Udostępnij za pośrednictwem


Konfigurowanie usług zarządzania serwerami platformy Azure na dużą skalę

Te dwa zadania należy wykonać, aby dołączyć usługi zarządzania serwerami platformy Azure do serwerów:

  • Wdrażanie agentów usług na serwerach.
  • Włącz rozwiązania do zarządzania.

W tym artykule omówiono trzy procesy niezbędne do wykonania tych zadań:

  1. Wdróż wymaganych agentów na maszynach wirtualnych platformy Azure przy użyciu usługi Azure Policy.
  2. Wdróż wymaganych agentów na serwerach lokalnych.
  3. Włączanie i konfigurowanie rozwiązań.

Uwaga

Przed dołączenia maszyn wirtualnych do usług zarządzania serwerami platformy Azure utwórz wymagany obszar roboczy usługi Log Analytics i konto usługi Azure Automation.

Wdrażanie rozszerzeń na maszynach wirtualnych platformy Azure przy użyciu usługi Azure Policy

Wszystkie rozwiązania do zarządzania omówione w narzędziach i usługach zarządzania platformy Azure wymagają zainstalowania agenta usługi Log Analytics na maszynach wirtualnych na platformie Azure, a także na serwerach lokalnych. Maszyny wirtualne platformy Azure można dołączać na dużą skalę przy użyciu usługi Azure Policy. Przypisz zasady, aby upewnić się, że agent jest zainstalowany na maszynach wirtualnych platformy Azure i połączony z poprawnym obszarem roboczym usługi Log Analytics.

Usługa Azure Policy ma wbudowaną inicjatywę zasad, która obejmuje agenta usługi Log Analytics i agenta Microsoft Dependency Agent, który jest wymagany przez Azure Monitor dla maszyn wirtualnych.

Uwaga

Aby uzyskać więcej informacji na temat różnych agentów monitorowania platformy Azure, zobacz Omówienie agentów monitorowania platformy Azure.

Przypisywanie zasad

Aby przypisać zasady opisane w poprzedniej sekcji:

  1. W witrynie Azure Portal przejdź do pozycji Przypisania>zasad>Przypisz inicjatywę.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. Na stronie Przypisywanie zasad ustaw zakres, wybierając wielokropek (...), a następnie wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Następnie wybierz pozycję Wybierz w dolnej części strony Zakres . Zakres określa, do których zasobów lub grupy zasobów przypisano zasady.

  3. Wybierz wielokropek (...) obok pozycji Definicja zasad, aby otworzyć listę dostępnych definicji. Aby filtrować definicje inicjatyw, wprowadź wartość Azure Monitor w polu Wyszukiwania :

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. Nazwa przypisania jest wypełniana automatycznie wybraną nazwą zasad, ale można ją zmienić. Możesz również dodać opcjonalny opis, aby podać więcej informacji na temat tego przypisania zasad. Pole Przypisane przez jest wypełniane automatycznie na podstawie tego, kto jest zalogowany. To pole jest opcjonalne i obsługuje wartości niestandardowe.

  5. W przypadku tych zasad wybierz obszar roboczy usługi Log Analytics, który ma być skojarzony z agentem usługi Log Analytics.

    Screenshot of the Log Analytics workspace option.

  6. Zaznacz pole wyboru Lokalizacja tożsamości zarządzanej. Jeśli te zasady są typu DeployIfNotExists, tożsamość zarządzana będzie wymagana do wdrożenia zasad. W portalu konto zostanie utworzone zgodnie z zaznaczeniem pola wyboru.

  7. Zaznacz Przypisz.

Po zakończeniu pracy kreatora przypisanie zasad zostanie wdrożone w środowisku. Zastosowanie zasad może potrwać do 30 minut. Aby go przetestować, utwórz nowe maszyny wirtualne po 30 minutach i sprawdź, czy agent usługi Log Analytics jest domyślnie włączony na maszynie wirtualnej.

Instalowanie agentów na serwerach lokalnych

Uwaga

Przed dołączenia usług zarządzania serwerami platformy Azure do serwerów utwórz wymagany obszar roboczy usługi Log Analytics i konto usługi Azure Automation.

W przypadku serwerów lokalnych należy ręcznie pobrać i zainstalować agenta usługi Log Analytics oraz agenta Microsoft Dependency Agent i skonfigurować je w celu nawiązania połączenia z odpowiednim obszarem roboczym. Musisz określić identyfikator obszaru roboczego i informacje o kluczu. Aby uzyskać te informacje, przejdź do obszaru roboczego usługi Log Analytics w witrynie Azure Portal, a następnie wybierz pozycję Ustawienia> Zaawansowane ustawienia.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Włączanie i konfigurowanie rozwiązań

Korzystanie z rozwiązań wymaga skonfigurowania obszaru roboczego usługi Log Analytics. Dołączone maszyny wirtualne platformy Azure i serwery lokalne otrzymają rozwiązania z obszarów roboczych usługi Log Analytics, z którymi są połączone.

Zarządzanie aktualizacjami

Rozwiązanie Update Management i rozwiązanie Śledzenie zmian i spis wymagają zarówno obszaru roboczego usługi Log Analytics, jak i konta usługi Azure Automation. Aby upewnić się, że te zasoby są prawidłowo skonfigurowane, zalecamy dołączanie za pośrednictwem konta usługi Automation. Aby uzyskać więcej informacji, zobacz Dołączanie rozwiązania Update Management i rozwiązania Śledzenie zmian i spis.

Zalecamy włączenie rozwiązania Update Management dla wszystkich serwerów. Rozwiązanie Update Management jest bezpłatne dla maszyn wirtualnych platformy Azure i serwerów lokalnych. Jeśli włączysz rozwiązanie Update Management za pośrednictwem konta usługi Automation, w obszarze roboczym zostanie utworzona konfiguracja zakresu. Ręcznie zaktualizuj zakres, aby uwzględnić maszyny objęte rozwiązaniem Update Management.

Aby objąć istniejące serwery, a także przyszłe serwery, należy usunąć konfigurację zakresu. W tym celu wyświetl swoje konto usługi Automation w witrynie Azure Portal. Wybierz pozycję Zarządzanie aktualizacjami Zarządzaj maszyną>>Włącz na wszystkich dostępnych i przyszłych maszynach. To ustawienie umożliwia korzystanie ze wszystkich maszyn wirtualnych platformy Azure połączonych z obszarem roboczym.

Screenshot of Update Management in the Azure portal

rozwiązania Śledzenie zmian i spis

Aby dołączyć rozwiązania Śledzenie zmian i spis, wykonaj te same kroki co w przypadku rozwiązania Update Management. Aby uzyskać więcej informacji na temat dołączania tych rozwiązań z konta usługi Automation, zobacz Dołączanie rozwiązania Update Management i rozwiązania Śledzenie zmian i spis.

Rozwiązanie Śledzenie zmian i spis jest bezpłatne dla maszyn wirtualnych platformy Azure i kosztuje 6 USD miesięcznie dla serwerów lokalnych. Ten koszt obejmuje śledzenie zmian, spis i konfigurację żądanego stanu. Jeśli chcesz zarejestrować tylko określone serwery lokalne, możesz wyrazić zgodę na te serwery. Zalecamy dołączanie wszystkich serwerów produkcyjnych.

Wyrażanie zgody za pośrednictwem witryny Azure Portal

  1. Przejdź do konta usługi Automation z włączoną Śledzenie zmian i spis.
  2. Wybierz pozycję Śledzenie zmian.
  3. Wybierz pozycję Zarządzaj maszynami w prawym górnym okienku.
  4. Wybierz pozycję Włącz na wybranych maszynach. Następnie wybierz pozycję Dodaj obok nazwy maszyny.
  5. Wybierz pozycję Włącz , aby włączyć rozwiązanie dla tych maszyn.

Screenshot of Change Tracking in the Azure portal

Wyrażanie zgody przy użyciu zapisanych wyszukiwań

Alternatywnie można skonfigurować konfigurację zakresu, aby wyrazić zgodę na serwery lokalne. Konfiguracja zakresu używa zapisanych wyszukiwań.

Aby utworzyć lub zmodyfikować zapisane wyszukiwanie, wykonaj następujące kroki:

  1. Przejdź do obszaru roboczego usługi Log Analytics połączonego z kontem usługi Automation skonfigurowanym w poprzednich krokach.

  2. W obszarze Ogólne wybierz pozycję Zapisane wyszukiwania.

  3. W polu Filtr wprowadź Wartość Change Tracking, aby przefiltrować listę zapisanych wyszukiwań. W wynikach wybierz pozycję MicrosoftDefaultComputerGroup.

  4. Wprowadź nazwę komputera lub identyfikator VMUUID, aby uwzględnić komputery, które chcesz wyrazić zgodę na Śledzenie zmian i spis.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Uwaga

Nazwa serwera musi dokładnie odpowiadać wartości w wyrażeniu i nie powinna zawierać sufiksu nazwy domeny.

  1. Wybierz pozycję Zapisz. Domyślnie konfiguracja zakresu jest połączona z zapisanym wyszukiwaniem MicrosoftDefaultComputerGroup . Zostanie on automatycznie zaktualizowany.

Dziennik aktywności platformy Azure

Dziennik aktywności platformy Azure jest również częścią usługi Azure Monitor. Zapewnia wgląd w zdarzenia na poziomie subskrypcji, które występują na platformie Azure.

Aby zaimplementować to rozwiązanie:

  1. W witrynie Azure Portal otwórz pozycję Wszystkie usługi, a następnie wybierz pozycję Zarządzanie i rozwiązania ładu>.
  2. W widoku Rozwiązania wybierz pozycję Dodaj.
  3. Wyszukaj usługę Activity Log Analytics i wybierz ją.
  4. Wybierz pozycję Utwórz.

Musisz określić nazwę obszaru roboczego obszaru roboczego utworzonego w poprzedniej sekcji, w której jest włączone rozwiązanie.

Azure Log Analytics Agent Health

Rozwiązanie Azure Log Analytics Agent Health raportuje kondycję, wydajność i dostępność serwerów z systemami Windows i Linux.

Aby zaimplementować to rozwiązanie:

  1. W witrynie Azure Portal otwórz pozycję Wszystkie usługi, a następnie wybierz pozycję Zarządzanie i rozwiązania ładu>.
  2. W widoku Rozwiązania wybierz pozycję Dodaj.
  3. Wyszukaj kondycję agenta usługi Azure Log Analytics i wybierz ją.
  4. Wybierz pozycję Utwórz.

Musisz określić nazwę obszaru roboczego obszaru roboczego utworzonego w poprzedniej sekcji, w której jest włączone rozwiązanie.

Po zakończeniu tworzenia wystąpienie zasobu obszaru roboczego wyświetla pozycję AgentHealthAssessment po wybraniu pozycji Wyświetl>rozwiązania.

Ocena oprogramowania chroniącego przed złośliwym kodem

Rozwiązanie do oceny oprogramowania chroniącego przed złośliwym kodem ułatwia identyfikowanie serwerów, które są zainfekowane lub narażone na zwiększone ryzyko infekcji przez złośliwe oprogramowanie.

Aby zaimplementować to rozwiązanie:

  1. W witrynie Azure Portal otwórz pozycję Wszystkie usługi, wybierz pozycję Zarządzanie i rozwiązania ładu>.
  2. W widoku Rozwiązania wybierz pozycję Dodaj.
  3. Wyszukaj, a następnie wybierz pozycję Ocena ochrony przed złośliwym kodem.
  4. Wybierz pozycję Utwórz.

Musisz określić nazwę obszaru roboczego obszaru roboczego utworzonego w poprzedniej sekcji, w której jest włączone rozwiązanie.

Po zakończeniu tworzenia wystąpienie zasobu obszaru roboczego wyświetla oprogramowanie chroniące przed złośliwym kodem po wybraniu pozycji Wyświetl>rozwiązania.

Usługa Azure Monitor dla maszyn wirtualnych

Można włączyć Azure Monitor dla maszyn wirtualnych za pośrednictwem strony widoku wystąpienia maszyny wirtualnej, zgodnie z opisem w temacie Włączanie usług zarządzania na jednej maszynie wirtualnej do oceny. Nie należy włączać rozwiązań bezpośrednio ze strony Rozwiązania , tak jak w przypadku innych rozwiązań opisanych w tym artykule. W przypadku wdrożeń na dużą skalę można łatwiej użyć automatyzacji w celu włączenia poprawnych rozwiązań w obszarze roboczym.

Microsoft Defender for Cloud Alert

Zalecamy dodanie wszystkich serwerów co najmniej do warstwy Bezpłatna Microsoft Defender dla Chmury. Ta opcja zapewnia podstawowe oceny zabezpieczeń i zalecenia dotyczące zabezpieczeń z możliwością działania dla danego środowiska. Warstwa Standardowa zapewnia dodatkowe korzyści. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury cennik.

Aby włączyć warstwę Bezpłatna Microsoft Defender dla Chmury, wykonaj następujące kroki:

  1. Przejdź do strony portalu Defender dla Chmury.
  2. W obszarze ZASADY i ZGODNOŚĆ wybierz pozycję Zasady zabezpieczeń.
  3. Znajdź zasób obszaru roboczego usługi Log Analytics utworzony w okienku po prawej stronie.
  4. Wybierz pozycję Edytuj ustawienia dla tego obszaru roboczego.
  5. Wybierz warstwę cenową.
  6. Wybierz opcję Bezpłatna.
  7. Wybierz pozycję Zapisz.

Następne kroki

Dowiedz się, jak używać automatyzacji do dołączania serwerów i tworzenia alertów.