Управление конфигурациями для серверов с поддержкой Azure Arc

В этой эталонной архитектуре показано, как использовать Azure Arc для управления, управления и защиты серверов в локальных, многооблачных и пограничных сценариях. Архитектура основана на реализации azure Arc Jumpstart ArcBox для ИТ-специалистов реализации. ArcBox — это решение, которое позволяет легко развертывать песочницу для всех вещей Azure Arc. ArcBox для ИТ-специалистов — это версия ArcBox, предназначенная для пользователей, которые хотят использовать возможности сервера с поддержкой Azure Arc в песочнице.

Архитектура

Скачайте файл PowerPoint этой архитектуры.

Компоненты

Она состоит из следующих компонентов:

• группа ресурсов Azure — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно.
• Книга ArcBox — это книга Azure Monitor, которая предоставляет одну панель стекла для мониторинга и создания отчетов о ресурсах ArcBox. Книга выступает в качестве гибкого холста для анализа данных и визуализации в портал Azure, сбора информации из нескольких источников данных из нескольких источников данных из ArcBox и объединения их в интегрированный интерактивный интерфейс.
• Azure Monitor позволяет отслеживать производительность и события для систем, работающих в Azure, локально или в других облаках.
• гостевая конфигурация политики Azure может проверять операционные системы и конфигурацию компьютера для компьютеров, работающих на серверах с поддержкой Azure и Azure Arc, работающих локально или в других облаках.
• Log Analytics — это средство на портале Azure для изменения и запуска запросов журнала из данных, собранных журналами Azure Monitor, а также интерактивного анализа их результатов. Запросы Log Analytics можно использовать для извлечения записей, соответствующих определенным условиям, определения тенденций, анализа шаблонов и предоставления разнообразных сведений о данных.
• Microsoft Defender для облака — это решение для управления безопасностью в облаке (CSPM) и защиты облачных рабочих нагрузок (CWP). Defender для облака находит слабые места в конфигурации облака, помогает укрепить общую безопасность среды и защитить рабочие нагрузки в мультиоблачных и гибридных средах от развития угроз.
• Microsoft Sentinel — это масштабируемое решение для управления сведениями и событиями безопасности (SIEM), а также решение для оркестрации, автоматизации и реагирования (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии. Он также предоставляет единое решение для обнаружения атак, видимости угроз, упреждающего поиска и реагирования на угрозы.
• Серверы с поддержкой Azure Arc позволяют подключать Azure к компьютерам Windows и Linux, размещенным за пределами Azure в корпоративной сети. Когда сервер подключен к Azure, он становится сервером с поддержкой Azure Arc и рассматривается как ресурс в Azure. Каждый сервер с поддержкой Azure Arc имеет идентификатор ресурса, управляемое системное удостоверение и управляется в рамках группы ресурсов в подписке. Серверы с поддержкой Azure Arc получают преимущества стандартных конструкций Azure, таких как инвентаризация, политика, теги и Azure Lighthouse.
• Hyper-V вложенной виртуализации используется с помощью Jumpstart ArcBox для ИТ-специалистов для размещения виртуальных машин Windows и Linux Server в виртуальной машине Azure. Этот подход обеспечивает тот же интерфейс, что и использование физических компьютеров Windows Server, но без требований к оборудованию.
• виртуальной сети Azure предоставляет частную сеть, которая позволяет компонентам, таким как виртуальные машины, в группе ресурсов Azure взаимодействовать.

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

• Упорядочение, управление и инвентаризация больших групп виртуальных машин (виртуальных машин) и серверов в нескольких средах.
• Применение стандартов организации и оценка соответствия всем ресурсам в любом месте с помощью Политика Azure.
• Легко развертывать поддерживаемые расширения виртуальных машин на серверах с поддержкой Azure Arc.
• Настройте и примените Политика Azure для виртуальных машин и серверов, размещенных в нескольких средах.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Настройка агента подключенного компьютера Azure Arc

Вы можете подключить любую другую физическую или виртуальную машину под управлением Windows или Linux к Azure Arc. Перед подключением компьютеров обязательно выполните предварительные требования агента подключенного компьютера, включая регистрацию поставщиков ресурсов Azure для серверов с поддержкой Azure Arc. Чтобы использовать Azure Arc для подключения компьютера к Azure, необходимо установить агент подключенного компьютера Azure на каждом компьютере, который планируется подключить с помощью Azure Arc. Дополнительные сведения см. в разделе "Обзор агента серверов с поддержкой Azure Arc".

