Изменить

Поделиться через

Управление конфигурациями для серверов с поддержкой Azure Arc

Azure Arc
Azure Monitor
Политика Azure
Azure Resource Manager
Виртуальные машины Azure

Эта эталонная архитектура иллюстрирует, как Azure Arc позволяет управлять, управлять и защищать серверы в локальных, многооблачных и пограничных сценариях и основан на реализации Azure Arc Jumpstart ArcBox для ИТ-специалистов . ArcBox — это решение, которое позволяет легко развертывать песочницу для всех вещей Azure Arc. ArcBox для ИТ-специалистов — это версия ArcBox, предназначенная для пользователей, которые хотят использовать возможности серверов с поддержкой Azure Arc в песочнице.

Архитектура

Схема топологии гибридного сервера Azure Arc с серверами с поддержкой Arc, подключенными к Azure.

Скачайте файл PowerPoint этой архитектуры.

Компоненты

Она состоит из следующих компонентов:

  • Группа ресурсов Azure — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно.
  • Книга ArcBox — это книга Azure Monitor, которая предоставляет одну панель стекла для мониторинга и создания отчетов о ресурсах ArcBox. Книга выступает в качестве гибкого холста для анализа данных и визуализации в портал Azure, сбора информации из нескольких источников данных из нескольких источников данных из ArcBox и объединения их в интегрированный интерактивный интерфейс.
  • Azure Monitor позволяет отслеживать производительность и события для систем, работающих в Azure, локально или в других облаках.
  • Политика Azure гостевой конфигурации может проверять операционные системы и конфигурацию компьютера для компьютеров, работающих на серверах с поддержкой Azure и Arc, работающих локально или в других облаках.
  • Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, а также интерактивного анализа их результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.
  • Microsoft Defender для облака — это решение для управления безопасностью в облаке (CSPM) и защиты облачных рабочих нагрузок (CWP). Microsoft Defender для облака находит слабые места в конфигурации облака, помогает укрепить общую безопасность среды и защитить рабочие нагрузки в многооблачных и гибридных средах от изменяющихся угроз.
  • Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования с помощью оркестрации операций защиты (SOAR). Microsoft Sentinel обеспечивает средства для интеллектуальной аналитики безопасности и аналитики угроз по всему предприятию, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы.
  • Серверы с поддержкой Azure Arc позволяют подключать Azure к компьютерам Windows и Linux, размещенным за пределами Azure в корпоративной сети. Когда сервер подключен к Azure, он становится сервером с поддержкой Arc и рассматривается как ресурс в Azure. Каждый сервер с поддержкой Arc имеет идентификатор ресурса, управляемое системное удостоверение и управляется в рамках группы ресурсов в подписке. Серверы с поддержкой Arc получают преимущества стандартных конструкций Azure, таких как инвентаризация, политика, теги и Azure Lighthouse.
  • Вложенная виртуализация Hyper-V используется с помощью Jumpstart ArcBox для ИТ-специалистов для размещения виртуальных машин Windows Server внутри виртуальной машины Azure. Это обеспечивает тот же интерфейс, что и использование физических компьютеров Windows Server, но без требований к оборудованию.
  • Azure виртуальная сеть предоставляет частную сеть, которая позволяет компонентам в группе ресурсов Azure взаимодействовать, например виртуальные машины.

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

  • Упорядочение, управление и инвентаризация больших групп виртуальных машин (виртуальных машин) и серверов в нескольких средах.
  • Применение стандартов организации и оценка соответствия всем ресурсам в любом месте с помощью Политика Azure.
  • Легко развертывать поддерживаемые расширения виртуальных машин на серверах с поддержкой Arc.
  • Настройте и примените Политика Azure для виртуальных машин и серверов, размещенных в нескольких средах.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Настройка агента подключенного компьютера Azure Arc

Вы можете подключить любую другую физическую или виртуальную машину под управлением Windows или Linux к Azure Arc. Перед подключением компьютеров обязательно выполните предварительные требования агента подключенного компьютера, включая регистрацию поставщиков ресурсов Azure для серверов с поддержкой Azure Arc. Чтобы использовать Azure Arc для подключения компьютера к Azure, необходимо установить агент подключенного компьютера Azure на каждом компьютере, который планируется подключить с помощью Azure Arc. Дополнительные сведения см. в разделе "Обзор агента серверов с поддержкой Azure Arc".

После настройки агент подключенного компьютера отправляет регулярное сообщение пульса каждые пять минут в Azure. Если пульс не получен, Azure назначает состояние автономного компьютера, которое отражается на портале в течение 15–30 минут. После получения последующего сообщения пульса от агента подключенного компьютера его состояние автоматически изменится на подключенное.

Существует несколько вариантов подключения компьютеров Windows и Linux в Azure.

  • Ручная установка. Серверы с поддержкой Azure Arc можно включить для одного или нескольких компьютеров Windows или Linux в вашей среде с помощью набора средств Windows Admin Center или вручную.
  • Установка на основе скрипта: вы можете выполнить автоматическую установку агента, выполнив скрипт шаблона, скачанный из портал Azure.
  • Подключите компьютеры в масштабе с помощью субъекта-службы: чтобы подключиться к масштабу, использовать субъект-службу и развертывать с помощью существующей автоматизации организации.
  • Установка с помощью Windows PowerShell DSC

Ознакомьтесь с вариантами развертывания агента подключенной машины Azure для получения исчерпывающей документации по различным вариантам развертывания.

Включение гостевой конфигурации Политика Azure

Серверы с поддержкой Azure Arc поддерживают Политика Azure на уровне управления ресурсами Azure, а также на отдельном компьютере сервера с помощью политик гостевой конфигурации. Политика Azure гостевой конфигурации может выполнять аудит параметров на компьютере как для компьютеров, работающих на серверах с поддержкой Azure, так и на серверах с поддержкой Arc. Например, можно выполнять аудит таких параметров, как:

  • конфигурация операционной системы;
  • конфигурация или наличие приложения;
  • Параметры среды

Существует несколько встроенных определений Политика Azure для Azure Arc. Эти политики предоставляют параметры аудита и конфигурации для компьютеров под управлением Windows и Linux.

Включение Диспетчера обновлений Azure

Диспетчер обновлений. Необходимо внедрить управление обновлениями для серверов с поддержкой Arc. Диспетчер обновлений рекомендуется управлять обновлениями операционной системы и оценивать состояние доступных обновлений на всех компьютерах агента. Диспетчер обновлений также должен использоваться для управления процессом установки необходимых обновлений для серверов.

Отслеживание изменений и инвентаризация. служба автоматизации Azure Отслеживание изменений и инвентаризация для серверов с поддержкой Arc позволяет определить, какое программное обеспечение установлено в вашей среде. Вы можете собирать и наблюдать инвентаризацию программного обеспечения, файлов, управляющей программы Linux, служб Windows и разделов реестра Windows. Отслеживание конфигураций поможет вам локализовать операционные проблемы в любом сегменте среды и получить сведения о текущем состоянии компьютеров.

Мониторинг серверов с поддержкой Azure Arc

Azure Monitor можно использовать для мониторинга виртуальных машин, масштабируемых наборов виртуальных машин и компьютеров Azure Arc в масштабе. Azure Monitor анализирует производительность и работоспособность виртуальных машин Windows и Linux и отслеживает их процессы и зависимости от других ресурсов и внешних процессов. Оно включает поддержку мониторинга производительности и зависимостей приложений для виртуальных машин, размещенных в локальном или другом поставщике облачных служб.

Агенты Azure Monitor должны быть автоматически развернуты на серверах Windows и Linux с поддержкой Azure Arc через Политика Azure. Просмотрите и понять, как агент Log Analytics работает и собирает данные перед развертыванием.

Проектирование и планирование развертывания рабочей области Log Analytics. Он будет контейнером, в котором данные собираются, агрегируются и более поздние анализы. Рабочая область Log Analytics представляет географическое расположение данных, изоляции данных и области конфигураций, таких как хранение данных. Используйте одну рабочую область Azure Monitor Log Analytics, как описано в рекомендациях по управлению и мониторингу Cloud Adoption Framework.

Защита серверов с поддержкой Azure Arc

Используйте Azure RBAC для управления разрешением для управляемых удостоверений серверов с поддержкой Azure Arc и периодических проверок доступа для этих удостоверений. Управляйте привилегированными ролями пользователей, чтобы избежать неправильного использования управляемых системой удостоверений, чтобы получить несанкционированный доступ к ресурсам Azure.

Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Расширение виртуальной машины хранилища ключей позволяет управлять жизненным циклом сертификатов на компьютерах Windows и Linux.

