Zarządzanie wystąpieniami systemu Windows Server przy użyciu usługi Azure Arc

  • 12 min

Po dołączeniu systemu Windows Server do usługi Azure Arc możesz użyć platformy Azure do zarządzania i konfigurowania maszyny. Niektóre z dostępnych funkcji opisano w poniższej tabeli.

Opcja

Wyjaśnienie

Omówienie

Umożliwia przejrzenie podstawowych informacji o maszynie wirtualnej, w tym o stanie, lokalizacji, subskrypcji, nazwie komputera, systemie operacyjnym i tagach.

Dziennik aktywności

Umożliwia przejrzenie listy działań wykonywanych na maszynie wirtualnej i przez kogo zostało wykonane zdarzenie.

Kontrola dostępu

Umożliwia przeglądanie i zarządzanie dostępem do zasobów platformy Azure dla użytkowników, grup, jednostek usługi. i tożsamości zarządzane w tym zakresie przez utworzenie przypisań ról.

Tagi

Pary nazw/wartości, które umożliwiają kategoryzowanie zasobów.

Rozszerzenia

Umożliwia dodawanie i usuwanie rozszerzeń dla maszyny wirtualnej.

Zasady

Umożliwia dodawanie, konfigurowanie i usuwanie zasad dla maszyny wirtualnej.

Zarządzanie aktualizacjami

Umożliwia zachowanie spójnej kontroli i zgodności maszyny wirtualnej za pomocą rozwiązania Update Management.

Śledzenie zmian i spis

Umożliwia przeglądanie śledzenia zmian i konfiguracji spisu dla maszyny wirtualnej. Śledzenie zmian i spis pomóc w spójnego kontrolowaniu i zgodności zasobów.

Wyniki analiz

Umożliwia korzystanie z usługi Azure Monitor do przeglądania stanu procesora CPU hosta, dysku i w górę/w dół maszyn wirtualnych usługi Azure Arc.

Dzienniki

Umożliwia uruchamianie zapytań względem dzienników w celu zbierania informacji o maszynie wirtualnej.

Zarządzanie rozszerzeniami

.Rozszerzenia maszyn wirtualnych to małe aplikacje, które zapewniają konfigurację po wdrożeniu i zadania automatyzacji na maszynach wirtualnych platformy Azure. Jeśli na przykład firma Contoso wymaga, aby maszyna wirtualna potrzebowała zainstalowanego nowego oprogramowania lub chciała włączyć ochronę przed oprogramowaniem antywirusowym lub personel IT musi uruchomić skrypt wewnątrz maszyny wirtualnej, może użyć rozszerzenia maszyny wirtualnej. Usługa Azure Arc dla serwerów umożliwia wdrażanie rozszerzeń maszyn wirtualnych platformy Azure na maszynach wirtualnych z systemem Windows i Linux spoza platformy Azure; może to pomóc uprościć zarządzanie tymi komputerami.

Rozszerzenia maszyn wirtualnych można zarządzać za pomocą witryny Azure Portal lub przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell i szablonów usługi Azure Resource Manager. Możesz dodać wymienione i opisane w poniższej tabeli rozszerzenia do maszyny wirtualnej usługi Azure Arc.

Rozszerzenie

Dodatkowe informacje

Microsoft Defender dla Chmury zintegrowany skaner luk w zabezpieczeniach

Qualys.

Rozszerzenie microsoft antimalware

Microsoft.Azure.Security

Rozszerzenie niestandardowego skryptu

Microsoft.Compute.

Agent Log Analytics

Microsoft.EnterpriseCloud.Monitoring

Usługa Azure Monitor dla maszyn wirtualnych

Microsoft.Azure.Monitoring.DependencyAgent

Synchronizacja certyfikatów usługi Azure Key Vault

Microsoft.Azure.Key.Vault

Agent usługi Azure Monitor

Microsoft.Azure.Monitor

Rozszerzenie hybrydowego procesu roboczego elementu Runbook usługi Azure Automation

Microsoft.Compute

Zarządzanie przy użyciu usługi Azure Policy

Azure Policy to usługa, która może pomóc organizacjom w zarządzaniu i ocenie zgodności ze standardami organizacyjnymi środowiska platformy Microsoft Azure. Usługa Azure Policy korzysta z reguł deklaratywnych opartych na właściwościach docelowych typów zasobów platformy Azure. Te reguły tworzą definicje zasad, które administratorzy mogą stosować za pomocą przypisania zasad do zakresu, takiego jak pojedynczy zasób platformy Azure, grupa zasobów, subskrypcja lub grupa zarządzania.

Na przykład w celu uproszczenia zarządzania definicjami zasad firma Contoso może rozważyć połączenie wielu zasad w inicjatywy, a następnie utworzyć kilka przypisań inicjatyw zamiast wielu przypisań zasad.

Funkcje usługi Azure Policy można pogrupować w cztery główne kategorie:

  • Wymuszanie zgodności podczas aprowizacji nowych zasobów platformy Azure
  • Inspekcja zgodności istniejących zasobów platformy Azure
  • Korygowanie niezgodności istniejących zasobów platformy Azure
  • Inspekcja zgodności systemu operacyjnego, konfiguracji aplikacji i ustawień środowiska na maszynach wirtualnych platformy Azure

Napiwek

Ostatnia z tych kategorii jest implementowana przy użyciu klienta konfiguracji gościa usługi Azure Policy, który jest dostępny jako rozszerzenie maszyny wirtualnej platformy Azure. Usługa Azure Arc dla serwerów korzysta z tego samego klienta, aby zapewnić funkcje inspekcji w scenariuszach hybrydowych.

W szczególności firma Contoso może użyć usługi Azure Policy z serwerami z obsługą usługi Arc w celu zaimplementowania następujących reguł:

  • Przypisywanie tagów do maszyn podczas wdrażania do usługi Azure Arc
  • Wdrażanie rozszerzenia usługi Log Analytics na maszynach spoza platformy Azure
  • Identyfikowanie serwerów z obsługą usługi Arc bez włączonej usługi Microsoft Defender

Usługa Azure Arc umożliwia rozszerzenie ładu usługi Azure Policy na serwery i klastry działające w lokalnych centrach danych lub hostowanych przez dostawców usług w chmurze innych firm. Ta funkcja ma zastosowanie do inspekcji zgodności ustawień systemu operacyjnego, aplikacji i środowiska.

Uwaga

Włączenie tej funkcji wymaga zainstalowania agenta usługi Azure Connected Machine na każdym komputerze w zakresie zarządzania.

Po zainstalowaniu agenta wymaga łączności wychodzącej z portem 443 protokołu TCP (Azure Arc over Transmission Control Protocol). W tym momencie każda konfiguracja klienta konfiguracji gościa usługi Azure Policy uwzględniona w przypisanych zasadach lub definicji inicjatywy automatycznie zacznie obowiązywać.

W szczególności firma Contoso może użyć programu [Wersja zapoznawcza] Inspekcja maszyn wirtualnych z systemem Windows, które nie są zgodne z inicjatywą zasad punktu odniesienia zabezpieczeń platformy Azure w celu inspekcji zgodności z punktami odniesienia usługi Azure Security Center. Mają również możliwość ustawienia strefy czasowej na serwerach docelowych przez przypisanie definicji zasad [Wersja zapoznawcza] Konfigurowanie strefy czasowej na maszynach z systemem Windows. Podczas inspekcji komputerów docelowych firma Contoso może przeglądać dzienniki lokalnie lub zdalnie za pośrednictwem polecenia Uruchom maszyny wirtualnej platformy Azure, które jest dostępne w witrynie Azure Portal.

Uwaga

Aby określić, czy określona definicja zasad obsługuje klienta konfiguracji gościa usługi Azure Policy, należy określić, czy zawiera odwołanie do typu zasobu Microsoft.HybridCompute/machines.

Przypisywanie zasad usługi Azure Arc

Aby zarządzać zasadami usługi Azure Arc i przypisywać je dla komputera:

  1. W witrynie Azure Portal przejdź do usługi Azure Arc, a następnie wybierz pozycję Zarządzaj serwerami.

  2. Z listy zwróconych serwerów zarządzanych wybierz odpowiedni serwer, a następnie w okienku nawigacji w obszarze Operacje wybierz pozycję Zasady.

  3. Aby przypisać zasady, na pasku narzędzi wybierz pozycję Przypisz zasady.

  4. Na stronie Przypisywanie zasad wybierz następujące informacje:

    • Zakres i wszelkie wykluczenia z zakresu zasad
    • Definicja zasad
    • Nazwa przypisania
    • Opis.
    • Wymuszanie zasad (włączone lub wyłączone)

    Zrzut ekranu przedstawiający stronę Przypisywanie zasad w witrynie Azure Portal. Administrator wybiera z listy dostępnych zasad.

  5. Wybierz kartę Przeglądanie + tworzenie lub karty Parametry i korygowanie , aby skonfigurować dodatkowe zachowania.

Po przypisaniu zasad na stronie głównej usługi Azure Arc na wybranej maszynie wirtualnej możesz przejrzeć ustawienia zasad.

Zrzut ekranu przedstawiający zastosowane zasady na maszynie wirtualnej. Zastosowano dwie zasady, z których jedna maszyna wirtualna (ContosoVM1) jest zgodna, a druga niezgodna.

Materiały uzupełniające

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami.