Zarządzanie konfiguracjami serwerów z obsługą usługi Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Ta architektura referencyjna ilustruje, jak za pomocą usługi Azure Arc zarządzać i zabezpieczać serwery w scenariuszach lokalnych, wielochmurowych i brzegowych oraz zarządzać nimi. Architektura jest oparta na implementacji usługi Azure Arc Jumpstart ArcBox dla informatyków implementacji. ArcBox to rozwiązanie, które zapewnia łatwą do wdrożenia piaskownicę dla wszystkich elementów usługi Azure Arc. ArcBox for IT Pros to wersja rozwiązania ArcBox przeznaczona dla użytkowników, którzy chcą korzystać z możliwości serwera z obsługą usługi Azure Arc w środowisku piaskownicy.

Architektura

diagram topologii serwera hybrydowego usługi Azure Arc, który ma serwery z obsługą usługi Azure Arc połączone z platformą Azure.

Pobierz plik programu PowerPoint tej architektury.

Składniki

Niniejsza architektura zawiera następujące składniki:

  • grupa zasobów platformy Azure to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa.
  • Skoroszyt ArcBox to skoroszyt usługi Azure Monitor, który udostępnia jedno okienko szkła do monitorowania i raportowania zasobów Usługi ArcBox. Skoroszyt działa jako elastyczna kanwa do analizy danych i wizualizacji w witrynie Azure Portal, zbierając informacje z kilku źródeł danych z całego urządzenia ArcBox i łącząc je w zintegrowane interaktywne środowisko.
  • Usługa Azure Monitor umożliwia śledzenie wydajności i zdarzeń dla systemów działających na platformie Azure, lokalnie lub w innych chmurach.
  • konfiguracja gościa usługi Azure Policy może przeprowadzać inspekcję systemów operacyjnych i konfiguracji maszyn zarówno dla maszyn działających na platformie Azure, jak i na serwerach z obsługą usługi Azure Arc działających lokalnie lub w innych chmurach.
  • Azure Log Analytics to narzędzie w witrynie Azure Portal służące do edytowania i uruchamiania zapytań dzienników z danych zebranych przez dzienniki usługi Azure Monitor i interaktywnego analizowania ich wyników. Za pomocą zapytań usługi Log Analytics można pobierać rekordy spełniające określone kryteria, identyfikować trendy, analizować wzorce i udostępniać różne szczegółowe informacje o danych.
  • Microsoft Defender dla Chmury to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP). Usługa Defender for Cloud znajduje słabe punkty w konfiguracji chmury, pomaga zwiększyć ogólny poziom zabezpieczeń środowiska i chronić obciążenia w środowiskach wielochmurowych i hybrydowych przed zmieniającymi się zagrożeniami.
  • microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Zapewnia również pojedyncze rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.
  • Serwery z obsługą usługi Azure Arc umożliwiają łączenie platformy Azure z maszynami z systemem Windows i Linux hostowanymi poza platformą Azure w sieci firmowej. Gdy serwer jest połączony z platformą Azure, staje się serwerem z obsługą usługi Azure Arc i jest traktowany jako zasób na platformie Azure. Każdy serwer z obsługą usługi Azure Arc ma identyfikator zasobu, tożsamość systemu zarządzanego i jest zarządzany jako część grupy zasobów w ramach subskrypcji. Serwery z obsługą usługi Azure Arc korzystają ze standardowych konstrukcji platformy Azure, takich jak spis, zasady, tagi i usługa Azure Lighthouse.
  • Hyper-V zagnieżdżonych wirtualizacji jest używana przez serwer Jumpstart ArcBox for IT Pros do hostowania maszyn wirtualnych z systemem Windows i Linux Server wewnątrz maszyny wirtualnej platformy Azure. Takie podejście zapewnia takie samo środowisko jak korzystanie z fizycznych maszyn z systemem Windows Server, ale bez wymagań sprzętowych.
  • usługa Azure Virtual Network udostępnia sieć prywatną, która umożliwia komunikację składników, takich jak maszyny wirtualne, w grupie zasobów platformy Azure.

Szczegóły scenariusza

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Organizowanie, zarządzanie i tworzenie spisu dużych grup maszyn wirtualnych i serwerów w wielu środowiskach.
  • Wymuszanie standardów organizacji i ocenianie zgodności na dużą skalę dla wszystkich zasobów w dowolnym miejscu za pomocą usługi Azure Policy.
  • Łatwe wdrażanie obsługiwanych rozszerzeń maszyn wirtualnych na serwerach z obsługą usługi Azure Arc.
  • Konfigurowanie i wymuszanie usługi Azure Policy dla maszyn wirtualnych i serwerów hostowanych w wielu środowiskach.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Konfigurowanie agenta połączonej maszyny usługi Azure Arc

Możesz połączyć dowolną inną maszynę fizyczną lub wirtualną z systemem Windows lub Linux z usługą Azure Arc. Przed dołączaniem maszyn upewnij się, że spełniono wymagania wstępne połączonego agenta maszyny, które obejmują rejestrowanie dostawców zasobów platformy Azure dla serwerów z obsługą usługi Azure Arc. Aby połączyć maszynę z platformą Azure za pomocą usługi Azure Arc, musisz zainstalować agenta maszyny połączonej platformy Azure na każdej maszynie, którą planujesz nawiązać połączenie przy użyciu usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie agenta serwerów z obsługą usługi Azure Arc.

Po skonfigurowaniu agenta połączonej maszyny co pięć minut wysyła do platformy Azure zwykły komunikat pulsu. Gdy puls nie zostanie odebrany, platforma Azure przypisuje maszynę stan offline, który jest odzwierciedlany w portalu w ciągu 15 do 30 minut. Gdy platforma Azure otrzymuje kolejny komunikat pulsu z agenta połączonej maszyny, jego stan zostanie automatycznie zmieniony na Connected.

Na platformie Azure dostępnych jest kilka opcji łączenia maszyn z systemami Windows i Linux, w tym:

  • Zainstaluj ręcznie: możesz włączyć serwery z obsługą usługi Azure Arc dla co najmniej jednej maszyny z systemem Windows lub Linux w środowisku przy użyciu Centrum administracyjnego systemu Windows lub ręcznie wykonując zestaw kroków.
  • Zainstaluj przy użyciu skryptu: możesz przeprowadzić automatyczną instalację agenta, uruchamiając skrypt szablonu pobrany z witryny Azure Portal.
  • Łączenie maszyn na dużą skalę przy użyciu jednostki usługi: aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejących organizacji automatyzacji.
  • Zainstaluj przy użyciu rozszerzenia DSC programu Windows PowerShell.

Zapoznaj się z opcjami wdrażania agenta połączonej maszyny platformy Azure, aby uzyskać kompleksową dokumentację dotyczącą różnych dostępnych opcji wdrażania.

Włączanie konfiguracji gościa usługi Azure Policy

Serwery z obsługą usługi Azure Arc obsługują usługę Azure Policy w warstwie zarządzania zasobami platformy Azure, a także na poszczególnych maszynach serwerowych przy użyciu zasad konfiguracji gościa. Konfiguracja gościa usługi Azure Policy może przeprowadzać inspekcję ustawień na maszynie, zarówno dla maszyn działających na platformie Azure, jak i na serwerach z obsługą usługi Azure Arc. Na przykład można przeprowadzać inspekcję ustawień, takich jak:

  • Konfiguracja systemu operacyjnego
  • Konfiguracja lub obecność aplikacji
  • Ustawienia środowiska

Istnieje kilka wbudowanych definicji usługi Azure Policy dla usługi Azure Arc. Te zasady zapewniają ustawienia inspekcji i konfiguracji dla maszyn z systemem Windows i Linux.

Włączanie usługi Azure Update Manager i śledzenie zmian

Ważne jest, aby wdrożyć proces zarządzania aktualizacjami dla serwerów z obsługą usługi Azure Arc, włączając następujące składniki:

  • Użyj usługi Azure Update Manager, aby zarządzać, oceniać i zarządzać instalacją aktualizacji systemu Windows i Linux na wszystkich serwerach.
  • Użyj śledzenie zmian i spisu dla serwerów z obsługą usługi Azure Arc, aby:
    • Ustal, jakie oprogramowanie jest zainstalowane w danym środowisku.
    • Zbieraj i obserwuj spis oprogramowania, plików, demonów systemu Linux, usług systemu Windows i kluczy rejestru systemu Windows.
    • Śledź konfiguracje maszyn, aby wskazać problemy operacyjne w środowisku i lepiej zrozumieć stan maszyn.

Monitorowanie serwerów z obsługą usługi Azure Arc

Usługa Azure Monitor umożliwia monitorowanie maszyn wirtualnych, zestawów skalowania maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc na dużą skalę. Użyj usługi Azure Monitor, aby:

  • Przeanalizuj wydajność i kondycję maszyn wirtualnych z systemami Windows i Linux.
  • Monitorowanie procesów maszyn wirtualnych i zależności od innych zasobów i procesów zewnętrznych.
  • Monitorowanie zależności wydajności i aplikacji dla maszyn wirtualnych hostowanych lokalnie lub u innego dostawcy usług w chmurze.

Agent usługi Azure Monitor powinien zostać automatycznie wdrożony na serwerach z systemem Windows i Linux z obsługą usługi Azure Arc za pośrednictwem usługi Azure Policy. Przejrzyj i dowiedz się, jak agent usługi Azure Monitor działa i zbiera dane przed wdrożeniem.

Projektowanie i planowanie wdrożenia obszaru roboczego dzienników usługi Azure Monitor. Obszar roboczy to kontener, w którym dane są zbierane, agregowane i analizowane. Obszar roboczy Dzienniki usługi Azure Monitor reprezentuje lokalizację geograficzną danych, izolację danych oraz zakres konfiguracji, takich jak przechowywanie danych. Użyj jednego obszaru roboczego dzienników usługi Azure Monitor zgodnie z opisem w zarządzania i monitorowania najlepszych rozwiązań przewodnika Cloud Adoption Framework dla platformy Azure.

Zabezpieczanie serwerów z obsługą usługi Azure Arc

Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby kontrolować uprawnienia tożsamości zarządzanych na serwerach z obsługą usługi Azure Arc i zarządzać nimi oraz przeprowadzać okresowe przeglądy dostępu dla tych tożsamości. Kontrolowanie ról uprzywilejowanych użytkowników w celu zapobiegania niewłaściwemu używaniu tożsamości zarządzanych przez system w celu uzyskania nieautoryzowanego dostępu do zasobów platformy Azure.

Weryfikowanie topologii sieci

Agent Connected Machine dla systemów Linux i Windows komunikuje się bezpiecznie z usługą Azure Arc za pośrednictwem portu TCP 443. Agent Connected Machine może nawiązać połączenie z płaszczyzną sterowania platformy Azure przy użyciu następujących metod:

Zapoznaj się z Topologia sieci i łączność serwerów z obsługą usługi Azure Arc, aby uzyskać kompleksowe wskazówki dotyczące sieci dla implementacji serwerów z obsługą usługi Azure Arc.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Design review checklist for Reliability(Lista kontrolna dotycząca niezawodności).

  • W większości przypadków lokalizacja wybrana podczas tworzenia skryptu instalacji powinna być regionem świadczenia usługi Azure znajdującym się geograficznie najbliżej lokalizacji komputera. Pozostałe dane są przechowywane w lokalizacji geograficznej platformy Azure zawierającej określony region, co może również mieć wpływ na wybór regionu, jeśli masz wymagania dotyczące przechowywania danych. Jeśli awaria wpłynie na region świadczenia usługi Azure, z którym jest połączona maszyna, awaria nie ma wpływu na serwer z obsługą usługi Azure Arc. Jednak operacje zarządzania korzystające z platformy Azure mogą nie być dostępne.
  • Jeśli agent połączonej maszyny platformy Azure przestanie wysyłać pulsy do platformy Azure lub przechodzi w tryb offline, nie można wykonywać na nim zadań operacyjnych. Dlatego należy opracować plan powiadomień i odpowiedzi.
  • Skonfiguruj alerty dotyczące kondycji zasobów, aby otrzymywać powiadomienia niemal w czasie rzeczywistym, gdy zasoby mają zmianę stanu kondycji. Zdefiniuj zasady monitorowania i alertów w usłudze Azure Policy , które identyfikują serwery z włączoną usługą Azure Arc w złej kondycji.
  • Rozszerz istniejące rozwiązanie do tworzenia kopii zapasowych na platformę Azure lub łatwo skonfiguruj nasze rozwiązanie do replikacji z uwzględnieniem aplikacji i tworzenia kopii zapasowych spójnych na poziomie aplikacji, które można łatwo skalować odpowiednio do aktualnych potrzeb biznesowych. Scentralizowany interfejs zarządzania dla usługi Azure Backup i azure Site Recovery ułatwia definiowanie zasad w celu natywnej ochrony, monitorowania i zarządzania serwerami z systemem Windows i Linux z obsługą usługi Azure Arc.
  • Zapoznaj się ze wskazówkami dotyczącymi ciągłości działania i odzyskiwania po awarii, aby określić, czy wymagania przedsiębiorstwa są spełnione.
  • Aby zapoznać się z innymi zagadnieniami dotyczącymi niezawodności rozwiązania, zobacz zasady projektowania niezawodności w przewodniku Well-Architected Framework.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.

  • Odpowiednią kontrolę dostępu opartą na rolach platformy Azure należy zarządzać dla serwerów z obsługą usługi Azure Arc. Aby dołączyć maszyny, musisz być członkiem roli dołączania maszyny połączonej platformy Azure. Aby odczytać, zmodyfikować, ponownie dołączyć i usunąć maszynę, musisz być członkiem roli Administratora zasobów połączonej maszyny platformy Azure.
  • Usługa Defender for Cloud może monitorować systemy lokalne, maszyny wirtualne platformy Azure i maszyny wirtualne hostowane przez innych dostawców chmury. Włącz usługę Microsoft Defender dla wszystkich subskrypcji, które zawierają serwery z obsługą usługi Azure Arc na potrzeby monitorowania punktu odniesienia zabezpieczeń, zarządzania stanem zabezpieczeń i ochrony przed zagrożeniami.
  • Usługa Microsoft Sentinel może ułatwić zbieranie danych w różnych źródłach, w tym na platformie Azure, rozwiązaniach lokalnych i w chmurach przy użyciu wbudowanych łączników.
  • Za pomocą usługi Azure Policy można zarządzać zasadami zabezpieczeń na serwerach z obsługą usługi Azure Arc, w tym implementować zasady zabezpieczeń w usłudze Defender for Cloud. Zasady zabezpieczeń definiują żądaną konfigurację obciążeń i pomagają zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych. Defender dla Chmury zasady są oparte na inicjatywach zasad utworzonych w usłudze Azure Policy.
  • Aby ograniczyć, które rozszerzenia można zainstalować na serwerze z obsługą usługi Azure Arc, możesz skonfigurować listy rozszerzeń, które mają być dozwolone i blokowane na serwerze. Menedżer rozszerzeń ocenia wszystkie żądania dotyczące instalowania, aktualizowania lub uaktualniania rozszerzeń względem listy dozwolonych i listy zablokowanych w celu określenia, czy rozszerzenie można zainstalować na serwerze.
  • Usługa Azure Private Link umożliwia bezpieczne łączenie usług PaaS platformy Azure z siecią wirtualną przy użyciu prywatnych punktów końcowych. Serwery lokalne lub wielochmurowe można połączyć za pomocą usługi Azure Arc i wysyłać cały ruch przez usługę Azure ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja zamiast używać sieci publicznych. Możesz użyć modelu zakresu usługi Private Link, aby umożliwić wielu serwerom lub maszynom komunikowanie się z zasobami usługi Azure Arc przy użyciu jednego prywatnego punktu końcowego.
  • Zapoznaj się z omówieniem zabezpieczeń serwerów z obsługą usługi Azure Arc, aby zapoznać się z kompleksowym omówieniem funkcji zabezpieczeń na serwerze z obsługą usługi Azure Arc.
  • Aby zapoznać się z innymi zagadnieniami dotyczącymi zabezpieczeń rozwiązania, zobacz Zasady projektowania zabezpieczeń w przewodniku Well-Architected Framework.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.

  • Funkcje płaszczyzny sterowania usługi Azure Arc są zapewniane bez dodatkowych kosztów. Obejmuje to obsługę organizacji zasobów za pośrednictwem grup zarządzania i tagów platformy Azure oraz kontroli dostępu za pośrednictwem kontroli dostępu opartej na rolach platformy Azure. Usługi platformy Azure używane w połączeniu z serwerami z obsługą usługi Azure Arc generują koszty zgodnie z ich użyciem.
  • Aby uzyskać więcej wskazówek dotyczących optymalizacji kosztów, zobacz Zarządzanie kosztami dla serwerów z obsługą usługi Azure Arc.
  • Aby zapoznać się z innymi zagadnieniami dotyczącymi optymalizacji kosztów dla rozwiązania, zobacz zasady projektowania optymalizacji kosztów w przewodniku Well-Architected Framework.
  • Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.
  • Podczas wdrażania implementacji referencyjnej rozwiązania Jumpstart ArcBox for IT Pros dla tej architektury należy pamiętać, że zasoby ArcBox generują opłaty za użycie platformy Azure na podstawie bazowych zasobów platformy Azure. Te zasoby obejmują podstawowe usługi obliczeniowe, magazynowe, sieciowe i pomocnicze.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.

  • Automatyzacja wdrażania środowiska serwerów z obsługą usługi Azure Arc. Implementacja referencyjna tej architektury jest w pełni zautomatyzowana przy użyciu kombinacji szablonów usługi Azure ARM, rozszerzeń maszyn wirtualnych, konfiguracji usługi Azure Policy i skryptów programu PowerShell. Możesz również ponownie użyć tych artefaktów dla własnych wdrożeń. Aby uzyskać więcej informacji, zobacz Automation dyscypliny dla serwerów z obsługą usługi Azure Arc.
  • Na platformie Azure dostępnych jest kilka opcji automatyzowania dołączania serwerów z obsługą usługi Azure Arc. Aby dołączyć na dużą skalę, użyj jednostki usługi i wdróż za pośrednictwem istniejącej platformy automatyzacji w organizacji.
  • Rozszerzenia maszyn wirtualnych można wdrożyć na serwerach z obsługą usługi Azure Arc, aby uprościć zarządzanie serwerami hybrydowymi w całym cyklu życia. Rozważ zautomatyzowanie wdrażania rozszerzeń maszyn wirtualnych za pośrednictwem usługi Azure Policy podczas zarządzania serwerami na dużą skalę.
  • Włącz zarządzanie poprawkami i aktualizacjami na dołączonych serwerach z obsługą usługi Azure Arc, aby ułatwić zarządzanie cyklem życia systemu operacyjnego.
  • Zobacz Azure Arc Jumpstart Unified Operations Use Cases (Ujednolicone przypadki użycia operacji), aby dowiedzieć się więcej na temat dodatkowych scenariuszy doskonałości operacyjnej dla serwerów z obsługą usługi Azure Arc.
  • Aby zapoznać się z innymi zagadnieniami dotyczącymi doskonałości operacyjnej dla rozwiązania, zobacz zasady projektowania doskonałości operacyjnej w przewodniku Well-Architected Framework.

Wydajność

Wydajność to możliwość skalowania obciążenia w celu spełnienia wymagań, które są na nim nakładane przez użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

  • Przed skonfigurowaniem maszyn przy użyciu serwerów z obsługą usługi Azure Arc zapoznaj się z limitami subskrypcji usługi Azure Resource Manager i limitami grup zasobów, aby zaplanować liczbę maszyn do połączenia.
  • Podejście wdrażania etapowego zgodnie z opisem w przewodniku wdrażania może pomóc w ustaleniu wymagań dotyczących pojemności zasobów dla implementacji.
  • Usługa Azure Monitor umożliwia zbieranie danych bezpośrednio z serwerów z obsługą usługi Azure Arc w obszarze roboczym dzienników usługi Azure Monitor w celu uzyskania szczegółowej analizy i korelacji. Przejrzyj opcje wdrażania dla agenta usługi Azure Monitor.
  • Aby uzyskać więcej zagadnień dotyczących wydajności rozwiązania, zobacz zasady wydajności wydajności w przewodniku Well-Architected Framework.

Wdrażanie tego scenariusza

Implementacja referencyjna tej architektury znajduje się w Jumpstart ArcBox for IT Pros, dołączonej do projektu Azure Arc Jumpstart. Usługa ArcBox została zaprojektowana tak, aby znajdowała się samodzielnie w ramach jednej subskrypcji platformy Azure i grupy zasobów. Aplikacja ArcBox ułatwia użytkownikowi praktyczne korzystanie ze wszystkich dostępnych technologii usługi Azure Arc z niczym więcej niż dostępną subskrypcją platformy Azure.

Aby wdrożyć implementację referencyjną, wybierz pozycję Jumpstart ArcBox for IT Pros i wykonaj kroki opisane w repozytorium GitHub.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Zapoznaj się z powiązanymi architekturami: