Editar

Partilhar via

Gerenciar configurações para servidores habilitados para Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Esta arquitetura de referência ilustra como você pode usar o Azure Arc para gerenciar, governar e proteger servidores em cenários locais, multicloud e de borda. A arquitetura é baseada no Azure Arc Jumpstart no ArcBox for IT Pros implementação. O ArcBox é uma solução que fornece um sandbox fácil de implantar para todas as coisas do Azure Arc. O ArcBox for IT Pros é uma versão do ArcBox destinada a usuários que desejam experimentar os recursos de servidor habilitados para Azure Arc em um ambiente de área restrita.

Arquitetura

Um diagrama de topologia de servidor híbrido do Azure Arc que tem servidores habilitados para Azure Arc conectados ao Azure.

Transfira um ficheiro PowerPoint desta arquitetura.

Componentes

A arquitetura é composta pelos seguintes componentes:

  • Um de grupo de recursos do Azure é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que pretende gerir como um grupo.
  • A pasta de trabalho ArcBox é uma pasta de trabalho do Azure Monitor, que fornece um único painel de vidro para monitorar e gerar relatórios sobre os recursos do ArcBox. A pasta de trabalho atua como uma tela flexível para análise e visualização de dados no portal do Azure, coletando informações de várias fontes de dados do ArcBox e combinando-as em uma experiência interativa integrada.
  • O Azure Monitor permite que você acompanhe o desempenho e os eventos de sistemas em execução no Azure, no local ou em outras nuvens.
  • de configuração de convidado da Política do Azure pode auditar sistemas operacionais e configuração de máquina para máquinas em execução no Azure e servidores habilitados para Azure Arc em execução no local ou em outras nuvens.
  • O Azure Log Analytics é uma ferramenta no portal do Azure para editar e executar consultas de log a partir de dados coletados pelos Logs do Azure Monitor e analisar interativamente seus resultados. Pode utilizar as consultas do Log Analytics para obter registos que correspondam a critérios específicos, identificar tendências, analisar padrões e fornecer várias informações sobre os dados.
  • O Microsoft Defender for Cloud é uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP). O Defender for Cloud encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura geral de segurança do seu ambiente e pode proteger cargas de trabalho em ambientes híbridos e multinuvem contra ameaças em evolução.
  • Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) nativa da nuvem e escalável, e uma solução SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel fornece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Ele também fornece uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.
  • Os servidores habilitados para Azure Arc permitem que você conecte o Azure às suas máquinas Windows e Linux hospedadas fora do Azure em sua rede corporativa. Quando um servidor é conectado ao Azure, ele se torna um servidor habilitado para Azure Arc e é tratado como um recurso no Azure. Cada servidor habilitado para Azure Arc tem uma ID de Recurso, uma identidade de sistema gerenciado e é gerenciado como parte de um grupo de recursos dentro de uma assinatura. Os servidores habilitados para Azure Arc se beneficiam de construções padrão do Azure, como inventário, política, tags e Azure Lighthouse.
  • Hyper-V de virtualização aninhada é usada pelo Jumpstart ArcBox for IT Pros para hospedar máquinas virtuais Windows e Linux Server dentro de uma máquina virtual do Azure. Essa abordagem fornece a mesma experiência que o uso de máquinas físicas do Windows Server, mas sem os requisitos de hardware.
  • de Rede Virtual do Azure fornece uma rede privada que permite que componentes, como máquinas virtuais, dentro do grupo de recursos do Azure se comuniquem.

Detalhes do cenário

Potenciais casos de utilização

Utilizações típicas desta arquitetura:

  • Organize, controle e inventarie grandes grupos de máquinas virtuais (VMs) e servidores em vários ambientes.
  • Aplique os padrões da organização e avalie a conformidade em escala para todos os seus recursos em qualquer lugar com a Política do Azure.
  • Implante facilmente extensões de VM com suporte em servidores habilitados para Azure Arc.
  • Configure e imponha a Política do Azure para VMs e servidores hospedados em vários ambientes.

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Configurar o agente Azure Arc Connected Machine

Você pode conectar qualquer outra máquina física ou virtual executando Windows ou Linux ao Azure Arc. Antes de integrar máquinas, certifique-se de concluir os pré-requisitos do agente de máquina conectada, que inclui registrar os provedores de recursos do Azure para servidores habilitados para Azure Arc. Para usar o Azure Arc para conectar a máquina ao Azure, você precisa instalar o agente do Azure Connected Machine em cada máquina que você planeja conectar usando o Azure Arc. Para obter mais informações, consulte Visão geral do agente de servidores habilitados para Azure Arc.

