Bewerken

Delen via

Configuraties beheren voor servers met Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Deze referentiearchitectuur illustreert hoe u Azure Arc kunt gebruiken voor het beheren, beheren en beveiligen van servers in on-premises, multicloud- en edge-scenario's. De architectuur is gebaseerd op de Azure Arc Jumpstart ArcBox voor IT-professionals implementatie. ArcBox is een oplossing die een eenvoudig te implementeren sandbox biedt voor alle dingen van Azure Arc. ArcBox voor IT-professionals is een versie van ArcBox die is bedoeld voor gebruikers die servermogelijkheden met Azure Arc willen ervaren in een sandbox-omgeving.

Architectuur

een hybride Azure Arc-servertopologiediagram met servers met Azure Arc die zijn verbonden met Azure.

Download een PowerPoint-bestand van deze architectuur.

Onderdelen

De architectuur bestaat uit de volgende onderdelen:

  • Een Azure-resourcegroep is een container met gerelateerde resources voor een Azure-oplossing. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren.
  • ArcBox-werkmap is een Azure Monitor-werkmap, die één glasvenster biedt voor het bewaken en rapporteren van ArcBox-resources. De werkmap fungeert als een flexibel canvas voor gegevensanalyse en visualisatie in Azure Portal, waarbij informatie uit verschillende gegevensbronnen uit ArcBox wordt verzameld en gecombineerd tot een geïntegreerde interactieve ervaring.
  • Met Azure Monitor kunt u prestaties en gebeurtenissen bijhouden voor systemen die worden uitgevoerd in Azure, on-premises of in andere clouds.
  • Azure Policy-gastconfiguratie kan besturingssystemen en machineconfiguratie controleren voor computers die worden uitgevoerd in Azure en servers met Azure Arc die on-premises of in andere clouds worden uitgevoerd.
  • Azure Log Analytics is een hulpprogramma in Azure Portal om logboekquery's te bewerken en uit te voeren op basis van gegevens die zijn verzameld door Azure Monitor-logboeken en hun resultaten interactief te analyseren. U kunt Log Analytics-query's gebruiken om records op te halen die overeenkomen met bepaalde criteria, trends te identificeren, patronen te analyseren en diverse inzichten in uw gegevens te bieden.
  • Microsoft Defender voor Cloud is een oplossing voor cloudbeveiligingspostuurbeheer (CSPM) en cloudworkloadbeveiliging (CWP). Defender for Cloud vindt zwakke plekken in uw cloudconfiguratie, helpt de algehele beveiligingspostuur van uw omgeving te versterken en kan workloads in meerdere clouds en hybride omgevingen beschermen tegen veranderende bedreigingen.
  • Microsoft Sentinel- is een schaalbare, cloudeigen SIEM-oplossing (Security Information and Event Management) en SOAR-oplossing (Security Orchestration, Automation and Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Het biedt ook één oplossing voor aanvalsdetectie, bedreigingszichtbaarheid, proactieve opsporing en reactie op bedreigingen.
  • Met Servers met Azure Arc kunt u Azure verbinden met uw Windows- en Linux-machines die buiten Azure in uw bedrijfsnetwerk worden gehost. Wanneer een server is verbonden met Azure, wordt deze een server met Azure Arc en wordt deze beschouwd als een resource in Azure. Elke server met Azure Arc heeft een resource-id, een beheerde systeemidentiteit en wordt beheerd als onderdeel van een resourcegroep binnen een abonnement. Servers met Azure Arc profiteren van standaard Azure-constructies, zoals inventaris, beleid, tags en Azure Lighthouse.
  • Hyper-V geneste virtualisatie wordt gebruikt door Jumpstart ArcBox voor IT-professionals om virtuele Windows- en Linux Server-machines binnen een virtuele Azure-machine te hosten. Deze benadering biedt dezelfde ervaring als het gebruik van fysieke Windows Server-machines, maar zonder de hardwarevereisten.
  • Azure Virtual Network biedt een privénetwerk waarmee onderdelen, zoals virtuele machines, binnen de Azure-resourcegroep kunnen communiceren.

Scenariodetails

Potentiële gebruikscases

Deze architectuur wordt doorgaans gebruikt voor:

  • Organiseer, beheer en inventariseer grote groepen virtuele machines (VM's) en servers in meerdere omgevingen.
  • Organisatiestandaarden afdwingen en naleving op schaal beoordelen voor al uw resources overal met Azure Policy.
  • Implementeer eenvoudig ondersteunde VM-extensies op servers met Azure Arc.
  • Configureer en dwing Azure Policy af voor VM's en servers die worden gehost in meerdere omgevingen.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Azure Arc Connected Machine-agent configureren

U kunt elke andere fysieke of virtuele machine met Windows of Linux verbinden met Azure Arc. Voordat u machines onboardt, moet u de vereisten voor de Connected Machine Agent voltooien , waaronder het registreren van de Azure-resourceproviders voor servers met Azure Arc. Als u Azure Arc wilt gebruiken om de machine te verbinden met Azure, moet u de Azure Connected Machine-agent installeren op elke computer die u wilt verbinden met behulp van Azure Arc. Zie Overzicht van de serversagent met Azure Arc voor meer informatie.

Nadat u de Connected Machine-agent hebt geconfigureerd, wordt elke vijf minuten een regelmatig heartbeat-bericht naar Azure verzonden. Wanneer de heartbeat niet wordt ontvangen, wijst Azure de machine toe offline status, die binnen 15 tot 30 minuten in de portal wordt weergegeven. Wanneer Azure een volgende heartbeat-bericht ontvangt van de Connected Machine-agent, wordt de status automatisch gewijzigd in Connected.

Er zijn verschillende opties beschikbaar in Azure om verbinding te maken met uw Windows- en Linux-machines, waaronder:

  • Handmatig installeren: U kunt servers met Azure Arc inschakelen voor een of meer Windows- of Linux-machines in uw omgeving met behulp van het Windows-beheercentrum of door handmatig een reeks stappen uit te voeren.
  • Installeren met behulp van een script: u kunt geautomatiseerde agentinstallatie uitvoeren door een sjabloonscript uit te voeren dat u downloadt vanuit Azure Portal.
  • Verbind machines op schaal met behulp van een service-principal: als u op schaal wilt onboarden, gebruikt u een service-principal en implementeert u deze via bestaande automatisering van uw organisatie.
  • Installeren met Windows PowerShell DSC.

Raadpleeg de implementatieopties voor de Azure Connected Machine-agent voor uitgebreide documentatie over de verschillende beschikbare implementatieopties.

Gastconfiguratie van Azure Policy inschakelen

Servers met Azure Arc ondersteunen Azure Policy op de Azure-laag voor resourcebeheer, en ook binnen de afzonderlijke servercomputer met behulp van gastconfiguratiebeleid. Gastconfiguratie van Azure Policy kan instellingen op een computer controleren, zowel voor machines die worden uitgevoerd in Azure- als servers met Azure Arc. U kunt bijvoorbeeld instellingen controleren, zoals:

  • Configuratie van besturingssysteem
  • Configuratie of aanwezigheid van toepassingen
  • Omgevingsinstellingen

Er zijn verschillende ingebouwde Azure Policy-definities voor Azure Arc. Deze beleidsregels bieden controle- en configuratie-instellingen voor zowel Windows- als Linux-computers.

Azure Update Manager en wijzigingen bijhouden inschakelen

Het is belangrijk dat u een updatebeheerproces voor servers met Azure Arc inschakelt door de volgende onderdelen in te schakelen:

  • Gebruik Azure Update Manager- voor het beheren, evalueren en beheren van de installatie van Windows- en Linux-updates op alle servers.
  • Gebruik wijzigingen bijhouden en inventaris voor servers met Azure Arc om het volgende te doen:
    • Bepaal welke software in uw omgeving is geïnstalleerd.
    • Verzamel en bekijk inventaris voor software, bestanden, Linux-daemons, Windows-services en Windows-registersleutels.
    • Houd de configuraties van uw machines bij om operationele problemen in uw omgeving vast te stellen en de status van uw machines beter te begrijpen.

Servers met Azure Arc bewaken

Gebruik Azure Monitor om uw VM's, Virtuele-machineschaalsets en Azure Arc-machines op schaal te bewaken. Azure Monitor gebruiken om het volgende te doen:

  • Analyseer de prestaties en status van uw Windows- en Linux-VM's.
  • Bewaak VM-processen en -afhankelijkheden van andere resources en externe processen.
  • Bewaak prestatie- en toepassingsafhankelijkheden voor VM's die on-premises of in een andere cloudprovider worden gehost.

De Azure Monitor-agent moet automatisch worden geïmplementeerd op Windows- en Linux-servers met Azure Arc, via Azure Policy-. Bekijk en begrijp hoe de Azure Monitor-agent werkt en verzamelt gegevens vóór de implementatie.

Ontwerp en plan de implementatie van uw Azure Monitor Logs-werkruimte. De werkruimte is de container waarin gegevens worden verzameld, samengevoegd en geanalyseerd. Een Werkruimte voor Azure Monitor-logboeken vertegenwoordigt een geografische locatie van uw gegevens, gegevensisolatie en bereik voor configuraties zoals gegevensretentie. Gebruik één Werkruimte voor Azure Monitor-logboeken, zoals beschreven in de best practices voor beheer en bewaking van Cloud Adoption Framework voor Azure.

Servers met Azure Arc beveiligen

Gebruik op rollen gebaseerd toegangsbeheer (RBAC) van Azure om de machtigingen voor beheerde identiteiten op servers met Azure Arc te beheren en om periodieke toegangsbeoordelingen voor deze identiteiten uit te voeren. Beheer bevoorrechte gebruikersrollen om te voorkomen dat door het systeem beheerde identiteiten worden misbruikt om onbevoegde toegang te krijgen tot Azure-resources.

Netwerktopologie valideren

De Connected Machine-agent voor Linux en Windows communiceert veilig met Azure Arc via TCP-poort 443. De Connected Machine-agent kan verbinding maken met het Azure-besturingsvlak met behulp van de volgende methoden:

Raadpleeg Netwerktopologie en -connectiviteit voor servers met Azure Arc voor uitgebreide netwerkrichtlijnen voor de implementatie van servers met Azure Arc.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.

  • In de meeste gevallen moet de locatie die u selecteert bij het maken van het installatiescript de Azure-regio zijn die geografisch het dichtst bij de locatie van uw machine ligt. De rest van de gegevens wordt opgeslagen in de Azure-geografie met de regio die u opgeeft, wat ook van invloed kan zijn op uw keuze van de regio als u vereisten voor gegevenslocatie hebt. Als een storing van invloed is op de Azure-regio waarmee uw machine is verbonden, heeft de storing geen invloed op de server met Azure Arc. Beheerbewerkingen die gebruikmaken van Azure, zijn mogelijk niet beschikbaar.
  • Als de met Azure verbonden machineagent geen heartbeats meer naar Azure verzendt of offline gaat, kunt u er geen operationele taken op uitvoeren. U moet dus een plan voor meldingen en antwoorden ontwikkelen.
  • Stel resourcestatuswaarschuwingen in om in bijna realtime een melding te ontvangen wanneer resources een wijziging in hun status hebben. En definieer een bewakings- en waarschuwingsbeleid in Azure Policy dat beschadigde Servers met Azure Arc identificeert.
  • Breid uw huidige back-upoplossing uit naar Azure of configureer eenvoudig onze replicatie-oplossing die rekening houdt met toepassingen en waarvan de schaal kan worden aangepast op basis van uw zakelijke behoeften. De gecentraliseerde beheerinterface voor Azure Backup- en Azure Site Recovery- maakt het eenvoudig om beleid te definiëren voor het systeemeigen beveiligen, bewaken en beheren van uw Windows- en Linux-servers met Azure Arc.
  • Bekijk de richtlijnen voor bedrijfscontinuïteit en herstel na noodgevallen om te bepalen of aan uw bedrijfsvereisten wordt voldaan.
  • Zie ontwerpprincipes voor betrouwbaarheid in het Well-Architected Framework voor andere betrouwbaarheidsoverwegingen voor uw oplossing.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.

  • De juiste Azure RBAC moet worden beheerd voor servers met Azure Arc. Als u machines wilt onboarden, moet u lid zijn van de azure Connected Machine Onboarding-rol . Als u een machine wilt lezen, wijzigen, opnieuw onboarden en verwijderen, moet u lid zijn van de rol Azure Connected Machine Resource Administrator .
  • Defender for Cloud kan on-premises systemen, Azure-VM's en VM's bewaken die worden gehost door andere cloudproviders. Schakel Microsoft Defender voor servers in voor alle abonnementen die servers met Azure Arc bevatten voor bewaking van beveiligingsbasislijnen, beveiligingspostuurbeheer en bedreigingsbeveiliging.
  • Microsoft Sentinel kan het verzamelen van gegevens in verschillende bronnen vereenvoudigen, waaronder Azure, on-premises oplossingen en clouds met behulp van ingebouwde connectors.
  • U kunt Azure Policy gebruiken om beveiligingsbeleid te beheren op uw servers met Azure Arc, waaronder het implementeren van beveiligingsbeleid in Defender for Cloud. Een beveiligingsbeleid definieert de gewenste configuratie van uw workloads en zorgt ervoor dat u voldoet aan de beveiligingsvereisten van uw bedrijf of regelgevers. Defender voor Cloud beleidsregels zijn gebaseerd op beleidsinitiatieven die zijn gemaakt in Azure Policy.
  • Als u wilt beperken welke extensies kunnen worden geïnstalleerd op uw Server met Azure Arc, kunt u de lijsten met extensies configureren die u wilt toestaan en blokkeren op de server. De extensiebeheerder evalueert alle aanvragen voor het installeren, bijwerken of upgraden van extensies op basis van de acceptatielijst en de blokkeringslijst om te bepalen of de extensie op de server kan worden geïnstalleerd.
  • Met Azure Private Link kunt u Azure PaaS-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. U kunt uw on-premises of multicloudservers verbinden met Azure Arc en al het verkeer verzenden via een Azure ExpressRoute- of site-naar-site-VPN-verbinding in plaats van openbare netwerken te gebruiken. U kunt een Private Link Scope-model gebruiken om meerdere servers of computers in staat te stellen met hun Azure Arc-resources te communiceren met behulp van één privé-eindpunt.
  • Raadpleeg het beveiligingsoverzicht van servers met Azure Arc voor een uitgebreid overzicht van de beveiligingsfuncties in azure Arc-server.
  • Zie Beveiligingsontwerpprincipes in het Well-Architected Framework voor andere beveiligingsoverwegingen voor uw oplossing.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.

  • Azure Arc-besturingsvlakfunctionaliteit wordt zonder extra kosten geboden. Dit omvat ondersteuning voor resourceorganisatie via Azure-beheergroepen en -tags en toegangsbeheer via Azure RBAC. Voor Azure-services die worden gebruikt in combinatie met servers met Azure Arc, worden kosten in rekening gebracht op basis van hun gebruik.
  • Zie Kostenbeheer voor servers met Azure Arc voor meer richtlijnen voor kostenoptimalisatie van Azure Arc.
  • Zie ontwerpprincipes voor kostenoptimalisatie in het Well-Architected Framework voor andere overwegingen voor kostenoptimalisatie.
  • Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.
  • Wanneer u de referentie-implementatie van Jumpstart ArcBox voor IT-professionals voor deze architectuur implementeert, moet u er rekening mee houden dat ArcBox-resources azure-verbruikskosten genereren op basis van de onderliggende Azure-resources. Deze resources omvatten kernservices voor rekenkracht, opslag, netwerken en hulpservices.

Operationele uitmuntendheid

Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.

  • Automatiseer de implementatie van uw azure Arc-serversomgeving. De referentie-implementatie van deze architectuur is volledig geautomatiseerd met behulp van een combinatie van Azure ARM-sjablonen, VM-extensies, Azure Policy-configuraties en PowerShell-scripts. U kunt deze artefacten ook opnieuw gebruiken voor uw eigen implementaties. Zie Automation-disciplines voor servers met Azure Arcvoor meer informatie.
  • Er zijn verschillende opties beschikbaar in Azure om de onboarding van servers met Azure Arc te automatiseren. Als u op schaal wilt onboarden, gebruikt u een service-principal en implementeert u deze via het bestaande automatiseringsplatform van uw organisatie.
  • VM-extensies kunnen worden geïmplementeerd op servers met Azure Arc om het beheer van hybride servers gedurende hun levenscyclus te vereenvoudigen. Overweeg om de implementatie van VM-extensies via Azure Policy te automatiseren bij het beheren van servers op schaal.
  • Schakel patch- en updatebeheer in op uw onboardingservers met Azure Arc om het beheer van de levenscyclus van het besturingssysteem te vereenvoudigen.
  • Zie Azure Arc Jumpstart Unified Operations Use Cases voor meer informatie over aanvullende operationele topscenario's voor servers met Azure Arc.
  • Zie Ontwerpprincipes voor operationele uitmuntendheid in het Well-Architected Framework voor andere overwegingen voor operationele uitmuntendheid voor uw oplossing.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid van uw workload om op een efficiënte manier te voldoen aan de eisen die gebruikers eraan stellen. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.

  • Voordat u uw machines configureert met servers met Azure Arc, moet u de limieten van het Azure Resource Manager-abonnement en de resourcegroeplimieten controleren om te plannen hoeveel computers moeten worden verbonden.
  • Een gefaseerde implementatiebenadering, zoals beschreven in de implementatiehandleiding , kan u helpen bij het bepalen van de vereisten voor resourcecapaciteit voor uw implementatie.
  • Gebruik Azure Monitor om gegevens rechtstreeks van uw Servers met Azure Arc te verzamelen in een Werkruimte voor Azure Monitor-logboeken voor gedetailleerde analyse en correlatie. Bekijk de implementatieopties voor de Azure Monitor-agent.
  • Zie Principes voor prestatie-efficiëntie in het Well-Architected Framework voor meer prestatie-efficiëntieoverwegingen voor uw oplossing.

Dit scenario implementeren

De referentie-implementatie van deze architectuur vindt u in de Jumpstart ArcBox voor IT-professionals, opgenomen als onderdeel van het Azure Arc Jumpstart project. ArcBox is ontworpen om zelfstandig te zijn binnen één Azure-abonnement en -resourcegroep. ArcBox maakt het voor een gebruiker eenvoudig om praktische ervaring te krijgen met alle beschikbare Azure Arc-technologie met niets meer dan een beschikbaar Azure-abonnement.

Als u de referentie-implementatie wilt implementeren, selecteert u Jumpstart ArcBox voor IT-professionals en volgt u de stappen in de GitHub-opslagplaats.

Jumpstart ArcBox voor IT-professionals

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Gerelateerde architecturen verkennen: