Fase 1: Planning van vereisten voor Azure-serverbeheerservices
In deze fase raakt u vertrouwd met de Azure-serverbeheersuite met services en plant u hoe u de resources implementeert die nodig zijn voor het implementeren van deze beheeroplossingen.
Inzicht in de hulpprogramma's en services
Bekijk azure-serverbeheerhulpprogramma's en -services voor een gedetailleerd overzicht van:
- De beheergebieden die betrokken zijn bij lopende Azure-bewerkingen.
- De Azure-services en -hulpprogramma's die u op deze gebieden ondersteunen.
U gebruikt verschillende van deze services samen om te voldoen aan uw beheervereisten. In deze richtlijnen wordt vaak naar deze hulpprogramma's verwezen.
In de volgende secties worden de planning en voorbereiding besproken die nodig zijn voor het gebruik van deze hulpprogramma's en services.
Planning van Log Analytics-werkruimten en Automation-accounts
Veel van de services die u gebruikt voor het onboarden van Azure-beheerservices, vereisen een Log Analytics-werkruimte en een gekoppeld Azure Automation-account.
Een Log Analytics-werkruimte is een unieke omgeving voor het opslaan van logboekgegevens van Azure Monitor. Elke werkruimte heeft een eigen gegevensopslagplaats en configuratie. Gegevensbronnen en oplossingen worden geconfigureerd om hun gegevens in bepaalde werkruimten op te slaan. Controle-oplossingen van Azure werken alleen als alle servers zijn verbonden met een werkruimte, zodat hun logboekgegevens kunnen worden opgeslagen en opgevraagd.
Voor sommige beheerservices is een Azure Automation-account vereist. U gebruikt dit account en de mogelijkheden van Azure Automation om Azure-services en andere openbare systemen te integreren voor het implementeren, configureren en beheren van uw serverbeheerprocessen.
Voor de volgende Azure-serverbeheerservices is een gekoppelde Log Analytics-werkruimte en Automation-account vereist:
De tweede fase van deze richtlijnen is gericht op het implementeren van services en automatiseringsscripts. U ziet hoe u een Log Analytics-werkruimte en een Automation-account maakt. Deze richtlijnen laten ook zien hoe u Azure Policy gebruikt om ervoor te zorgen dat nieuwe virtuele machines zijn verbonden met de juiste werkruimte.
In de voorbeelden in deze richtlijnen wordt ervan uitgegaan dat er geen servers zijn geïmplementeerd in de cloud. Zie Logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie over de principes en overwegingen bij het plannen van uw werkruimten.
Overwegingen bij de planning
Houd rekening met de volgende problemen bij het voorbereiden van de werkruimten en accounts die u nodig hebt voor onboardingbeheerservices:
- Azure-geografische gebieden en naleving van regelgeving: Azure-regio's zijn ingedeeld in geografische gebieden. Een Azure-geografie zorgt ervoor dat de vereisten voor gegevenslocatie, soevereiniteit, naleving en tolerantie binnen geografische grenzen worden nageleefd. Als uw workloads onderhevig zijn aan gegevenssoevereine of andere nalevingsvereisten, moeten werkruimte- en Automation-accounts worden geïmplementeerd in regio's binnen dezelfde Azure-geografie als de workloadresources die ze ondersteunen.
- Aantal werkruimten: maak als leidraad het minimale aantal werkruimten dat per Azure-geografie is vereist. We raden ten minste één werkruimte aan voor elke Azure-geografie waar uw reken- of opslagresources zich bevinden. Deze eerste uitlijning helpt toekomstige problemen met regelgeving te voorkomen wanneer u gegevens naar verschillende geografische gebieden migreert.
- Gegevensretentie en -limieten: mogelijk moet u ook beleid voor gegevensretentie of vereisten voor gegevenslimieten in overweging nemen bij het maken van werkruimten of Automation-accounts. Zie Logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie over deze principes en voor aanvullende overwegingen bij het plannen van uw werkruimten.
- Regiotoewijzing: Het koppelen van een Log Analytics-werkruimte en een Azure Automation-account wordt alleen ondersteund tussen bepaalde Azure-regio's. Als de Log Analytics-werkruimte bijvoorbeeld wordt gehost in de
East USregio, moet het gekoppelde Automation-account worden gemaakt in deEast US 2regio die moet worden gebruikt met beheerservices. Als u een Automation-account hebt dat in een andere regio is gemaakt, kan het geen koppeling maken naar een werkruimte inEast US. De keuze van de implementatieregio kan aanzienlijk van invloed zijn op de geografische vereisten van Azure. Raadpleeg de regiotoewijzingstabel om te bepalen welke regio uw werkruimten en Automation-accounts moet hosten. - Multihoming voor werkruimten: de Azure Log Analytics-agent ondersteunt in sommige scenario's multihoming, maar de agent heeft verschillende beperkingen en uitdagingen bij het uitvoeren van deze configuratie. Tenzij Microsoft het heeft aanbevolen voor uw specifieke scenario, moet u multihoming niet configureren voor de Log Analytics-agent.
Voorbeelden van resourceplaatsing
Er zijn verschillende modellen voor het kiezen van het abonnement waarin u de Log Analytics-werkruimte en het Automation-account plaatst. Plaats kortom de werkruimte- en Automation-accounts in een abonnement dat eigendom is van het team dat verantwoordelijk is voor het implementeren van de Updatebeheer-oplossing en de Wijzigingen bijhouden en inventaris-service.
Hier volgen enkele voorbeelden van enkele manieren om werkruimten en Automation-accounts te implementeren.
Plaatsing per geografie
Kleine en middelgrote omgevingen hebben één abonnement en enkele honderden resources die meerdere Azure-geografische gebieden omvatten. Maak voor deze omgevingen één Log Analytics-werkruimte en één Azure Automation-account in elke geografie.
U kunt in elke resourcegroep een werkruimte en een Azure Automation-account maken als één paar. Implementeer vervolgens het paar in de bijbehorende geografie voor de virtuele machines.
Als uw beleid voor gegevensnaleving niet bepaalt dat resources zich in specifieke regio's bevinden, kunt u ook één paar maken om alle virtuele machines te beheren. U wordt ook aangeraden de werkruimte- en Automation-accountparen in afzonderlijke resourcegroepen te plaatsen om gedetailleerdere op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) te bieden.
Het voorbeeld in het volgende diagram heeft één abonnement met twee resourcegroepen, elk in een andere geografie:
Plaatsing in een beheerabonnement
Grotere omgevingen omvatten meerdere abonnementen en hebben een centraal IT-team dat eigenaar is van bewaking en naleving. Maak voor deze omgevingen paren werkruimten en Automation-accounts in een IT-beheerabonnement. In dit model slaan virtuele-machinebronnen in een geografie hun gegevens op in de bijbehorende geografische werkruimte in het IT-beheerabonnement. Als toepassingsteams automatiseringstaken moeten uitvoeren, maar geen gekoppelde werkruimte- en Automation-accounts nodig hebben, kunnen ze afzonderlijke Automation-accounts maken in hun eigen toepassingsabonnementen.
Gedecentraliseerde plaatsing
In een alternatief model voor grote omgevingen kan het ontwikkelteam van de toepassing verantwoordelijk zijn voor patching en beheer. In dit geval plaatst u de werkruimte- en Automation-accountparen in de abonnementen van het toepassingsteam naast hun andere resources.
Een werkruimte en Automation-account maken
Nadat u de beste manier hebt gekozen om werkruimte- en accountparen te plaatsen en te organiseren, moet u ervoor zorgen dat u deze resources hebt gemaakt voordat u begint met het onboardingproces. De automatiseringsvoorbeelden verderop in deze richtlijnen maken een werkruimte- en Automation-accountpaar voor u. Als u echter wilt onboarden met behulp van Azure Portal en u geen bestaand werkruimte- en Automation-accountpaar hebt, moet u er een maken.
Zie Een werkruimte maken om een Log Analytics-werkruimte te maken met behulp van Azure Portal. Maak vervolgens een overeenkomend Automation-account voor elke werkruimte door de stappen in Een Azure Automation-account maken te volgen.
Volgende stappen
Meer informatie over het onboarden van uw servers naar Azure-serverbeheerservices.