Depois de configurar o agente de Máquina Conectada, ele envia uma mensagem de pulsação regular para o Azure a cada cinco minutos. Quando a pulsação não é recebida, o Azure atribui à máquina status de Offline, que é refletido no portal dentro de 15 a 30 minutos. Quando o Azure recebe uma mensagem de pulsação subsequente do agente Connected Machine, seu status muda automaticamente para Connected.

Há várias opções disponíveis no Azure para conectar suas máquinas Windows e Linux, incluindo:

  • Instalar manualmente: você pode habilitar servidores habilitados para Azure Arc para uma ou mais máquinas Windows ou Linux em seu ambiente usando o Windows Admin Center ou executando um conjunto de etapas manualmente.
  • Instalar usando um script: você pode executar a instalação automatizada do agente executando um script de modelo baixado do portal do Azure.
  • Conecte máquinas em escala usando uma entidade de serviço: para integrar em escala, use uma entidade de serviço e implante por meio da automação existente de suas organizações.
  • Instale usando o Windows PowerShell DSC.

Consulte as opções de implantação do agente do Azure Connected Machine para obter documentação abrangente sobre as várias opções de implantação disponíveis.

Habilitar a configuração de convidado da Política do Azure

Os servidores habilitados para Azure Arc dão suporte à Política do Azure na camada de gerenciamento de recursos do Azure e também na máquina de servidor individual usando políticas de configuração de convidado. A configuração de convidado da Política do Azure pode auditar as configurações dentro de uma máquina, tanto para máquinas em execução no Azure quanto para servidores habilitados para Azure Arc. Por exemplo, pode auditar definições como:

  • Configuração do sistema operativo
  • Presença ou configuração da aplicação
  • Definições do ambiente

Há várias definições internas da Política do Azure para o Azure Arc. Essas políticas fornecem definições de auditoria e configuração para máquinas baseadas em Windows e Linux.

Habilitar o Azure Update Manager e o controle de alterações

É importante que você adote um processo de gerenciamento de atualizações para servidores habilitados para Azure Arc habilitando os seguintes componentes:

  • Use do Azure Update Manager para gerenciar, avaliar e controlar a instalação de atualizações do Windows e Linux em todos os servidores.
  • Use controle de alterações e de inventário para servidores habilitados para Azure Arc para:
    • Determine qual software está instalado em seu ambiente.
    • Colete e observe o inventário de software, arquivos, daemons Linux, serviços do Windows e chaves do Registro do Windows.
    • Acompanhe as configurações de suas máquinas para identificar problemas operacionais em seu ambiente e entender melhor o estado de suas máquinas.

Monitorar servidores habilitados para Azure Arc

Use o Azure Monitor para monitorar suas VMs, Conjuntos de Escala de Máquina Virtual do Azure e máquinas Azure Arc em escala. Use o Azure Monitor para:

  • Analise o desempenho e a integridade de suas VMs Windows e Linux.
  • Monitore processos de VM e dependências de outros recursos e processos externos.
  • Monitore o desempenho e as dependências de aplicativos para VMs hospedadas no local ou em outro provedor de nuvem.

O agente do Azure Monitor deve ser implantado automaticamente nos servidores Windows e Linux habilitados para Azure Arc, por meio do Azure Policy. Analise e entenda como o agente do Azure Monitor opera e coleta dados antes da implantação.

Projete e planeje a implantação do espaço de trabalho Azure Monitor Logs. O espaço de trabalho é o contêiner onde os dados são coletados, agregados e analisados. Um espaço de trabalho de Logs do Azure Monitor representa uma localização geográfica de seus dados, isolamento de dados e escopo para configurações como retenção de dados. Use um único espaço de trabalho de Logs do Azure Monitor conforme descrito no de práticas recomendadas de gerenciamento e monitoramento do Cloud Adoption Framework for Azure.

Proteger servidores habilitados para Azure Arc

Use o RBAC (controle de acesso baseado em função) do Azure para controlar e gerenciar as permissões para identidades gerenciadas em servidores habilitados para Azure Arc e para executar revisões periódicas de acesso para essas identidades. Controle funções de usuário privilegiadas para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.

Validar topologia de rede

O agente de Máquina Conectada para Linux e Windows comunica a saída com segurança para o Azure Arc pela porta TCP 443. O agente de Máquina Conectada pode se conectar ao plano de controle do Azure usando os seguintes métodos:

  • Conexão direta com pontos de extremidade públicos do Azure, opcionalmente por trás de um firewall ou de um servidor proxy.
  • Azure Private Link usando um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.

Consulte topologia de rede e conectividade para servidores habilitados para Azure Arc para obter orientações de rede abrangentes para sua implementação de servidores habilitados para Azure Arc.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para Confiabilidade.

  • Na maioria dos casos, o local selecionado ao criar o script de instalação deve ser a região do Azure geograficamente mais próxima do local da sua máquina. O restante dos dados é armazenado na geografia do Azure que contém a região especificada, o que também pode afetar sua escolha de região se você tiver requisitos de residência de dados. Se uma interrupção afetar a região do Azure à qual sua máquina está conectada, a interrupção não afetará o servidor habilitado para Azure Arc. No entanto, as operações de gerenciamento usando o Azure podem não estar disponíveis.
  • Se o agente de máquina conectada do Azure parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar tarefas operacionais nele. Assim, você deve desenvolver um plano para notificações e respostas.
  • Configure alertas de integridade de recursos para ser notificado quase em tempo real quando os recursos tiverem uma alteração em seu status de integridade. E defina uma política de monitoramento e alerta na Política do Azure que identifique servidores habilitados para Azure Arc não íntegros.
  • Alargue a sua solução atual de criação de cópias de segurança para o Azure ou configure facilmente a nossa replicação com reconhecimento de aplicações e a nossa cópia de segurança consistente com as aplicações que se dimensionam de acordo com as necessidades do seu negócio. A interface de gerenciamento centralizado para de Backup do Azure e Azure Site Recovery simplifica a definição de políticas para proteger, monitorar e gerenciar nativamente seus servidores Windows e Linux habilitados para Azure Arc.
  • Analise as diretrizes de continuidade de negócios e recuperação de desastres para determinar se os requisitos da sua empresa são atendidos.
  • Para obter outras considerações de confiabilidade para sua solução, consulte Princípios de design de confiabilidade no Well-Architected Framework.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança .

  • O RBAC do Azure apropriado deve ser gerenciado para servidores habilitados para Azure Arc. Para integrar máquinas, você deve ser membro da função de Integração de Máquina Conectada do Azure. Para ler, modificar, integrar novamente e excluir uma máquina, você deve ser membro da função de Administrador de Recursos de Máquina Conectada do Azure.
  • O Defender for Cloud pode monitorar sistemas locais, VMs do Azure e VMs hospedadas por outros provedores de nuvem. Habilite o Microsoft Defender para servidores para todas as assinaturas que contêm servidores habilitados para Azure Arc para monitoramento de linha de base de segurança, gerenciamento de postura de segurança e proteção contra ameaças.
  • O Microsoft Sentinel pode ajudar a simplificar a coleta de dados em diferentes fontes, incluindo o Azure, soluções locais e entre nuvens usando conectores internos.
  • Você pode usar a Política do Azure para gerenciar políticas de segurança em seus servidores habilitados para Azure Arc, incluindo a implementação de políticas de segurança no Defender for Cloud. Uma política de segurança define a configuração desejada de suas cargas de trabalho e ajuda a garantir que você esteja cumprindo os requisitos de segurança de sua empresa ou reguladores. As políticas do Defender for Cloud baseiam-se em iniciativas de política criadas na Política do Azure.
  • Para limitar quais extensões podem ser instaladas em seu servidor habilitado para Azure Arc, você pode configurar as listas de extensões que deseja permitir e bloquear no servidor. O gerenciador de extensões avalia todas as solicitações para instalar, atualizar ou atualizar extensões em relação à lista de permissões e à lista de bloqueio para determinar se a extensão pode ser instalada no servidor.
  • O Azure Private Link permite que você vincule com segurança os serviços PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Você pode conectar seus servidores locais ou multicloud com o Azure Arc e enviar todo o tráfego por uma Rota Expressa do Azure ou conexão VPN site a site em vez de usar redes públicas. Você pode usar um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.
  • Consulte Visão geral da segurança dos servidores habilitados para Azure Arc para obter uma visão geral abrangente dos recursos de segurança no servidor habilitado para Azure Arc.
  • Para obter outras considerações de segurança para sua solução, consulte Princípios de design de segurança no Well-Architected Framework.

Otimização de Custos

A Otimização de Custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de projeto para Otimização de custos.

  • A funcionalidade do plano de controle do Azure Arc é fornecida sem custo extra. Isso inclui suporte para organização de recursos por meio de grupos de gerenciamento e tags do Azure e controle de acesso por meio do Azure RBAC. Os serviços do Azure usados em conjunto com os servidores habilitados para Azure Arc incorrem em custos de acordo com seu uso.
  • Consulte Governança de custos para servidores habilitados para Azure Arc para obter mais diretrizes de otimização de custos do Azure Arc.
  • Para obter outras considerações de otimização de custos para sua solução, consulte princípios de design de otimização de custos no Well-Architected Framework.
  • Utilize a calculadora de preços do Azure para prever os custos.
  • Ao implantar a implementação de referência do Jumpstart ArcBox for IT Pros para essa arquitetura, lembre-se de que os recursos do ArcBox geram cobranças de Consumo do Azure a partir dos recursos subjacentes do Azure. Esses recursos incluem computação central, armazenamento, rede e serviços auxiliares.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de projeto para o Operational Excellence.

  • Automatize a implantação do seu ambiente de servidores habilitados para Azure Arc. A implementação de referência dessa arquitetura é totalmente automatizada usando uma combinação de modelos ARM do Azure, extensões de VM, configurações de Política do Azure e scripts do PowerShell. Você também pode reutilizar esses artefatos para suas próprias implantações. Para obter mais informações, consulte disciplinas de automação para servidores habilitados para Azure Arc.
  • Há várias opções disponíveis no Azure para automatizar a integração de de servidores habilitados para Arco do Azure. Para integrar em escala, use uma entidade de serviço e implante por meio da plataforma de automação existente em suas organizações.
  • As extensões de VM podem ser implantadas em servidores habilitados para Azure Arc para simplificar o gerenciamento de servidores híbridos durante todo o seu ciclo de vida. Considere automatizar a implantação de extensões de VM por meio da Política do Azure ao gerenciar servidores em escala.
  • Habilite o Gerenciamento de patches e atualizações em seus servidores habilitados para Azure Arc integrados para facilitar o gerenciamento do ciclo de vida do sistema operacional.
  • Consulte Casos de Uso de Operações Unificadas do Azure Arc Jumpstart para saber mais sobre cenários adicionais de excelência operacional para servidores habilitados para Azure Arc.
  • Para obter outras considerações de excelência operacional para sua solução, consulte princípios de design de Excelência Operacional no Well-Architected Framework.

Eficiência de desempenho

Eficiência de desempenho é a capacidade de sua carga de trabalho de escalar para atender às demandas colocadas pelos usuários de maneira eficiente. Para obter mais informações, consulte Lista de verificação de revisão de design para Eficiência de desempenho.

  • Antes de configurar suas máquinas com servidores habilitados para Azure Arc, você deve revisar os limites de assinatura do Azure Resource Manager e os limites do grupo de recursos para planejar o número de máquinas a serem conectadas.
  • Uma abordagem de implantação em fases, conforme descrito no guia de implantação, pode ajudá-lo a determinar os requisitos de capacidade de recursos para sua implementação.
  • Use o Azure Monitor para coletar dados diretamente de seus servidores habilitados para Azure Arc em um espaço de trabalho de Logs do Azure Monitor para análise e correlação detalhadas. Analise as opções de implantação para o agente do Azure Monitor.
  • Para obter mais considerações sobre eficiência de desempenho para sua solução, consulte princípios de eficiência de desempenho no Well-Architected Framework.

Implementar este cenário

A implementação de referência dessa arquitetura pode ser encontrada no Jumpstart ArcBox for IT Pros, incluído como parte do projeto Azure Arc Jumpstart. O ArcBox foi projetado para ser independente em uma única assinatura do Azure e grupo de recursos. O ArcBox torna mais fácil para um usuário obter experiência prática com toda a tecnologia Azure Arc disponível com nada mais do que uma assinatura disponível do Azure.

Para implantar a implementação de referência, selecione Jumpstart ArcBox for IT Pros e siga as etapas no repositório GitHub.

Jumpstart ArcBox para profissionais de TI

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Explore arquiteturas relacionadas: