Editar

Compartir vía


Administración de configuraciones para servidores habilitados para Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Esta arquitectura de referencia muestra cómo puede usar Azure Arc para administrar, controlar y proteger servidores en escenarios locales, multinube y perimetrales. La arquitectura se basa en la implementación de Azure Arc Jumpstart ArcBox para profesionales de TI. ArcBox es una solución que proporciona un espacio aislado fácil de implementar para todas las cosas de Azure Arc. ArcBox para profesionales de TI es una versión de ArcBox diseñada para los usuarios que desean experimentar funcionalidades de servidor habilitadas para Azure Arc en un entorno de espacio aislado.

Architecture

diagrama de topología de servidor híbrido de Azure Arc que tiene servidores habilitados para Azure Arc que están conectados a Azure.

Descargue un archivo de PowerPoint de esta arquitectura.

Componentes

La arquitectura consta de los siguientes componentes:

  • Un grupo de recursos de Azure es un contenedor que contiene recursos relacionados para una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo aquellos que se desean administrar como grupo.
  • El libro ArcBox es un libro de Azure Monitor, que proporciona un único panel para supervisar e informar sobre los recursos de ArcBox. El libro actúa como un lienzo flexible para el análisis y la visualización de datos en el Azure Portal, recopilando información de varios orígenes de datos de ArcBox y combinándolos en una experiencia interactiva integrada.
  • Azure Monitor le permite realizar un seguimiento del rendimiento y los eventos de los sistemas que se ejecutan en Azure, en el entorno local o en otras nubes.
  • configuración de invitado de Azure Policy puede auditar los sistemas operativos y la configuración de las máquinas que se ejecutan en servidores habilitados para Azure y Azure Arc que se ejecutan en el entorno local o en otras nubes.
  • Azure Log Analytics es una herramienta de Azure Portal para editar y ejecutar consultas de registro a partir de los datos que recopila Registros de Azure Monitor, y analizar sus resultados de forma interactiva. Puede usar consultas de Log Analytics para recuperar registros que coincidan con determinados criterios, identificar tendencias, analizar patrones y proporcionar varias conclusiones sobre los datos.
  • Microsoft Defender for Cloud es una solución de gestión de la postura de seguridad en la nube (CSPM) y de protección de la carga de trabajo en la nube (CWP). Defender for Cloud encuentra puntos débiles en toda la configuración de la nube, ayuda a reforzar la posición general de seguridad de su entorno y puede proteger las cargas de trabajo en entornos híbridos y multinube frente a amenazas en constante evolución.
  • microsoft Sentinel es una solución escalable, nativa de la nube, de información de seguridad y administración de eventos (SIEM) y de orquestación de seguridad, automatización y respuesta (SOAR). Microsoft Sentinel proporciona análisis de seguridad inteligente e inteligencia sobre amenazas en toda la empresa. También proporciona una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.
  • Los servidores habilitados para Azure Arc le permiten conectar Azure a sus máquinas Windows y Linux alojadas fuera de Azure en su red corporativa. Cuando un servidor está conectado a Azure, se convierte en un servidor habilitado para Azure Arc y se trata como un recurso en Azure. Cada servidor habilitado para Azure Arc tiene un identificador de recurso, una identidad de sistema administrada y se administra como parte de un grupo de recursos dentro de una suscripción. Los servidores habilitados para Azure Arc se benefician de construcciones estándar de Azure, como inventario, directiva, etiquetas y Azure Lighthouse.
  • Hyper-V de virtualización anidada se usa en Jumpstart ArcBox para profesionales de TI para hospedar máquinas virtuales Windows y Linux Server dentro de una máquina virtual de Azure. Este enfoque proporciona la misma experiencia que el uso de máquinas físicas de Windows Server, pero sin los requisitos de hardware.
  • Azure Virtual Network proporciona una red privada que permite que los componentes, como las máquinas virtuales, dentro del grupo de recursos de Azure se comuniquen.

Detalles del escenario

Posibles casos de uso

Los usos habituales de esta arquitectura incluyen:

  • Organice, controle e inventaríe grupos grandes de máquinas virtuales (VM) y servidores en varios entornos.
  • Aplique los estándares de la organización y evalúe el cumplimiento a gran escala de todos los recursos en cualquier lugar con Azure Policy.
  • Implemente fácilmente extensiones de máquina virtual admitidas en servidores habilitados para Azure Arc.
  • Configure y aplique Azure Policy para las máquinas virtuales y los servidores hospedados en varios entornos.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Configure el agente de la máquina conectada a Azure Arc

Puede conectar cualquier otra máquina física o virtual que ejecute Windows o Linux a Azure Arc. Antes de incorporar máquinas, asegúrese de completar los requisitos previos del agente de máquina conectada, que incluye el registro de los proveedores de recursos de Azure para servidores habilitados para Azure Arc. Para usar Azure Arc para conectar la máquina a Azure, debe instalar el agente de Azure Connected Machine en cada máquina que planee conectarse mediante Azure Arc. Para más información, consulte Introducción al agente de servidores habilitados para Azure Arc.

Después de configurar el agente de Connected Machine, envía un mensaje de latido normal a Azure cada cinco minutos. Cuando no se recibe el latido, Azure asigna la máquina estado sin conexión, que se refleja en el portal en un plazo de 15 a 30 minutos. Cuando Azure recibe un mensaje de latido posterior del agente de Connected Machine, su estado cambia automáticamente a Connected.

Hay varias opciones disponibles en Azure para conectar las máquinas Windows y Linux, entre las que se incluyen:

  • Instalar manualmente: puede habilitar servidores habilitados para Azure Arc para una o varias máquinas Windows o Linux en su entorno mediante Windows Admin Center o realizando manualmente un conjunto de pasos.
  • Instalación mediante un script: puede realizar la instalación automatizada del agente mediante la ejecución de un script de plantilla que descargue desde Azure Portal.
  • Conexión de máquinas a escala mediante una entidad de servicio: para incorporarlas a escala, use una entidad de servicio e implemente a través de la automatización existente de las organizaciones.
  • Instale mediante DSC de Windows PowerShell.

Consulte las opciones de implementación del agente de Azure Connected Machine para obtener documentación completa sobre las distintas opciones de implementación disponibles.

Habilite la configuración de invitado de Azure Policy

Los servidores habilitados para Azure Arc admiten Azure Policy en el nivel de administración de recursos de Azure y también en la máquina de servidor individual mediante las directivas de configuración de invitado. La configuración de invitado de Azure Policy puede auditar la configuración dentro de una máquina, tanto para las máquinas que se ejecutan en servidores habilitados para Azure como para Azure Arc. Por ejemplo, puede auditar la configuración de la siguiente forma:

  • Configuración del sistema operativo
  • Configuración de la aplicación o presencia
  • Configuración del entorno

Hay varias definiciones de directivas integradas de Azure Policy para Azure Arc. Estas directivas proporcionan opciones de configuración y auditoría para máquinas basadas en Windows y Linux.

Habilitación de Azure Update Manager y seguimiento de cambios

Es importante que adopte un proceso de administración de actualizaciones para servidores habilitados para Azure Arc habilitando los siguientes componentes:

  • Use azure Update Manager para administrar, evaluar y controlar la instalación de actualizaciones de Windows y Linux en todos los servidores.
  • Use de inventario y seguimiento de cambios para servidores habilitados para Azure Arc para:
    • Determine qué software está instalado en su entorno.
    • Recopile y observe el inventario de software, archivos, demonios de Linux, servicios de Windows y claves del Registro de Windows.
    • Realice un seguimiento de las configuraciones de las máquinas para identificar problemas operativos en todo el entorno y comprender mejor el estado de las máquinas.

Supervisar los servidores habilitados para Azure Arc

Use Azure Monitor para supervisar las máquinas virtuales, los conjuntos de escalado de máquinas virtuales de Azure y las máquinas de Azure Arc a escala. Use Azure Monitor para:

  • Analice el rendimiento y el estado de las máquinas virtuales Windows y Linux.
  • Supervise los procesos y dependencias de máquina virtual en otros recursos y procesos externos.
  • Supervise el rendimiento y las dependencias de aplicaciones de las máquinas virtuales hospedadas en el entorno local o en otro proveedor de nube.

El agente de Azure Monitor debe implementarse automáticamente en servidores Windows y Linux habilitados para Azure Arc mediante azure Policy. Revise y comprenda cómo funciona el agente de Azure Monitor y recopila datos antes de la implementación.

Diseñe y planee la implementación del área de trabajo registros de Azure Monitor. El área de trabajo es el contenedor donde se recopilan, agregan y analizan los datos. Un área de trabajo registros de Azure Monitor representa una ubicación geográfica de los datos, el aislamiento de datos y el ámbito de las configuraciones, como la retención de datos. Use un único área de trabajo registros de Azure Monitor como se describe en los procedimientos recomendados de administración y supervisión de de Cloud Adoption Framework para Azure.

Proteja los servidores habilitados para Azure Arc

Use el control de acceso basado en rol (RBAC) de Azure para controlar y administrar los permisos de identidades administradas en servidores habilitados para Azure Arc y realizar revisiones periódicas de acceso para estas identidades. Controle los roles de usuario con privilegios para evitar que las identidades administradas por el sistema se usen incorrectamente para obtener acceso no autorizado a los recursos de Azure.

Valide la topología de red

El agente de Connected Machine para Linux y Windows se comunica de forma segura con la salida de Azure Arc a través del puerto TCP 443. El agente de Connected Machine puede conectarse al plano de control de Azure mediante los métodos siguientes:

Consulte topología de red y conectividad para servidores habilitados para Azure Arc para obtener instrucciones de red completas para la implementación de servidores habilitados para Azure Arc.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, vea Lista de comprobación de revisión de diseño para lade confiabilidad.

  • En la mayoría de los casos, la ubicación que seleccione al crear el script de instalación debe ser la región de Azure más cercana geográficamente a la ubicación de la máquina. El resto de los datos se almacenan en la geografía de Azure que contiene la región que especifique, lo que también podría afectar a la elección de la región si tiene requisitos de residencia de datos. Si una interrupción afecta a la región de Azure a la que está conectada la máquina, la interrupción no afecta al servidor habilitado para Azure Arc. Sin embargo, es posible que las operaciones de administración que usan Azure no estén disponibles.
  • Si el agente de máquina conectada de Azure deja de enviar latidos a Azure o deja de estar sin conexión, no puede realizar tareas operativas en él. Por lo tanto, debe desarrollar un plan para notificaciones y respuestas.
  • Configure las alertas de salud de los recursos para recibir notificaciones casi en tiempo real cuando los recursos tengan un cambio en su estado de salud. Defina una directiva de supervisión y alertas que identifique los servidores habilitados para Azure Arc incorrectos.
  • Amplíe la solución de copia de seguridad actual a Azure o configure fácilmente nuestra replicación compatible con aplicaciones y la copia de seguridad coherente con la aplicación que se escala según sus necesidades empresariales. La interfaz de administración centralizada para azure Backup y Azure Site Recovery facilita la definición de directivas para proteger, supervisar y administrar de forma nativa los servidores Windows y Linux habilitados para Azure Arc.
  • Revise la guía de continuidad del negocio y recuperación de desastres para determinar si se cumplen los requisitos de su empresa.
  • Para ver otras consideraciones de confiabilidad para la solución, consulte Principios de diseño de confiabilidad en Well-Architected Framework.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de sus valiosos datos y sistemas. Para obtener más información, vea Lista de comprobación de revisión de diseño para security.

  • El RBAC de Azure adecuado debe administrarse para los servidores habilitados para Azure Arc. Para incorporar máquinas, debe ser miembro del rol Incorporación de Azure Connected Machine. Para leer, modificar, volver a incorporar y eliminar una máquina, debe ser miembro del rol Administrador de recursos de Azure Connected Machine.
  • Defender for Cloud puede supervisar sistemas locales, máquinas virtuales de Azure y máquinas virtuales hospedadas por otros proveedores de nube. Habilite Microsoft Defender para servidores para todas las suscripciones que contienen servidores habilitados para Azure Arc para la supervisión de línea de base de seguridad, la administración de la posición de seguridad y la protección contra amenazas.
  • Microsoft Sentinel puede ayudar a simplificar la recopilación de datos de diferentes orígenes, como Azure, soluciones locales y entre nubes mediante conectores integrados.
  • Puede usar Azure Policy para administrar directivas de seguridad en los servidores habilitados para Azure Arc, incluida la implementación de directivas de seguridad en Defender for Cloud. Una directiva de seguridad define la configuración deseada de las cargas de trabajo y le ayuda a garantizar el cumplimiento de los requisitos de seguridad normativos o de empresa. Las directivas de Defender for Cloud se basan en las iniciativas de directiva creadas en Azure Policy.
  • Para limitar qué extensiones se pueden instalar en el servidor habilitado para Azure Arc, puede configurar las listas de extensiones que desea permitir y bloquear en el servidor. El administrador de extensiones evalúa todas las solicitudes para instalar, actualizar o actualizar extensiones en la lista de permitidos y la lista de bloqueados para determinar si la extensión se puede instalar en el servidor.
  • Azure Private Link le permite vincular de forma segura los servicios PaaS de Azure a la red virtual mediante puntos de conexión privados. Puede conectar servidores locales o de varias nubes con Azure Arc y enviar todo el tráfico a través de Azure ExpressRoute o una conexión VPN de sitio a sitio en lugar de utilizar redes públicas. Puede utilizar un modelo Private Link Scope para permitir que varios servidores o máquinas se comuniquen con sus recursos de Azure Arc utilizando un único punto final privado.
  • Consulte información general sobre la seguridad de los servidores habilitados para Azure Arc para obtener información general sobre las características de seguridad en el servidor habilitado para Azure Arc.
  • Para conocer otras consideraciones de seguridad para la solución, consulte Principios de diseño de seguridad en Well-Architected Framework.

Optimización de costos

La optimización de costos consiste en examinar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costos.

  • La funcionalidad del plano de control de Azure Arc se proporciona sin coste adicional. Esto incluye compatibilidad con la organización de recursos a través de grupos de administración y etiquetas de Azure y el control de acceso a través de RBAC de Azure. Los servicios de Azure utilizados conjuntamente con los servidores habilitados para Azure Arc incurren en costes en función de su uso.
  • Consulte Gobernanza de costos para servidores habilitados para Azure Arc para obtener más instrucciones de optimización de costos de Azure Arc.
  • Para conocer otras consideraciones de optimización de costos para la solución, consulte principios de diseño de optimización de costos en Well-Architected Framework.
  • Puede usar la calculadora de precios de Azure para calcular los costos.
  • Al implementar la implementación de referencia de ArcBox de Jumpstart para profesionales de TI para esta arquitectura, tenga en cuenta que los recursos de ArcBox generan cargos de consumo de Azure a partir de los recursos de Azure subyacentes. Estos recursos incluyen los servicios de proceso, almacenamiento, redes y auxiliares principales.

Excelencia operativa

La excelencia operativa abarca los procesos de operaciones que implementan una aplicación y lo mantienen en ejecución en producción. Para obtener más información, vea Lista de comprobación de revisión de diseño para la excelencia operativa.

  • Automatice la implementación del entorno de servidores habilitados para Azure Arc. La implementación de referencia de esta arquitectura se automatiza completamente mediante una combinación de plantillas de Azure ARM, extensiones de máquina virtual, configuraciones de Azure Policy y scripts de PowerShell. También puede reutilizar estos artefactos para sus propias implementaciones. Para más información, consulte materias de Automation para servidores habilitados para Azure Arc.
  • Hay varias opciones disponibles en Azure para automatizar la incorporación de de servidores habilitados para Azure Arc. Para incorporar a escala, utilice un servicio principal y despliegue a través de la plataforma de automatización existente en su organización.
  • Las extensiones de máquina virtual se pueden implementar en servidores habilitados para Azure Arc para simplificar la administración de servidores híbridos a lo largo de su ciclo de vida. Considere la posibilidad de automatizar la implementación de extensiones de máquina virtual a través de Azure Policy al administrar servidores a escala.
  • Habilite la gestión de parches y actualizaciones en sus servidores habilitados para Azure Arc para facilitar la gestión del ciclo de vida del sistema operativo.
  • Consulte casos de uso de operaciones unificadas de Azure Arc Jumpstart para obtener información sobre escenarios de excelencia operativa adicionales para servidores habilitados para Azure Arc.
  • Para conocer otras consideraciones sobre excelencia operativa de la solución, consulte principios de diseño de excelencia operativa en Well-Architected Framework.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar a fin de satisfacer las demandas que los usuarios ponen en ella de forma eficaz. Para obtener más información, vea Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

  • Antes de configurar las máquinas con servidores habilitados para Azure Arc, debe revisar los límites de suscripción y los límites del grupo de recursos de Azure Resource Manager para planear el número de máquinas que se van a conectar.
  • Un enfoque de implementación por fases, tal como se describe en la guía de implementación, puede ayudarle a determinar los requisitos de capacidad de recursos para la implementación.
  • Use Azure Monitor para recopilar datos directamente de los servidores habilitados para Azure Arc en un área de trabajo registros de Azure Monitor para un análisis y correlación detallados. Revise las opciones de implementación de para el agente de Azure Monitor.
  • Para obtener más consideraciones sobre la eficiencia del rendimiento de la solución, consulte principios de eficiencia del rendimiento en Well-Architected Framework.

Implementación de este escenario

La implementación de referencia de esta arquitectura se puede encontrar en el Jumpstart ArcBox para profesionales de TI, incluido como parte del proyecto Jumpstart de Azure Arc. ArcBox está diseñado para ser independiente dentro de una sola suscripción y grupo de recursos de Azure. ArcBox facilita al usuario la experiencia práctica con toda la tecnología disponible de Azure Arc con nada más que una suscripción a Azure.

Para implementar la implementación de referencia, seleccione Jumpstart ArcBox para profesionales de TI y siga los pasos del repositorio de GitHub.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Explore las arquitecturas relacionadas: