Łączenie maszyn spoza platformy Azure

  • 11 min

Microsoft Defender dla Chmury może monitorować stan zabezpieczeń komputerów spoza platformy Azure, ale najpierw należy połączyć je z platformą Azure.

Komputery spoza platformy Azure można połączyć w dowolny z następujących sposobów:

  • Korzystanie z serwerów z obsługą usługi Azure Arc (zalecane)

  • Na stronach Defender dla Chmury w witrynie Azure Portal (Wprowadzenie i spis)

Dodawanie maszyn spoza platformy Azure za pomocą usługi Azure Arc

Serwery z obsługą usługi Azure Arc to preferowany sposób dodawania maszyn spoza platformy Azure do Defender dla Chmury. Maszyna z serwerami z obsługą usługi Azure Arc staje się zasobem platformy Azure i pojawia się w Defender dla Chmury z zaleceniami, takimi jak inne zasoby platformy Azure. Ponadto serwery z obsługą usługi Azure Arc zapewniają rozszerzone możliwości, takie jak opcja włączenia zasad konfiguracji gościa na maszynie, wdrożenie agenta usługi Log Analytics jako rozszerzenie, uproszczenie wdrażania z innymi usługami platformy Azure i nie tylko.

Co to są serwery z obsługą usługi Azure Arc?

Serwery z obsługą usługi Azure Arc umożliwiają zarządzanie maszynami z systemami Windows i Linux hostowanymi poza platformą Azure w sieci firmowej lub innymi dostawcami usług w chmurze, podobnie jak w przypadku zarządzania natywnymi maszynami wirtualnymi platformy Azure. Gdy maszyna hybrydowa jest połączona z platformą Azure, staje się połączoną maszyną i jest traktowana jako zasób na platformie Azure. Każda połączona maszyna ma identyfikator zasobu, jest uwzględniona w grupie zasobów i korzysta ze standardowych konstrukcji platformy Azure, takich jak usługa Azure Policy i stosowania tagów. Dostawcy usług, którzy zarządzają infrastrukturą lokalną klienta, mogą zarządzać swoimi maszynami hybrydowymi, podobnie jak obecnie w przypadku natywnych zasobów platformy Azure, w wielu środowiskach klientów przy użyciu usługi Azure Lighthouse z usługą Azure Arc.

Aby zapewnić to środowisko pracy z maszynami hybrydowymi hostowanymi poza platformą Azure, na każdej maszynie, którą planujesz nawiązywać połączenie z platformą Azure, należy zainstalować agenta maszyny Połączenie platformy Azure. Ten agent nie dostarcza żadnych innych funkcji i nie zastępuje agenta usługi Azure Log Analytics. Agent usługi Log Analytics dla systemów Windows i Linux jest wymagany, gdy chcesz aktywnie monitorować system operacyjny i obciążenia uruchomione na maszynie. Następnie możesz zarządzać maszynami przy użyciu elementów Runbook usługi Automation, rozwiązań, takich jak Update Management, lub innych usług platformy Azure, takich jak Defender dla Chmury.

Dodawanie maszyn spoza platformy Azure z witryny Azure Portal

Możesz rozpocząć proces dodawania serwera spoza platformy Azure z dwóch różnych lokalizacji w Defender dla Chmury:

  1. W menu Defender dla Chmury otwórz stronę Wprowadzenie.
  2. Wybierz kartę Rozpoczęcie pracy.
  3. Poniżej pozycji Dodaj serwery spoza platformy Azure wybierz pozycję Konfiguruj.
  4. W menu Defender dla Chmury otwórz stronę Spis.
  5. Wybierz przycisk + Dodaj serwery spoza platformy Azure.

Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics. Lista zawiera, jeśli ma to zastosowanie, domyślny obszar roboczy utworzony przez użytkownika przez Defender dla Chmury po włączeniu automatycznej aprowizacji. Wybierz ten obszar roboczy lub inny obszar roboczy, którego chcesz użyć.

Komputery można dodać do istniejącego obszaru roboczego lub utworzyć nowy obszar roboczy. Opcjonalnie, aby utworzyć nowy obszar roboczy, wybierz pozycję Utwórz nowy obszar roboczy.

Z listy obszarów roboczych wybierz pozycję Dodaj serwery dla odpowiedniego obszaru roboczego. Zostanie wyświetlona strona Zarządzanie agentami.

W tym miejscu wybierz odpowiednią procedurę poniżej w zależności od typu dołączanych maszyn:

  • Dołączanie maszyn wirtualnych usługi Azure Stack

  • Dołączanie maszyn z systemem Linux

  • Dołączanie maszyn z systemem Windows

Dołączanie maszyn wirtualnych usługi Azure Stack

Aby dodać maszyny wirtualne usługi Azure Stack, potrzebne są informacje na stronie zarządzania agentami oraz do skonfigurowania rozszerzenia maszyny wirtualnej azure Monitor, aktualizacji i zarządzania konfiguracją na maszynach wirtualnych uruchomionych w usłudze Azure Stack.

  1. Na stronie Zarządzanie agentami skopiuj identyfikator obszaru roboczego i klucz podstawowy do Notatnik.

  2. Zaloguj się do portalu usługi Azure Stack i otwórz stronę Maszyny wirtualne.

  3. Wybierz maszynę wirtualną, którą chcesz chronić za pomocą Defender dla Chmury.

  4. Wybierz pozycję Rozszerzenia. Zostanie wyświetlona lista rozszerzeń maszyn wirtualnych zainstalowanych na tej maszynie wirtualnej.

  5. Wybierz kartę Dodaj . W menu Nowy zasób zostanie wyświetlona lista dostępnych rozszerzeń maszyn wirtualnych.

  6. Wybierz rozszerzenie Azure Monitor, Update and Configuration Management i wybierz pozycję Utwórz. Zostanie otwarta strona Instalowanie konfiguracji rozszerzenia.

  7. Na stronie Instalowanie konfiguracji rozszerzenia wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnik w poprzednim kroku.

  8. Po zakończeniu konfiguracji wybierz przycisk OK. Stan rozszerzenia będzie wyświetlany jako Aprowizacja powiodła się. Wyświetlenie maszyny wirtualnej w Defender dla Chmury może potrwać do jednej godziny.

Dołączanie maszyn z systemem Linux

Aby dodać maszyny z systemem Linux, potrzebne jest polecenie WGET ze strony zarządzania agentami.

  1. Na stronie Zarządzanie agentami skopiuj polecenie WGET do Notatnik. Zapisz ten plik w lokalizacji dostępnej z komputera z systemem Linux.

  2. Na komputerze z systemem Linux otwórz plik za pomocą polecenia WGET. Wybierz całą zawartość i skopiuj ją i wklej do konsoli terminalu.

  3. Po zakończeniu instalacji można sprawdzić, czy agent omsagent jest zainstalowany, uruchamiając polecenie [pgrep]. Polecenie zwróci identyfikator PID omsagent. Dzienniki agenta można znaleźć pod adresem: /var/opt/microsoft/omsagent/workspace id/log/ Może upłynąć do 30 minut, aż nowa maszyna z systemem Linux pojawi się w Defender dla Chmury.

Dołączanie maszyn z systemem Windows

Aby dodać maszyny z systemem Windows, należy przeczytać informacje na stronie zarządzania agentami i pobrać odpowiedni plik agenta (32/64-bitowy).

  1. Wybierz link Pobierz agenta systemu Windows odpowiadający typowi procesora komputera, aby pobrać plik instalacji.

  2. Na stronie Zarządzanie agentami skopiuj identyfikator obszaru roboczego i klucz podstawowy do Notatnik.

  3. Skopiuj pobrany plik instalacyjny na komputer docelowy i uruchom go.

  4. Postępuj zgodnie z instrukcjami kreatora instalacji (Dalej zgadzam się, Dalej, Dalej).

  5. Na stronie Azure Log Analytics wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnik.

  6. Jeśli komputer powinien zgłosić się do obszaru roboczego usługi Log Analytics w chmurze Azure Government, wybierz pozycję Azure US Government z listy rozwijanej Chmura platformy Azure.

  7. Jeśli komputer musi komunikować się za pośrednictwem serwera proxy z usługą Log Analytics, wybierz pozycję Zaawansowane i podaj adres URL i numer portu serwera proxy.

  8. Po wprowadzeniu wszystkich ustawień konfiguracji wybierz pozycję Dalej.

  9. Na stronie Gotowość do zainstalowania przejrzyj ustawienia, które mają zostać zastosowane, a następnie wybierz pozycję Zainstaluj.

  10. Na stronie Konfiguracja zakończona pomyślnie wybierz pozycję Zakończ.

Po zakończeniu agent microsoft Monitoring pojawi się w Panel sterowania. Możesz tam przejrzeć konfigurację i sprawdzić, czy agent został połączony.