Modifica

Condividi tramite

Gestire le configurazioni per i server con abilitazione di Azure Arc

Azure Arc
Monitoraggio di Azure
Criteri di Azure
Azure Resource Manager
Macchine virtuali di Azure

Questa architettura di riferimento illustra come usare Azure Arc per gestire, gestire e proteggere i server in scenari locali, multicloud e perimetrali. L'architettura si basa sull'implementazione di Di Azure ArcBox per professionisti IT. ArcBox è una soluzione che offre una sandbox facile da distribuire per tutti gli aspetti di Azure Arc. ArcBox per professionisti IT è una versione di ArcBox destinata agli utenti che vogliono sperimentare le funzionalità del server abilitate per Azure Arc in un ambiente sandbox.

Architettura

Diagramma della topologia di un server ibrido di Azure Arc con server abilitati per Azure Arc connessi ad Azure.

Scaricare un file PowerPoint di questa architettura.

Componenti

Questa architettura è costituita dai componenti seguenti:

  • Un gruppo di risorse di Azure è un contenitore che contiene risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo.
  • La cartella di lavoro di ArcBox è una cartella di lavoro di Monitoraggio di Azure, che fornisce un unico riquadro di vetro per il monitoraggio e la creazione di report sulle risorse ArcBox. La cartella di lavoro funge da canvas flessibile per l'analisi e la visualizzazione dei dati nella portale di Azure, raccogliendo informazioni da diverse origini dati da ArcBox e combinandole in un'esperienza interattiva integrata.
  • Monitoraggio di Azure consente di tenere traccia delle prestazioni e degli eventi per i sistemi in esecuzione in Azure, in locale o in altri cloud.
  • configurazione guest di Criteri di Azure può controllare i sistemi operativi e la configurazione del computer sia per i computer in esecuzione in Azure che nei server abilitati per Azure Arc in esecuzione in locale o in altri cloud.
  • Azure Log Analytics è uno strumento disponibile nel portale di Azure che consente di modificare ed eseguire query sui log dai dati raccolti dai log di Monitoraggio di Azure e di analizzarne i risultati in modo interattivo. È possibile usare le query di Log Analytics per recuperare i record che corrispondono a determinati criteri, identificare le tendenze, analizzare i modelli e ricavare varie informazioni dai dati.
  • Microsoft Defender per il cloud è una soluzione per la gestione della sicurezza nel cloud (CSPM) e la protezione dei carichi di lavoro nel cloud (CWP). Defender for Cloud trova punti deboli nella configurazione cloud, contribuisce a rafforzare il comportamento di sicurezza complessivo dell'ambiente e a proteggere i carichi di lavoro in ambienti multicloud e ibridi da minacce in continua evoluzione.
  • microsoft Sentinel è una soluzione di gestione delle informazioni e degli eventi (SIEM) scalabile nativa del cloud e di orchestrazione della sicurezza, automazione e risposta (SOAR). Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Offre anche una singola soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
  • I server abilitati per Azure Arc consentono di connettere Azure ai computer Windows e Linux ospitati all'esterno di Azure sulla rete aziendale. Quando un server è connesso ad Azure, diventa un server abilitato per Azure Arc e viene considerato come una risorsa in Azure. Ogni server abilitato per Azure Arc ha un ID risorsa, un'identità del sistema gestito e viene gestito come parte di un gruppo di risorse all'interno di una sottoscrizione. I server abilitati per Azure Arc traggono vantaggio da costrutti standard di Azure, ad esempio inventario, criteri, tag e Azure Lighthouse.
  • Hyper-V di virtualizzazione annidata viene usato da Jumpstart ArcBox per professionisti IT per ospitare macchine virtuali Windows e Linux Server all'interno di una macchina virtuale di Azure. Questo approccio offre la stessa esperienza dell'uso di computer Fisici Windows Server, ma senza i requisiti hardware.
  • rete virtuale di Azure fornisce una rete privata che consente ai componenti, ad esempio macchine virtuali, all'interno del gruppo di risorse di Azure di comunicare.

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

  • Organizzare, gestire e inventariare gruppi di macchine virtuali e server di grandi dimensioni in più ambienti.
  • Imponi gli standard dell'organizzazione e valuta la conformità su larga scala per tutte le tue risorse, ovunque, con Criteri di Azure.
  • Distribuire facilmente le estensioni vm supportate nei server abilitati per Azure Arc.
  • Configurare e applicare Criteri di Azure per macchine virtuali e server ospitati in più ambienti.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Configurare l'agente del computer connesso ad Azure Arc.

È possibile connettere qualsiasi altra macchina fisica o virtuale che esegue Windows o Linux ad Azure Arc. Prima dell'onboarding dei computer, assicurarsi di completare i prerequisiti dell'agente del computer connesso, che include la registrazione dei provider di risorse di Azure per i server abilitati per Azure Arc. Per usare Azure Arc per connettere il computer ad Azure, è necessario installare l'agente di Azure Connected Machine in ogni computer che si prevede di connettersi usando Azure Arc. Per altre informazioni, vedere Panoramica dell'agente di server abilitati per Azure Arc.

Dopo aver configurato l'agente Connected Machine, invia un normale messaggio di heartbeat ad Azure ogni cinque minuti. Quando l'heartbeat non viene ricevuto, Azure assegna il computer stato offline, che si riflette nel portale entro 15 a 30 minuti. Quando Azure riceve un messaggio di heartbeat successivo dall'agente Connected Machine, il relativo stato cambia automaticamente in Connected.

In Azure sono disponibili diverse opzioni per connettere i computer Windows e Linux, tra cui:

  • Installare manualmente: è possibile abilitare i server abilitati per Azure Arc per uno o più computer Windows o Linux nell'ambiente usando Windows Admin Center o eseguendo manualmente un set di passaggi.
  • Eseguire l'installazione usando uno script: è possibile eseguire l'installazione automatica dell'agente eseguendo uno script modello scaricato dal portale di Azure.
  • Connettere i computer su larga scala usando un'entità servizio: per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite l'automazione esistente delle organizzazioni.
  • Eseguire l'installazione con Windows PowerShell DSC.

Per una documentazione completa sulle varie opzioni di distribuzione disponibili, vedere le opzioni di distribuzione dell'agente Di Azure Connected Machine.

Abilitare la configurazione guest di Criteri di Azure

I server abilitati per Azure Arc supportano Criteri di Azure a livello di gestione delle risorse di Azure e anche all'interno del singolo computer server usando i criteri di configurazione guest. La configurazione guest di Criteri di Azure può controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione in Azure che nei server abilitati per Azure Arc. È ad esempio possibile controllare impostazioni quali:

  • Configurazione del sistema operativo
  • Configurazione o presenza di applicazioni
  • Impostazioni dell'ambiente

Esistono alcune definizioni predefinite di Criteri di Azure per Azure Arc. Questi criteri forniscono controllo e impostazioni di configurazione per computer basati su Windows e Linux.

Abilitare Gestione aggiornamenti di Azure e il rilevamento delle modifiche

È importante adottare un processo di gestione degli aggiornamenti per i server abilitati per Azure Arc abilitando i componenti seguenti:

  • Usare di Azure Update Manager per gestire, valutare e gestire l'installazione degli aggiornamenti di Windows e Linux in tutti i server.
  • Usare rilevamento delle modifiche e di inventario per i server abilitati per Azure Arc per:
    • Determinare il software installato nell'ambiente.
    • Raccogliere e osservare l'inventario per software, file, daemon Linux, servizi di Windows e chiavi del Registro di sistema di Windows.
    • Tenere traccia delle configurazioni dei computer per individuare i problemi operativi nell'ambiente e comprendere meglio lo stato dei computer.

Monitorare i server con abilitazione di Azure Arc

Usare Monitoraggio di Azure per monitorare le macchine virtuali, i set di scalabilità di macchine virtuali di Azure e le macchine virtuali di Azure Arc su larga scala. Usare Monitoraggio di Azure per:

  • Analizzare le prestazioni e l'integrità delle macchine virtuali Windows e Linux.
  • Monitorare i processi e le dipendenze delle macchine virtuali da altre risorse e processi esterni.
  • Monitorare le prestazioni e le dipendenze dell'applicazione per le macchine virtuali ospitate in locale o in un altro provider di servizi cloud.

L'agente di Monitoraggio di Azure deve essere distribuito automaticamente nei server Windows e Linux abilitati per Azure Arc tramite Criteri di Azure. Esaminare e comprendere come funziona l'agente di Monitoraggio di Azure e raccoglie i dati prima della distribuzione.

Progettare e pianificare la distribuzione dell'area di lavoro Log di Monitoraggio di Azure. L'area di lavoro è il contenitore in cui vengono raccolti, aggregati e analizzati i dati. Un'area di lavoro Log di Monitoraggio di Azure rappresenta una posizione geografica dei dati, dell'isolamento dei dati e dell'ambito per configurazioni come la conservazione dei dati. Usare una singola area di lavoro Log di Monitoraggio di Azure come descritto nelle procedure consigliate per la gestione e il monitoraggio di di Cloud Adoption Framework per Azure.

Mettere in sicurezza i server abilitati peri Azure Arc

Usare il controllo degli accessi in base al ruolo di Azure per controllare e gestire le autorizzazioni per le identità gestite nei server abilitati per Azure Arc e per eseguire verifiche di accesso periodiche per queste identità. Controllare i ruoli utente con privilegi per impedire che le identità gestite dal sistema vengano usate in modo improprio per ottenere l'accesso non autorizzato alle risorse di Azure.

  • Prendere in considerazione l'uso di Azure Key Vault per gestire i certificati nei server abilitati per Azure Arc. È possibile usare l'estensione della macchina virtuale dell'insieme di credenziali delle chiavi per gestire il ciclo di vita del certificato nei computer Windows e Linux.
  • Connettere i server abilitati per Azure Arc a Defender for Cloud. Usare Defender for Cloud per raccogliere le configurazioni e i log eventi correlati alla sicurezza necessari per consigliare azioni e migliorare il comportamento di sicurezza generale di Azure.
  • Connettere i server abilitati per Azure Arc a Microsoft Sentinel. Usare Microsoft Sentinel per raccogliere eventi correlati alla sicurezza e correlarli con altre origini dati.

Convalidare la topologia di rete

L'agente Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. L'agente Connected Machine può connettersi al piano di controllo di Azure usando i metodi seguenti:

  • Connessione diretta agli endpoint pubblici di Azure, facoltativamente da dietro un firewall o un server proxy.
  • Collegamento privato di Azure che usa un modello di ambito di collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.

Consultare Topologia di rete e connettività per i server abilitati per Azure Arc per indicazioni complete sulla rete per l'implementazione dei server abilitati per Azure Arc.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni assunti dai clienti. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'affidabilità.

  • Nella maggior parte dei casi, la posizione selezionata durante la creazione dello script di installazione deve essere l'area di Azure geograficamente più vicina alla posizione del computer. Il resto dei dati viene archiviato all'interno dell'area geografica di Azure contenente l'area specificata, che può influire anche sulla scelta dell'area se si hanno requisiti di residenza dei dati. Se un'interruzione influisce sull'area di Azure a cui è connesso il computer, l'interruzione non influisce sul server abilitato per Azure Arc. Tuttavia, le operazioni di gestione che usano Azure potrebbero non essere disponibili.
  • Se l'agente del computer connesso di Azure smette di inviare heartbeat ad Azure o passa offline, non è possibile eseguire attività operative su di esso. È quindi necessario sviluppare un piano per le notifiche e le risposte.
  • Impostare le notifiche integrità risorsa per venire avvisati quasi in tempo reale quando tali risorse subiscono una modifica al loro stato di integrità. Definire un criterio di monitoraggio e avviso in Criteri di Azure che identifica i server abilitati per Azure Arc non integri.
  • Estendere la soluzione di backup corrente ad Azure o configurare facilmente la replica compatibile con l'applicazione e il backup coerente con l'applicazione che si ridimensiona in base alle esigenze aziendali. L'interfaccia di gestione centralizzata per backup di Azure e azure Site Recovery semplifica la definizione di criteri per proteggere, monitorare e gestire in modo nativo i server Windows e Linux abilitati per Azure Arc.
  • Esaminare le linee guida per la continuità aziendale e il ripristino di emergenza per determinare se i requisiti aziendali sono soddisfatti.
  • Per altre considerazioni sull'affidabilità per la soluzione, vedere Principi di progettazione dell'affidabilità in Well-Architected Framework.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per Security.

  • Il controllo degli accessi in base al ruolo di Azure appropriato deve essere gestito per i server abilitati per Azure Arc. Per eseguire l'onboarding di computer, è necessario essere membri del ruolo Onboarding di computer connessi di Azure. Per leggere, modificare, ripetere l'onboarding ed eliminare un computer, è necessario essere membri del ruolo Amministratore delle risorse dei computer connessi di Azure.
  • Defender for Cloud può monitorare i sistemi locali, le macchine virtuali di Azure e le macchine virtuali ospitate da altri provider di servizi cloud. Abilitare Microsoft Defender per i server per tutte le sottoscrizioni che contengono server abilitati per Azure Arc per il monitoraggio della baseline di sicurezza, la gestione del comportamento di sicurezza e la protezione dalle minacce.
  • Microsoft Sentinel consente di semplificare la raccolta dei dati tra diverse origini, comprese Azure, soluzioni locali e tra cloud usando connettori predefiniti.
  • È possibile usare Criteri di Azure per gestire i criteri di sicurezza nei server abilitati per Azure Arc, inclusa l'implementazione dei criteri di sicurezza in Defender for Cloud. Un criterio di sicurezza definisce la configurazione desiderata dei carichi di lavoro e aiuta a garantire la conformità ai requisiti di sicurezza dell'azienda o delle autorità di regolamentazione. I criteri di Defender for Cloud si basano su iniziative di criteri create in Azure Policy.
  • Per limitare le estensioni che è possibile installare nel server abilitato per Azure Arc, è possibile configurare gli elenchi di estensioni che si desidera consentire e bloccare nel server. Gestione estensioni valuta tutte le richieste di installazione, aggiornamento o aggiornamento delle estensioni rispetto all'elenco di elementi consentiti e blocklist per determinare se l'estensione può essere installata nel server.
  • Collegamento privato di Azure consente di collegare in modo sicuro i servizi PaaS di Azure alla rete virtuale usando endpoint privati. Ciò significa che è possibile connettere i server locali o multi-cloud con Azure Arc e inviare tutto il traffico su una connessione VPN di Azure ExpressRoute o da sito a sito anziché usare le reti pubbliche. Collegamento privato di Azure che usa un modello di ambito di collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.
  • Per una panoramica completa delle funzionalità di sicurezza nei server abilitati per Azure Arc, vedere Panoramica completa delle funzionalità di sicurezza nel server abilitato per Azure Arc.
  • Per altre considerazioni sulla sicurezza per la soluzione, vedere Principi di progettazione della sicurezza in Well-Architected Framework.