После настройки агента подключенного компьютера он отправляет регулярное сообщение пульса в Azure каждые пять минут. Если пульс не получен, Azure назначает компьютеру автономный состояние, которое отражается на портале в течение 15–30 минут. Когда Azure получает последующее сообщение пульса от агента подключенного компьютера, его состояние автоматически изменяется на подключенных.

Существует несколько вариантов, доступных в Azure для подключения компьютеров Windows и Linux, в том числе:

• Установите вручную. Вы можете включить серверы с поддержкой Azure Arc для одного или нескольких компьютеров Windows или Linux в вашей среде с помощью Центра администрирования Windows или вручную.
• Установите с помощью скрипта: вы можете выполнить автоматическую установку агента, выполнив скрипт шаблона, скачанный с портала Azure.
• Подключите компьютеры в масштабе с помощью субъекта-службы: для подключения к масштабу и развертывания с помощью существующей автоматизации организации.
• Установите с помощью Windows PowerShell DSC.

Ознакомьтесь с вариантами развертывания агента подключенной машины Azure для получения исчерпывающей документации по различным вариантам развертывания.

Включение гостевой конфигурации Политика Azure

Серверы с поддержкой Azure Arc поддерживают Политика Azure на уровне управления ресурсами Azure, а также на отдельном компьютере сервера с помощью политик гостевой конфигурации. Гостевая конфигурация политики Azure может выполнять аудит параметров на компьютере как для компьютеров, работающих на серверах с поддержкой Azure, так и на серверах с поддержкой Azure Arc. Например, можно выполнять аудит таких параметров, как:

• конфигурация операционной системы;
• конфигурация или наличие приложения;
• Параметры среды

Существует несколько встроенных определений Политика Azure для Azure Arc. Эти политики предоставляют параметры аудита и конфигурации для компьютеров под управлением Windows и Linux.

Включение Диспетчера обновлений Azure и отслеживание изменений

Важно внедрить процесс управления обновлениями для серверов с поддержкой Azure Arc, включив следующие компоненты:

• Используйте Диспетчер обновления Azure для управления, оценки и управления установкой обновлений Windows и Linux на всех серверах.
• Используйте отслеживания изменений и инвентаризации для серверов с поддержкой Azure Arc:
  • Определите, какое программное обеспечение установлено в вашей среде.
  • Сбор и наблюдение за инвентаризацией программного обеспечения, файлов, управляющей программы Linux, служб Windows и разделов реестра Windows.
  • Отслеживайте конфигурации компьютеров, чтобы определить операционные проблемы в среде и лучше понять состояние компьютеров.

Мониторинг серверов с поддержкой Azure Arc

Используйте Azure Monitor для мониторинга виртуальных машин, масштабируемых наборов виртуальных машин Azure и компьютеров Azure Arc в масштабе. Используйте Azure Monitor для:

• Анализ производительности и работоспособности виртуальных машин Windows и Linux.
• Отслеживайте процессы и зависимости виртуальных машин от других ресурсов и внешних процессов.
• Мониторинг зависимостей производительности и приложений для виртуальных машин, размещенных локально или в другом поставщике облачных служб.

Агент Azure Monitor должен быть автоматически развернут на серверах Windows и Linux с поддержкой Azure Arc с помощью политики Azure. Просмотрите и понять, как агент Azure Monitor работает и собирает данные перед развертыванием.

Разработка и планирование развертывания рабочей области Журналов Azure Monitor. Рабочая область — это контейнер, в котором собираются, агрегируются и анализируются данные. Рабочая область журналов Azure Monitor представляет географическое расположение данных, изоляции данных и области конфигураций, таких как хранение данных. Используйте одну рабочую область журналов Azure Monitor, как описано в рекомендациях по управлению и мониторингу Cloud Adoption Framework для Azure.

Защита серверов с поддержкой Azure Arc

Управление доступом на основе ролей Azure (RBAC) позволяет управлять разрешениями для управляемых удостоверений на серверах с поддержкой Azure Arc и выполнять периодические проверки доступа для этих удостоверений. Управляйте привилегированными ролями пользователей, чтобы предотвратить неправильное использование удостоверений, управляемых системой, для получения несанкционированного доступа к ресурсам Azure.

• Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Вы можете использовать расширение виртуальной машины хранилища ключей для управления жизненным циклом сертификатов на компьютерах Windows и Linux.
• Подключение серверов с поддержкой Azure Arc к Defender для Cloud. Используйте Defender для облака для сбора конфигураций и журналов событий, связанных с безопасностью, которые необходимо рекомендовать действия и улучшить общую систему безопасности Azure.
• Подключите серверы с поддержкой Azure Arc к Microsoft Sentinel. Используйте Microsoft Sentinel для сбора событий, связанных с безопасностью, и их корреляции с другими источниками данных.

Проверка топологии сети

Агент подключенного компьютера для Linux и Windows безопасно взаимодействует с Azure Arc через TCP-порт 443. Агент подключенного компьютера может подключаться к плоскости управления Azure с помощью следующих методов:

• Прямое подключение к общедоступным конечным точкам Azure, при необходимости от брандмауэра или прокси-сервера.
• Приватный канал Azure с помощью модели области Приватный канал, чтобы разрешить нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.

Ознакомьтесь с топологией сети и подключением к серверам с поддержкой Azure Arc для получения комплексных рекомендаций по сети для реализации серверов с поддержкой Azure Arc.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в контрольном списке проверки конструктора длянадежности.

• В большинстве случаев расположение, выбранное при создании сценария установки, должно соответствовать региону Azure, географически наиболее близкому к расположению вашего компьютера. Остальные данные хранятся в географической области Azure, содержащей указанный регион, который также может повлиять на выбор региона, если у вас есть требования к месту расположения данных. Если сбой влияет на регион Azure, к которому подключен ваш компьютер, сбой не влияет на сервер с поддержкой Azure Arc. Однако операции управления с помощью Azure могут быть недоступны.
• Если агент подключенного компьютера Azure останавливает отправку пульса в Azure или переходит в автономный режим, вы не сможете выполнять в нем операционные задачи. Таким образом, необходимо разработать план уведомлений и ответов.
• Настройте оповещения о работоспособности ресурсов, чтобы получать уведомления в режиме реального времени, когда ресурсы имеют изменение состояния работоспособности. И определите политику мониторинга и оповещения в Политика Azure, которая определяет неработоспособные серверы с поддержкой Azure Arc.
• Расширьте текущее решение резервного копирования в Azure или с легкостью настройте репликацию с учетом приложений и резервное копирование, согласованное с приложениями, которое масштабируется в зависимости от ваших бизнес-потребностей. Централизованный интерфейс управления для Azure Backup и Azure Site Recovery упрощает определение политик для защиты, мониторинга и управления серверами Windows и Linux с поддержкой Azure Arc.
• Просмотрите рекомендации по непрерывности бизнес-процессов и аварийному восстановлению , чтобы определить, выполнены ли ваши корпоративные требования.
• Дополнительные сведения о надежности решения см. в принципах проектирования надежности в Well-Architected Framework.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в контрольном списке конструктора длябезопасности.

• Для серверов с поддержкой Azure Arc следует управлять соответствующим azure RBAC. Чтобы подключить компьютеры, необходимо быть членом роли подключения подключенного компьютера Azure. Для чтения, изменения, повторного подключения и удаления компьютера необходимо быть членом роли администратора ресурсов подключенного компьютера Azure.
• Defender для облака может отслеживать локальные системы, виртуальные машины Azure и виртуальные машины, размещенные другими поставщиками облачных служб. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc, для мониторинга базовых показателей безопасности, управления безопасностью и защиты от угроз.
• Microsoft Sentinel помогает упростить сбор данных в разных источниках, включая Azure, локальные решения и облака, с помощью встроенных соединителей.
• Политику Azure можно использовать для управления политиками безопасности на серверах с поддержкой Azure Arc, включая реализацию политик безопасности в Defender для облака. Политика безопасности определяет нужную конфигурацию рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей компании или регуляторов. политики Defender для облака основаны на инициативах политики, созданных в Политика Azure.
• Чтобы ограничить, какие расширения можно установить на сервере с поддержкой Azure Arc, можно настроить списки расширений, которые необходимо разрешить и заблокировать на сервере. Диспетчер расширений оценивает все запросы на установку, обновление или обновление расширений в списке разрешений и блок-списке, чтобы определить, можно ли установить расширение на сервере.
• Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Вы можете подключить локальные или многооблачные серверы с Помощью Azure Arc и отправить весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей. Модель области Приватный канал позволяет нескольким серверам или компьютерам взаимодействовать с ресурсами Azure Arc с помощью одной частной конечной точки.
• Ознакомьтесь с обзором безопасности серверов с поддержкой Azure Arc, чтобы получить полный обзор функций безопасности на сервере с поддержкой Azure Arc.
• Дополнительные сведения о безопасности решения см. в принципах проектирования безопасности в Well-Architected Framework.

Оптимизация затрат

Оптимизация затрат заключается в том, чтобы подумать о способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке конструктора дляоптимизации затрат.

• Функции плоскости управления Azure Arc предоставляются без дополнительных затрат. Это включает поддержку организации ресурсов с помощью групп управления Azure и тегов, а также контроля доступа с помощью Azure RBAC. Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc, несут расходы в соответствии с их использованием.
• Дополнительные сведения об оптимизации затрат см. в разделе управление затратами для серверов с поддержкой Azure Arc.
• Другие рекомендации по оптимизации затрат для решения см. в принципах проектирования оптимизации затрат в Well-Architected Framework.
• Для оценки затрат используйте калькулятор цен Azure.
• При развертывании эталонной реализации Jumpstart ArcBox для ИТ-специалистов для этой архитектуры следует учитывать, что ресурсы ArcBox создают расходы на потребление Azure из базовых ресурсов Azure. К этим ресурсам относятся основные вычислительные ресурсы, хранилище, сеть и вспомогательные службы.

Операционное превосходство

Операционное превосходство охватывает процессы, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в контрольном списке проверки конструктора дляоперационного превосходства.

• Автоматизация развертывания среды серверов с поддержкой Azure Arc. Эталонная реализация этой архитектуры полностью автоматизирована с помощью сочетания шаблонов Azure ARM, расширений виртуальных машин, Политика Azure конфигураций и сценариев PowerShell. Вы также можете повторно использовать эти артефакты для собственных развертываний. Дополнительные сведения см. в статье Дисциплины автоматизации для серверов с поддержкой Azure Arc.
• Существует несколько вариантов, доступных в Azure для автоматизации подключения серверов с поддержкой Azure Arc. Чтобы подключиться к масштабу, используйте субъект-службу и разверните его с помощью существующей платформы автоматизации организации.
• Расширения виртуальных машин можно развернуть на серверах с поддержкой Azure Arc, чтобы упростить управление гибридными серверами на протяжении всего жизненного цикла. Рассмотрите возможность автоматизации развертывания расширений виртуальных машин с помощью Политика Azure при управлении серверами в большом масштабе.
• Включите управление исправлениями и обновлениями на подключенных серверах с поддержкой Azure Arc, чтобы упростить управление жизненным циклом ОС.
• Сведения о дополнительных сценариях повышения эффективности работы серверов с поддержкой Azure Arc см. в статье Azure Arc Jumpstart Unified Operations Use Cases.
• Дополнительные сведения о работе с решением см. в принципах проектирования эффективности работы в Well-Architected Framework.

Эффективность производительности

Эффективность производительности — это возможность вашей рабочей нагрузки отвечать требованиям, заданным пользователями. Дополнительные сведения см. в контрольном списке проверки конструктора дляпроизводительности.

• Перед настройкой компьютеров с серверами с поддержкой Azure Arc необходимо просмотреть ограничения подписки Azure Resource Manager и ограничения группы ресурсов, чтобы спланировать количество подключенных компьютеров.
• Поэтапное развертывание, как описано в руководстве по развертыванию, поможет определить требования к емкости ресурсов для реализации.
• Используйте Azure Monitor для сбора данных непосредственно с серверов с поддержкой Azure Arc в рабочую область журналов Azure Monitor для подробного анализа и корреляции. Просмотрите параметры развертывания для агента Azure Monitor.
• Дополнительные рекомендации по повышению производительности решения см. в принципах эффективности производительности в Well-Architected Framework.

Развертывание этого сценария

Эталонную реализацию этой архитектуры можно найти в Jumpstart ArcBox для ИТ-специалистов, включенной в проекта Azure Arc Jumpstart. ArcBox предназначен для автономного хранения в одной подписке Azure и группе ресурсов. ArcBox упрощает работу пользователя со всеми доступными технологиями Azure Arc с не более чем доступной подпиской Azure.

Чтобы развернуть эталонную реализацию, выберите Jumpstart ArcBox для ИТ-специалистов и выполните действия в репозитории GitHub.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

• Питер де Брюин | Старший менеджер по программам

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Дополнительные сведения об Azure Arc
• Дополнительные сведения о серверах с поддержкой Azure Arc
• Схема обучения Azure Arc
• просмотрите сценарии запуска azure Arc Jumpstart в руководстве по переходу к Azure Arc
• просмотрите акселератор целевых зон с поддержкой Azure Arc в Cloud Adoption Framework

Связанные ресурсы

Сведения о связанных архитектурах:

• Оптимизация SQL Server с помощью Azure Arc
• Гибридное управление и развертывание Azure Arc для кластеров Kubernetes