Gérer les configurations pour les serveurs Azure Arc

Cette architecture de référence illustre comment utiliser Azure Arc pour gérer, régir et sécuriser des serveurs sur des scénarios locaux, multiclouds et edge. L’architecture est basée sur le démarrage rapide Azure Arc ArcBox pour les professionnels de l’informatique implémentation. ArcBox est une solution qui fournit un bac à sable facile à déployer pour toutes les choses Qu’Azure Arc. ArcBox pour les professionnels de l’informatique est une version d’ArcBox destinée aux utilisateurs qui souhaitent expérimenter des fonctionnalités de serveur avec Azure Arc dans un environnement de bac à sable.

Architecture

Téléchargez un fichier PowerPoint de cette architecture.

Composants

L’architecture est constituée des composants suivants :

• Un groupe de ressources Azure est un conteneur qui contient des ressources associées pour une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe.
• Le classeur ArcBox est un classeur Azure Monitor, qui fournit un seul volet pour la supervision et la création de rapports sur les ressources ArcBox. Le classeur agit comme un canevas flexible pour l’analyse et la visualisation des données dans le portail Azure, la collecte d’informations à partir de plusieurs sources de données à partir d’ArcBox et leur combinaison en une expérience interactive intégrée.
• Azure Monitor vous permet d’effectuer le suivi des performances et des événements pour les systèmes qui s’exécutent dans Azure, localement ou dans d’autres clouds.
• configuration d’invité Azure Policy pouvez auditer les systèmes d’exploitation et la configuration de la machine pour les machines s’exécutant sur des serveurs Azure et Azure Arc s’exécutant localement ou dans d’autres clouds.
• Azure Log Analytics est un outil du Portail Azure permettant de modifier et d’exécuter des requêtes de journal à partir de données collectées par Azure Monitor Logs et d’analyser les résultats de manière interactive. Vous pouvez utiliser des requêtes Log Analytics pour récupérer des enregistrements correspondant à des critères particuliers, identifier des tendances, analyser des modèles et fournir divers insights sur vos données.
• Microsoft Defender pour le Cloud est une solution de gestion de la posture de sécurité du cloud (CSPM) et de protection des charges de travail du cloud (CWP). Defender pour cloud trouve des points faibles dans votre configuration cloud, contribue à renforcer la posture de sécurité globale de votre environnement et peut protéger les charges de travail entre les environnements multiclouds et hybrides contre les menaces en constante évolution.
• Microsoft Sentinel est une solution SIEM (Security Information and Event Management) évolutive, native dans le cloud, et une orchestration de sécurité, une automatisation et une réponse (SOAR). Microsoft Sentinel fournit des analyses de sécurité intelligentes et des informations sur les menaces au sein de l’entreprise. Il fournit également une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces.
• Les serveurs Azure ARC vous permettent de connecter Azure à vos machines Windows et Linux hébergées en dehors d’Azure sur votre réseau d’entreprise. Lorsqu’un serveur est connecté à Azure, il devient un serveur avec Azure Arc et est traité comme une ressource dans Azure. Chaque serveur avec Azure Arc a un ID de ressource, une identité de système managé et est géré dans le cadre d’un groupe de ressources à l’intérieur d’un abonnement. Les serveurs avec Azure Arc bénéficient de constructions Azure standard telles que l’inventaire, la stratégie, les étiquettes et Azure Lighthouse.
• Hyper-V virtualisation imbriquée est utilisée par Jumpstart ArcBox pour les professionnels de l’informatique pour héberger des machines virtuelles Windows et Linux Server à l’intérieur d’une machine virtuelle Azure. Cette approche offre la même expérience que l’utilisation de machines Windows Server physiques, mais sans la configuration matérielle requise.
• réseau virtuel Azure fournit un réseau privé qui permet aux composants, tels que les machines virtuelles, au sein du groupe de ressources Azure de communiquer.

Détails du scénario

Cas d’usage potentiels

Utilisations courantes de cette architecture :

• Organiser, gouverner et inventorier de grands groupes de machines virtuelles et de serveurs dans plusieurs environnements.
• Appliquer les normes de l’entreprise et évaluer la conformité à grande échelle pour toutes vos ressources partout dans le monde grâce à Azure Policy.
• Déployez facilement les extensions de machine virtuelle prises en charge sur des serveurs avec Azure Arc.
• Configurer et appliquer Azure Policy pour les machines virtuelles et les serveurs hébergés dans plusieurs environnements.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Configurer l’agent Azure Arc Connected Machine

Vous pouvez connecter n’importe quelle autre machine physique ou virtuelle exécutant Windows ou Linux à Azure Arc. Avant d’intégrer des machines, veillez à remplir les prérequis de l’agent d’ordinateur connecté, notamment l’inscription des fournisseurs de ressources Azure pour les serveurs avec Azure Arc. Pour utiliser Azure Arc pour connecter la machine à Azure, vous devez installer l’agent Azure Connected Machine sur chaque machine que vous envisagez de connecter à l’aide d’Azure Arc. Pour plus d’informations, consultez Vue d’ensemble de l’agent serveurs avec Azure Arc.

Après avoir configuré l’agent Connected Machine, il envoie un message de pulsation standard à Azure toutes les cinq minutes. Lorsque la pulsation n’est pas reçue, Azure affecte la machine état de hors connexion, qui est reflété dans le portail dans les 15 à 30 minutes. Quand Azure reçoit un message de pulsation ultérieur de l’agent Connected Machine, son état passe automatiquement à connecté.

Il existe plusieurs options disponibles dans Azure pour connecter vos machines Windows et Linux, notamment :

• Installer manuellement : vous pouvez activer des serveurs avec Azure Arc pour un ou plusieurs ordinateurs Windows ou Linux dans votre environnement à l’aide de Windows Admin Center ou en effectuant manuellement un ensemble d’étapes.
• Installer à l’aide d’un script : vous pouvez effectuer une installation automatisée de l’agent en exécutant un script de modèle que vous téléchargez à partir du portail Azure.
• Connectez des machines à grande échelle à l’aide d’un principal de service : pour intégrer à grande échelle, utilisez un principal de service et déployez via votre organisation une automatisation existante.
• Installez-le à l’aide de Windows PowerShell DSC.

Consultez les options de déploiement de l’agent Azure Connected Machine pour obtenir une documentation complète sur les différentes options de déploiement disponibles.

Activer la configuration d’invité d’Azure Policy

Les serveurs avec Azure Arc prennent en charge Azure Policy au niveau de la couche de gestion des ressources Azure, ainsi qu’au sein du serveur individuel à l’aide de stratégies de configuration Invité. La configuration d’invité Azure Policy peut auditer les paramètres à l’intérieur d’une machine, à la fois pour les machines s’exécutant sur des serveurs Azure et Avec Azure Arc. Par exemple, vous pouvez auditer des paramètres tels que :

• Configuration du système d’exploitation
• La configuration ou la présence de l’application
• Paramètres d'environnement

Il existe plusieurs définitions intégrées Azure Policy pour Azure Arc. Ces stratégies fournissent des paramètres d’audit et de configuration pour les ordinateurs Windows et Linux.

Activer Azure Update Manager et le suivi des modifications

Il est important que vous adoptiez un processus de gestion des mises à jour pour les serveurs avec Azure Arc en activant les composants suivants :

• Utilisez Azure Update Manager pour gérer, évaluer et régir l’installation des mises à jour Windows et Linux sur tous les serveurs.
• Utilisez suivi des modifications et les d’inventaire pour les serveurs avec Azure Arc pour :
  • Déterminez les logiciels installés dans votre environnement.
  • Collectez et observez l’inventaire des logiciels, fichiers, démons Linux, services Windows et clés de Registre Windows.
  • Suivez les configurations de vos machines pour identifier les problèmes opérationnels dans votre environnement et mieux comprendre l’état de vos machines.

Surveiller les serveurs avec Azure Arc

Utilisez Azure Monitor pour surveiller vos machines virtuelles, vos groupes de machines virtuelles identiques Azure et vos machines Azure Arc à grande échelle. Utilisez Azure Monitor pour :

• Analysez les performances et l’intégrité de vos machines virtuelles Windows et Linux.
• Surveillez les processus et dépendances des machines virtuelles sur d’autres ressources et processus externes.
• Surveillez les performances et les dépendances d’application pour les machines virtuelles hébergées localement ou dans un autre fournisseur de cloud.

L’agent Azure Monitor doit être déployé automatiquement sur des serveurs Windows et Linux avec Azure Arc, via azure Policy. Passez en revue et découvrez comment l’agent Azure Monitor fonctionne et collecte des données avant le déploiement.

Concevez et planifiez votre déploiement d’espace de travail Journaux Azure Monitor. L’espace de travail est le conteneur où les données sont collectées, agrégées et analysées. Un espace de travail Journaux Azure Monitor représente un emplacement géographique de vos données, de l’isolation des données et de l’étendue des configurations telles que la rétention des données. Utilisez un espace de travail De journaux Azure Monitor unique, comme décrit dans les meilleures pratiques de gestion et de surveillance des de supervision du Framework d’adoption du cloud pour Azure.

Sécuriser les serveurs activés pour Azure Arc

Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour contrôler et gérer les autorisations des identités managées sur des serveurs avec Azure Arc et effectuer des révisions d’accès périodiques pour ces identités. Contrôlez les rôles d’utilisateur privilégiés pour empêcher les identités gérées par le système d’être mal utilisées pour obtenir un accès non autorisé aux ressources Azure.

• Envisagez d’utiliser Azure Key Vault pour gérer les certificats sur vos serveurs avec Azure Arc. Vous pouvez utiliser l’extension de machine virtuelle key vault pour gérer le cycle de vie des certificats sur les machines Windows et Linux.
• connecter des serveurs avec Azure Arc à Defender for Cloud. Utilisez Defender pour Cloud pour collecter les configurations liées à la sécurité et les journaux d’événements dont vous avez besoin pour recommander des actions et améliorer votre posture globale de sécurité Azure.
• Connecter des serveurs activés pour Azure Arc à Microsoft Sentinel. Utilisez Microsoft Sentinel pour collecter des événements liés à la sécurité et les mettre en corrélation avec d’autres sources de données.

Valider la topologie de réseau

L’agent Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. L’agent Connected Machine peut se connecter au plan de contrôle Azure à l’aide des méthodes suivantes :

• Connexion directe aux points d'extrémité publics Azure, éventuellement derrière un pare-feu ou un serveur proxy.
• Azure Private Link utilise un modèle d’étendue de liaison privée pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc en utilisant un seul point de terminaison privé.

Consultez topologie et connectivité réseau pour les serveurs avec Azure Arc pour obtenir des conseils de mise en réseau complets pour votre implémentation de serveurs avec Azure Arc.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

La fiabilité garantit que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez liste de vérification de la révision de conception pour lede fiabilité.

• Dans la plupart des cas, l’emplacement que vous sélectionnez au moment de créer le script d’installation doit être la région Azure géographiquement la plus proche de l’emplacement de votre ordinateur. Le reste des données est stocké dans la zone géographique Azure contenant la région que vous spécifiez, ce qui peut également affecter votre choix de région si vous avez des exigences de résidence des données. Si une panne affecte la région Azure à laquelle votre machine est connectée, la panne n’affecte pas le serveur avec Azure Arc. Toutefois, les opérations de gestion utilisant Azure peuvent ne pas être disponibles.
• Si l’agent de machine connectée Azure cesse d’envoyer des pulsations à Azure ou est hors connexion, vous ne pouvez pas effectuer de tâches opérationnelles dessus. Vous devez donc élaborer un plan pour les notifications et les réponses.
• Configurez des alertes d’intégrité des ressources pour recevoir une notification en quasi temps réel lorsque les ressources ont un changement dans leur état d’intégrité. Définissez une stratégie de surveillance et d’alerte dans Azure Policy qui identifie les serveurs avec Azure Arc non sains.
• Étendez votre solution de sauvegarde actuelle à Azure, ou configurez facilement notre réplication compatible avec les applications et la sauvegarde cohérente des applications qui évolue en fonction des besoins de votre entreprise. L’interface de gestion centralisée pour Sauvegarde Azure et azure Site Recovery simplifie la définition de stratégies pour protéger, surveiller et gérer en mode natif vos serveurs Windows et Linux avec Azure Arc.
• Examinez les directives relatives à la continuité des activités et à la reprise après sinistre pour déterminer si les exigences de votre entreprise sont satisfaites.
• Pour plus d’informations sur la fiabilité de votre solution, consultez principes de conception de fiabilité dans l’infrastructure Well-Architected.

Sécurité

La sécurité offre des garanties contre les attaques délibérées et l’abus de vos données et systèmes précieux. Pour plus d’informations, consultez liste de vérification de la révision de conception pour security.

• Le RBAC Azure approprié doit être géré pour les serveurs avec Azure Arc. Pour intégrer des ordinateurs, vous devez être membre du rôle Intégration Azure Connected Machine. Pour lire, modifier, réintégrer et supprimer un ordinateur, vous devez être membre du rôle Administrateur des ressources Azure Connected Machine.
• Defender pour cloud peut surveiller les systèmes locaux, les machines virtuelles Azure et les machines virtuelles hébergées par d’autres fournisseurs de cloud. Activez Microsoft Defender pour les serveurs pour tous les abonnements qui contiennent des serveurs avec Azure Arc pour la surveillance de la base de référence de sécurité, la gestion de la posture de sécurité et la protection contre les menaces.
• Microsoft Sentinel simplifie la collecte de données à partir de différentes sources (Azure, solutions locales, clouds, etc.) à l’aide de connecteurs intégrés.
• Vous pouvez utiliser Azure Policy pour gérer les stratégies de sécurité sur vos serveurs avec Azure Arc, notamment l’implémentation de stratégies de sécurité dans Defender for Cloud. Une stratégie de sécurité définit la configuration souhaitée de vos charges de travail, et vous permet de vous assurer que vous êtes en conformité avec les exigences de sécurité de votre organisation ou des régulateurs. Les stratégies de Microsoft Defender pour le cloud sont basées sur des initiatives de stratégie créées dans Azure Policy.
• Pour limiter les extensions pouvant être installées sur votre serveur avec Azure Arc, vous pouvez configurer les listes d’extensions que vous souhaitez autoriser et bloquer sur le serveur. Le gestionnaire d’extensions évalue toutes les demandes d’installation, de mise à jour ou de mise à niveau des extensions sur la liste verte et la liste de blocs pour déterminer si l’extension peut être installée sur le serveur.
• Azure Private Link vous permet de lier en toute sécurité les services PaaS Azure à votre réseau virtuel à l’aide de points de terminaison privés. Vous pouvez ainsi connecter vos serveurs locaux ou multiclouds à Azure Arc et envoyer tout le trafic via Azure ExpressRoute ou une connexion VPN de site à site au lieu d'utiliser des réseaux publics. Vous pouvez utiliser un modèle Private Link Scope pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc en utilisant un seul point de terminaison privé.
• Consultez la vue d’ensemble de la sécurité des serveurs avec Azure Arc pour obtenir une vue d’ensemble complète des fonctionnalités de sécurité du serveur avec Azure Arc.
• Pour plus d’informations sur la sécurité de votre solution, consultez principes de conception de sécurité dans Well-Architected Framework.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’optimisation des coûts.

• La fonctionnalité de plan de contrôle Azure Arc est fournie sans frais supplémentaires. Cela inclut la prise en charge de l’organisation des ressources via des groupes d’administration et des balises Azure, ainsi que le contrôle d’accès via Azure RBAC. Les services Azure utilisés conjointement avec les serveurs avec Azure Arc entraînent des coûts en fonction de leur utilisation.
• Consultez gouvernance des coûts pour les serveurs avec Azure Arc pour obtenir des conseils supplémentaires sur l’optimisation des coûts d’Azure Arc.
• Pour obtenir d’autres considérations relatives à l’optimisation des coûts pour votre solution, consultez principes de conception d’optimisation des coûts dans l’infrastructure Well-Architected.
• Utiliser la calculatrice de prix Azure pour estimer les coûts.
• Lorsque vous déployez l'implémentation de référence Jumpstart ArcBox pour les professionnels de l’informatique pour cette architecture, gardez à l'esprit que les ressources ArcBox génèrent des frais de consommation Azure à partir des ressources Azure sous-jacentes. Ces ressources incluent le calcul de base, le stockage, la mise en réseau et les services auxiliaires.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et la conservent en production. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’excellence opérationnelle.

• Automatisez le déploiement de votre environnement de serveurs avec Azure Arc. L’implémentation de référence de cette architecture est entièrement automatisée à l’aide d’une combinaison de modèles Azure ARM, d’extensions de machine virtuelle, de configurations Azure Policy et de scripts PowerShell. Vous pouvez également réutiliser ces artefacts pour vos propres déploiements. Pour plus d’informations, consultez disciplines Automation pour les serveurs avec Azure Arc.
• Il existe plusieurs options disponibles dans Azure pour automatiser l’intégration des serveurs avec Azure Arc. Pour embarquer à grande échelle, utilisez un principal de service et déployez-le via la plateforme d'automatisation existante de votre organisation.
• Les extensions de machine virtuelle peuvent être déployées sur des serveurs avec Azure Arc pour simplifier la gestion des serveurs hybrides tout au long de leur cycle de vie. Envisagez d’automatiser le déploiement des extensions de machine virtuelle via Azure Policy lors de la gestion des serveurs à grande échelle.
• Activez la gestion des correctifs et des mises à jour dans vos serveurs Azure Arc intégrés pour faciliter la gestion du cycle de vie du système d’exploitation.
• Consultez cas d’utilisation des opérations unifiées Azure Arc pour en savoir plus sur les scénarios d’excellence opérationnelle supplémentaires pour les serveurs avec Azure Arc.
• Pour obtenir d’autres considérations sur l’excellence opérationnelle pour votre solution, consultez principes de conception d’excellence opérationnelle dans le framework Well-Architected.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à mettre à l’échelle pour répondre aux demandes qu’elle lui impose par les utilisateurs de manière efficace. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’efficacité des performances.

• Avant de configurer vos machines avec Azure Arc pour serveurs, vous devez passer en revue les limites de l’abonnement et les limites des groupes de ressources Azure Resource Manager pour planifier le nombre de machines à connecter.
• Une approche de déploiement par phases, comme décrit dans le guide de déploiement, peut vous aider à déterminer les exigences en matière de capacité de ressources pour votre implémentation.
• Utilisez Azure Monitor pour collecter des données directement à partir de vos serveurs avec Azure Arc dans un espace de travail Journaux Azure Monitor pour une analyse et une corrélation détaillées. Passez en revue les options de déploiement pour l’agent Azure Monitor.
• Pour plus d’informations sur l’efficacité des performances pour votre solution, consultez principes d’efficacité des performances dans le framework Well-Architected.

Déployer ce scénario

L’implémentation de référence de cette architecture se trouve dans le Jumpstart ArcBox pour les professionnels de l’informatique, inclus dans le cadre du projet Azure Arc Jumpstart. ArcBox est conçu pour être autonome au sein d’un seul abonnement Azure et d’un groupe de ressources. ArcBox permet à un utilisateur d'acquérir facilement une expérience pratique de toute la technologie Azure Arc disponible avec rien de plus qu'un abonnement Azure.

Pour déployer l’implémentation de référence, sélectionnez Jumpstart ArcBox pour les professionnels de l’informatique et suivez les étapes du dépôt GitHub.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Pieter de Bruin | Responsable de programme senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• En savoir plus sur Azure Arc
• Découvrez-en plus sur les serveurs Azure Arc
• Parcours d’apprentissage Azure Arc
• passer en revue les scénarios de démarrage rapide Azure Arc dans le guide de démarrage rapide Azure Arc
• Passer en revue l’accélérateur de zone d’atterrissage des serveurs avec Azure Arc dans le Cloud Adoption Framework

Ressources associées

Explorer les architectures connexes :

• Optimiser SQL Server à l’aide d’Azure Arc
• Gestion et déploiement d’Azure Arc hybride pour les clusters Kubernetes