Подключение серверов с поддержкой Azure Arc к Microsoft Defender для облака. Это поможет вам приступить к сбору конфигураций, связанных с безопасностью, и журналов событий, чтобы вы могли рекомендовать действия и улучшить общую систему безопасности Azure.

Подключите серверы с поддержкой Azure Arc к Microsoft Sentinel. С помощью этого решения можно начать сбор событий, связанных с безопасностью, и их сопоставление с другими источниками данных.

Проверка топологии сети

Агент подключенного компьютера для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. Агент подключенного компьютера может подключаться к плоскости управления Azure с помощью следующих методов:

  • Прямое подключение к общедоступным конечным точкам Azure, при необходимости от брандмауэра или прокси-сервера.
  • Приватный канал Azure с помощью модели области Приватный канал, чтобы разрешить нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.

Ознакомьтесь с топологией сети и подключением к серверам с поддержкой Azure Arc, чтобы получить исчерпывающие рекомендации по сети для реализации серверов с поддержкой Arc.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

  • В большинстве случаев расположение, выбранное при создании сценария установки, должно соответствовать региону Azure, географически наиболее близкому к расположению вашего компьютера. Остальные данные будут храниться в географии Azure, которая содержит указанный вами регион, что также может повлиять на выбор региона при наличии требований к местонахождению данных. Если сбой влияет на регион Azure, к которому подключен ваш компьютер, сбой не повлияет на сервер с поддержкой Arc. Однако операции управления с помощью Azure могут быть недоступны.
  • Если у вас несколько расположений, которые предоставляют геоизбыточное обслуживание, лучше всего подключить компьютеры в каждом расположении к другому региону Azure для обеспечения устойчивости в случае регионального сбоя.
  • Если агент подключенного компьютера Azure перестает отправлять пульс в Azure или переходит в автономный режим, вы не сможете выполнять в нем операционные задачи. Поэтому необходимо разработать план уведомлений и ответов.
  • Настройте оповещения о работоспособности ресурсов, чтобы получать уведомления в режиме реального времени, когда ресурсы имеют изменение состояния работоспособности. И определите политику мониторинга и оповещения в Политика Azure, которая определяет неработоспособные серверы с поддержкой Azure Arc.
  • Расширьте текущее решение резервного копирования в Azure или с легкостью настройте репликацию с учетом приложений и резервное копирование, согласованное с приложениями, которое масштабируется в зависимости от ваших бизнес-потребностей. Централизованный интерфейс управления для Azure Backup и Azure Site Recovery упрощает определение политик для защиты, мониторинга и управления серверами Windows и Linux с поддержкой Arc.
  • Просмотрите рекомендации по непрерывности бизнес-процессов и аварийному восстановлению , чтобы определить, выполнены ли ваши корпоративные требования.
  • Другие рекомендации по надежности решения описаны в разделе "Принципы проектирования надежности" в Microsoft Azure Well-Architected Framework.

Безопасность

  • Для серверов с поддержкой Arc следует управлять соответствующим управлением доступом на основе ролей Azure (Azure RBAC). Чтобы подключить компьютеры, необходимо быть членом роли подключения подключенного компьютера Azure. Для чтения, изменения, повторного подключения и удаления компьютера необходимо быть членом роли администратора ресурсов подключенного компьютера Azure.
  • Microsoft Defender для облака может отслеживать локальные системы, виртуальные машины Azure, ресурсы Azure Monitor и даже виртуальные машины, размещенные другими поставщиками облачных служб. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc, для мониторинга базовых показателей безопасности, управления безопасностью и защиты от угроз.
  • Microsoft Sentinel помогает упростить сбор данных в разных источниках, включая Azure, локальные решения и облака, с помощью встроенных соединителей.
  • Вы можете использовать Политика Azure для управления политиками безопасности на серверах с поддержкой Arc, включая реализацию политик безопасности в Microsoft Defender для облака. Политика безопасности определяет нужную конфигурацию рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей компании или регуляторов. политики Defender для облака основаны на инициативах политики, созданных в Политика Azure.
  • Чтобы ограничить, какие расширения можно установить на сервере с поддержкой Arc, можно настроить списки расширений, которые вы хотите разрешить и заблокировать на сервере. Диспетчер расширений оценивает все запросы на установку, обновление или обновление расширений в списке разрешений и блок-списке, чтобы определить, можно ли установить расширение на сервере.
  • Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Вы можете подключить локальные или многооблачные серверы с Помощью Azure Arc и отправить весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей. Модель области Приватный канал позволяет нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.
  • Ознакомьтесь с обзором безопасности серверов с поддержкой Azure Arc, чтобы получить полный обзор функций безопасности на сервере с поддержкой Azure Arc.
  • Другие вопросы безопасности для решения описаны в разделе "Принципы проектирования безопасности" в Microsoft Azure Well-Architected Framework.

Оптимизация затрат

  • Функции плоскости управления Azure Arc предоставляются без дополнительных затрат. Это включает поддержку организации ресурсов с помощью групп управления Azure и тегов, а также контроля доступа с помощью управления доступом на основе ролей Azure (RBAC). Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc, несут расходы в соответствии с их использованием.
  • Обратитесь к управлению затратами для серверов с поддержкой Azure Arc для получения дополнительных рекомендаций по оптимизации затрат Azure Arc.
  • Другие рекомендации по оптимизации затрат для вашего решения описаны в разделе "Принципы оптимизации затрат" в Microsoft Azure Well-Architected Framework.
  • Для оценки затрат используйте калькулятор цен Azure.
  • При развертывании эталонной реализации Jumpstart ArcBox для ИТ-специалистов для этой архитектуры следует учитывать, что ресурсы ArcBox создают расходы на потребление Azure из базовых ресурсов Azure. К этим ресурсам относятся основные вычислительные ресурсы, хранилище, сети и вспомогательные службы.

Эффективность работы

  • Автоматизация развертывания среды серверов с поддержкой Arc. Эталонная реализация этой архитектуры полностью автоматизирована с помощью сочетания шаблонов Azure ARM, расширений виртуальных машин, Политика Azure конфигураций и сценариев PowerShell. Вы также можете повторно использовать эти артефакты для собственных развертываний. Ознакомьтесь с дисциплинами автоматизации для серверов с поддержкой Azure Arc для получения дополнительных рекомендаций по автоматизации серверов с поддержкой Arc в Cloud Adoption Framework (CAF).
  • Существует несколько вариантов, доступных в Azure для автоматизации подключения серверов с поддержкой Arc. Чтобы подключиться к масштабу, используйте субъект-службу и разверните его с помощью существующей платформы автоматизации организации.
  • Расширения виртуальных машин можно развернуть на серверах с поддержкой Arc, чтобы упростить управление гибридными серверами на протяжении всего жизненного цикла. Рассмотрите возможность автоматизации развертывания расширений виртуальных машин с помощью Политика Azure при управлении серверами в большом масштабе.
  • Включите управление исправлениями и обновлениями на подключенных серверах с поддержкой Azure Arc, чтобы упростить управление жизненным циклом ОС.
  • Ознакомьтесь с вариантами использования единой операции Azure Arc, чтобы узнать о дополнительных сценариях повышения эффективности работы для серверов с поддержкой Azure Arc.
  • Другие рекомендации по обеспечению эффективности работы для вашего решения описаны в разделе "Принципы проектирования операционного превосходства" в Microsoft Azure Well-Architected Framework.

Оптимизация производительности

  • Перед настройкой компьютеров с серверами с поддержкой Azure Arc необходимо просмотреть ограничения подписки Azure Resource Manager и ограничения группы ресурсов, чтобы спланировать количество подключенных компьютеров.
  • Поэтапное развертывание, как описано в руководстве по развертыванию, поможет определить требования к емкости ресурсов для реализации.
  • Используйте Azure Monitor для сбора данных непосредственно с серверов с поддержкой Azure Arc в рабочую область Log Analytics для подробного анализа и корреляции. Просмотрите параметры развертывания агентов Azure Monitor.
  • Дополнительные рекомендации по эффективности производительности решения описаны в разделе принципов эффективности производительности в Microsoft Azure Well-Architected Framework.

Развертывание этого сценария

Эталонная реализация этой архитектуры можно найти в приложении Jumpstart ArcBox для ИТ-специалистов, включенных в проект Arc Jumpstart . ArcBox предназначен для полного автономного хранения в одной подписке Azure и группе ресурсов. ArcBox упрощает работу пользователя со всеми доступными технологиями Azure Arc с не более чем доступной подпиской Azure.

Чтобы развернуть эталонную реализацию, выполните действия в репозитории GitHub, нажав кнопку Jumpstart ArcBox для ИТ-специалистов ниже.

Переход к ArcBox для ИТ-специалистов

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Сведения о связанных архитектурах: