Uso de Azure Arc para administrar instancias de Windows Server

  • 12 minutos

Después de haber incorporado una máquina con Windows Server a Azure Arc, puede usar Azure para administrarla y configurarla. Algunas de las funciones disponibles se describen en la tabla siguiente.

Opción

Explicación

Información general

Le permite revisar información básica sobre la VM, incluido el estado, la ubicación, la suscripción, el nombre del equipo, el sistema operativo y las etiquetas.

Registro de actividades

Le permite revisar una lista de actividades realizadas en la VM y quién estuvo a cargo del evento.

Control de acceso

Le permite revisar y administrar el acceso a los recursos de Azure para usuarios, grupos, entidades de servicio y las identidades administradas en este ámbito, al crear asignaciones de roles.

Etiquetas

Pares de nombre/valor que permiten clasificar los recursos.

Extensiones

Le permite agregar y quitar extensiones de la VM.

Directivas

Le permite agregar, configurar y quitar directivas para la VM.

Administración de actualizaciones

Le permite mantener un control y un cumplimiento coherentes de la VM con Update Management.

Change Tracking e Inventario

Le permite revisar la configuración del seguimiento de los cambios y de inventario de la VM. Seguimiento de cambios e inventario permite habilitar el control y el cumplimiento coherentes de los recursos.

Información detallada

Le permite usar Azure Monitor para revisar la CPU del host, el disco y el estado activo/inactivo de las VM de Azure Arc.

Registros

Le permite ejecutar consultas en los registros para recopilar información sobre la VM.

Administración de extensiones

Las extensiones de VM son aplicaciones pequeñas que realizan tareas de automatización y configuración posterior a la implementación en las VM de Azure. Por ejemplo, si Contoso requiriera que una VM tuviese que instalar software nuevo, o quisiera habilitar la protección antivirus, o que el personal de TI tuviese que ejecutar un script dentro de la VM, podría usar una extensión de VM. Azure Arc para servidores permite implementar extensiones de VM de Azure en VM Windows y Linux que no son de Azure. Esto puede ayudar a simplificar la administración de esos equipos.

Las extensiones de máquina virtual se pueden administrar mediante Azure Portal, la CLI de Azure, Azure PowerShell y plantillas de Azure Resource Manager. Puede agregar las extensiones que se enumeran y describen en la tabla siguiente a una VM de Azure Arc.

Extensión

Información adicional

Examen de vulnerabilidades integrado de Microsoft Defender for Cloud

.Qualys

Extensión de Microsoft Antimalware

Microsoft.Azure.Security

Extensión Custom Script

Microsoft.Compute.

Agente de Log Analytics

Microsoft.EnterpriseCloud.Monitoring

Azure Monitor para máquinas virtuales

Microsoft.Azure.Monitoring.DependencyAgent

Sincronización del certificado de Azure Key Vault

Microsoft.Azure.Key.Vault

Agente de Azure Monitor

Microsoft.Azure.Monitor

Extensión Hybrid Runbook Worker de Azure Automation

Microsoft.Compute

Gobernanza con Azure Policy

Azure Policy es un servicio que puede ayudar a las organizaciones a administrar y evaluar el cumplimiento de los estándares de la organización de los entornos de Microsoft Azure. Azure Policy usa reglas declarativas basadas en las propiedades de los tipos de recursos de Azure de destino. Estas reglas forman definiciones de directivas, que los administradores pueden aplicar a través de la asignación de directivas a un ámbito como un recurso individual de Azure, un grupo de recursos, una suscripción o un grupo de administración.

Por ejemplo, para simplificar la administración de definiciones de directivas, Contoso podría considerar la posibilidad de combinar varias directivas en iniciativas y, después, crear varias asignaciones de iniciativa en lugar de varias asignaciones de directivas.

La funcionalidad de Azure Policy se puede agrupar en cuatro categorías principales:

  • Exigir el cumplimiento al aprovisionar nuevos recursos de Azure
  • Auditar el cumplimiento de los recursos de Azure existentes
  • Corregir el no cumplimiento de los recursos de Azure existentes
  • Auditar el cumplimiento de los valores de sistema operativo, de la configuración de aplicaciones y del entorno en las VM de Azure

Sugerencia

La última de estas categorías se implementa mediante el cliente de Configuración de invitado de Azure Policy, que está disponible como una extensión de máquina virtual de Azure. Azure Arc para servidores aprovecha el mismo cliente para proporcionar la funcionalidad de auditoría en escenarios híbridos.

En concreto, Contoso podría usar Azure Policy con servidores habilitados para Arc para implementar las reglas siguientes:

  • Asignación de etiquetas a máquinas durante su implementación en Azure Arc
  • Implementación de la extensión de Log Analytics en máquinas que no son de Azure
  • Identificación de servidores habilitados para Arc sin Microsoft Defender habilitado

Azure Arc le permite ampliar la gobernanza de Azure Policy a servidores y clústeres que se ejecutan en centros de datos locales o que se hospedan en proveedores de nube de terceros. Esta funcionalidad se aplica a la auditoría del cumplimiento de la configuración del sistema operativo, las aplicaciones y el entorno.

Nota:

La habilitación de esta funcionalidad requiere que el agente Azure Connected Machine esté instalado en cada equipo del ámbito de administración.

Después de instalar el agente, se necesita conectividad de salida a Azure Arc a través del puerto de Protocolo de control de transmisión (TCP) 443. En ese momento, cualquier configuración basada en el cliente Configuración de invitado de Azure Policy incluida en la directiva asignada o la definición de la iniciativa surtirá efecto de forma automática.

En concreto, Contoso podría usar la iniciativa de la directiva [Versión preliminar]: Auditar las VM Windows que no coinciden con la configuración de línea de base de seguridad de Azure para auditar el cumplimiento frente las líneas base de Azure Security Center. También tiene la posibilidad de establecer la zona horaria en los servidores de destino mediante la asignación de la definición de directiva [Versión preliminar] Configurar la zona horaria en las máquinas de Windows. Al auditar los equipos de destino, Contoso tendrá la opción de revisar los registros de forma local o remota a través del comando Azure VM Run, que está disponible en Azure Portal.

Nota

Para identificar si una definición de directiva determinada admite el cliente de configuración de invitados de Azure Policy, debe decidir si incluye una referencia al tipo de recurso Microsoft.HybridCompute/machines.

Asignación de directivas de Azure Arc

Para administrar y asignar directivas de Azure Arc para un equipo:

  1. En Azure Portal, vaya a Azure Arc y seleccione Administrar servidores.

  2. En la lista devuelta de servidores administrados, seleccione el servidor adecuado y, a continuación, en el panel de navegación, en Operaciones, seleccione Directivas.

  3. Para asignar una directiva, en la barra de herramientas, seleccione Asignar directiva.

  4. En la página Asignar directiva, seleccione la siguiente información:

    • Ámbito y exclusiones del ámbito de la directiva.
    • Definición de la directiva.
    • Nombre de la asignación.
    • Descripción.
    • Aplicación de directivas (habilitada o deshabilitada).

    A screenshot of the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

  5. Seleccione Revisar y crearo las pestañas Parámetros y Corrección para configurar comportamientos adicionales.

Después de haber asignado las directivas, desde la página principal de Azure Arc, en la VM seleccionada, puede revisar la configuración de directiva.

A screenshot of the applied policies on a VM. Two policies are applied, one of which the VM (ContosoVM1) is compliant, and the other non-compliant.

Otras lecturas

Puede obtener más información si consulta los siguientes documentos.