con los servicios de Azure?

Extensión Qualys. Esta extensión de máquina virtual implementa la integración con el examen de evaluación de vulnerabilidades de Azure Defender para servidores.

Extensión Azure Key Vault.

Agente de Log Analytics.

¿Qué puede hacer el administrador para auditar cambios en el estado del sistema operativo de los servidores habilitados para Azure Arc?

Revisar Azure Advisor.

Busque en los registros de actividad en Azure Portal.

Aplicar una directiva basada en la configuración de invitado de Azure.

Debe responder todas las preguntas antes de comprobar su trabajo.