Ottimizzazione costi

L'ottimizzazione dei costi consiste nell'esaminare i modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

  • La funzionalità del piano di controllo di Azure Arc viene offerta senza costi aggiuntivi. Ciò include il supporto per l'organizzazione delle risorse tramite i gruppi e i tag di gestione di Azure e il controllo degli accessi tramite il controllo degli accessi in base al ruolo di Azure. I servizi di Azure usati insieme ai server abilitati per Azure Arc comportano costi in base all'utilizzo.
  • Per altre indicazioni sull'ottimizzazione dei costi, vedere Governance dei costi per i server abilitati per Azure Arc.
  • Per altre considerazioni sull'ottimizzazione dei costi per la soluzione, vedere principi di progettazione di Ottimizzazione costi in Well-Architected Framework.
  • Usare il calcolatore dei prezzi di Azure per stimare i costi.
  • Quando si distribuisce l'implementazione di riferimento di Jumpstart ArcBox per professionisti IT per questa architettura, tenere presente che le risorse ArcBox generano addebiti per il consumo di Azure dalle risorse di Azure sottostanti. Queste risorse includono il calcolo principale, l'archiviazione, la rete e i servizi ausiliari.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'eccellenza operativa.

  • Automatizzare la distribuzione dell'ambiente dei server abilitati per Azure Arc. L'implementazione di riferimento di questa architettura è completamente automatizzata usando una combinazione di modelli di Azure Resource Manager, estensioni della macchina virtuale, configurazioni Criteri di Azure e script di PowerShell. È anche possibile riutilizzare questi artefatti per le distribuzioni personalizzate. Per altre informazioni, vedere discipline di Automazione per i server abilitati per Azure Arc.
  • In Azure sono disponibili diverse opzioni per automatizzare l'onboarding dei server abilitati per Azure Arc. Per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite la piattaforma di automazione esistente delle organizzazioni.
  • Le estensioni vm possono essere distribuite nei server abilitati per Azure Arc per semplificare la gestione dei server ibridi durante il ciclo di vita. È consigliabile automatizzare la distribuzione delle estensioni di macchina virtuale tramite Criteri di Azure quando si gestiscono i server su larga scala.
  • Abilitare la gestione delle patch e degli aggiornamenti nei server abilitati per Azure Arc di cui è stato eseguito l'onboarding per semplificare la gestione del ciclo di vita del sistema operativo.
  • Vedere Azure Arc Jumpstart Unified Operations Use Cases per informazioni su altri scenari di eccellenza operativa per i server abilitati per Azure Arc.
  • Per altre considerazioni sull'eccellenza operativa per la soluzione, vedere principi di progettazione dell'eccellenza operativa in Well-Architected Framework.

Efficienza delle prestazioni

L'efficienza delle prestazioni è la capacità del carico di lavoro di soddisfare le esigenze poste dagli utenti in modo efficiente. Per altre informazioni, vedere Elenco di controllo per l'efficienza delle prestazioni.

  • Prima di configurare le macchine virtuali con Azure Arc per server (anteprima), è consigliabile esaminare i limiti della sottoscrizione di Azure Resource Manager e i limiti del gruppo di risorse per pianificare il numero di macchine virtuali da connettere.
  • Un approccio di distribuzione in più fasi, come descritto nella guida alla distribuzione, consente di determinare i requisiti di capacità delle risorse per l'implementazione.
  • Usare Monitoraggio di Azure per raccogliere dati direttamente dai server abilitati per Azure Arc in un'area di lavoro Log di Monitoraggio di Azure per l'analisi dettagliata e la correlazione. Esaminare le opzioni di distribuzione per l'agente di Monitoraggio di Azure.
  • Per altre considerazioni sull'efficienza delle prestazioni per la soluzione, vedere principi di efficienza delle prestazioni in Well-Architected Framework.

Distribuire lo scenario

L'implementazione di riferimento di questa architettura è disponibile nel Jumpstart ArcBox per professionisti IT, incluso come parte del progetto di Jumpstart di Azure Arc. ArcBox è progettato per essere indipendente all'interno di una singola sottoscrizione di Azure e di un gruppo di risorse. ArcBox semplifica l'esperienza pratica di un utente con tutta la tecnologia Azure Arc disponibile senza altro che una sottoscrizione di Azure disponibile.

Per distribuire l'implementazione di riferimento, selezionare Jumpstart ArcBox per professionisti IT e seguire la procedura descritta nel repository GitHub.

Jumpstart ArcBox per professionisti IT

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Esplorare le architetture correlate: