Redigera

Dela via

Hantera konfigurationer för Azure Arc-aktiverade servrar

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Den här referensarkitekturen visar hur du kan använda Azure Arc för att hantera, styra och skydda servrar i lokala scenarier, scenarier med flera moln och kanter. Arkitekturen baseras på Azure Arc Jumpstart ArcBox för IT-proffs implementering. ArcBox är en lösning som ger en lättdistribuerad sandbox-miljö för allt som rör Azure Arc. ArcBox for IT Pros är en version av ArcBox som är avsedd för användare som vill uppleva Azure Arc-aktiverade serverfunktioner i en sandbox-miljö.

Arkitektur

Ett topologidiagram för Azure Arc-hybridservrar som har Azure Arc-aktiverade servrar som är anslutna till Azure.

Ladda ned en PowerPoint-fil med den här arkitekturen.

Komponenter

Arkitekturen består av följande komponenter:

  • En Azure-resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning. Resursgruppen kan innehålla alla resurser för lösningen, eller endast de resurser som du vill hantera som en grupp.
  • ArcBox-arbetsboken är en Azure Monitor-arbetsbok som innehåller en enda fönsterruta för övervakning och rapportering av ArcBox-resurser. Arbetsboken fungerar som en flexibel arbetsyta för dataanalys och visualisering i Azure Portal, samlar in information från flera datakällor från hela ArcBox och kombinerar dem till en integrerad interaktiv upplevelse.
  • Med Azure Monitor kan du spåra prestanda och händelser för system som körs i Azure, lokalt eller i andra moln.
  • Azure Policy-gästkonfiguration kan granska operativsystem och datorkonfiguration både för datorer som körs i Azure- och Azure Arc-aktiverade servrar som körs lokalt eller i andra moln.
  • Azure Log Analytics är ett verktyg i Azure Portal för att redigera och köra loggfrågor från data som samlas in av Azure Monitor-loggar och interaktivt analysera deras resultat. Du kan använda Log Analytics-frågor till att hämta poster som matchar specifika kriterier, identifiera trender, analyserar mönster och ger olika insikter om dina data.
  • Microsoft Defender för molnet är en lösning för hantering av molnsäkerhetsstatus (CSPM) och CWP (Cloud Workload Protection). Defender for Cloud hittar svaga punkter i molnkonfigurationen, hjälper till att stärka den övergripande säkerhetspositionen i din miljö och kan skydda arbetsbelastningar i miljöer med flera moln och hybridmiljöer från hot som utvecklas.
  • Microsoft Sentinel- är en skalbar, molnbaserad siem-lösning (säkerhetsinformation och händelsehantering) samt lösning för säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel tillhandahåller intelligent säkerhetsanalys och hotinformation i hela företaget. Det ger också en enda lösning för attackidentifiering, synlighet för hot, proaktiv jakt och hothantering.
  • Med Azure Arc-aktiverade servrar kan du ansluta Azure till dina Windows- och Linux-datorer utanför Azure i företagets nätverk. När en server är ansluten till Azure blir den en Azure Arc-aktiverad server och behandlas som en resurs i Azure. Varje Azure Arc-aktiverad server har ett resurs-ID, en hanterad systemidentitet och hanteras som en del av en resursgrupp i en prenumeration. Azure Arc-aktiverade servrar drar nytta av azure-standardkonstruktioner som inventering, princip, taggar och Azure Lighthouse.
  • Hyper-V kapslad virtualisering används av Jumpstart ArcBox för IT-proffs som värd för virtuella Windows- och Linux Server-datorer i en virtuell Azure-dator. Den här metoden ger samma upplevelse som att använda fysiska Windows Server-datorer, men utan maskinvarukraven.
  • Azure Virtual Network tillhandahåller ett privat nätverk som gör det möjligt för komponenter, till exempel virtuella datorer, i Azure-resursgruppen att kommunicera.

Information om scenario

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

  • Organisera, styra och inventera stora grupper av virtuella datorer (VM) och servrar i flera miljöer.
  • Framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala för alla dina resurser var som helst med Azure Policy.
  • Distribuera enkelt VM-tillägg som stöds till Azure Arc-aktiverade servrar.
  • Konfigurera och tillämpa Azure Policy för virtuella datorer och servrar som finns i flera miljöer.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Konfigurera Azure Arc Connected Machine-agent

Du kan ansluta alla andra fysiska eller virtuella datorer som kör Windows eller Linux till Azure Arc. Innan du registrerar datorer måste du slutföra kraven för den anslutna datoragenten, vilket inkluderar registrering av Azure-resursprovidrar för Azure Arc-aktiverade servrar. Om du vill använda Azure Arc för att ansluta datorn till Azure måste du installera Azure Connected Machine-agenten på varje dator som du planerar att ansluta med Azure Arc. Mer information finns i Översikt över Azure Arc-aktiverad serveragent.

När du har konfigurerat connected machine-agenten skickar den ett regelbundet pulsslagsmeddelande till Azure var femte minut. När pulsslag inte tas emot tilldelar Azure datorn offline- status, vilket återspeglas i portalen inom 15 till 30 minuter. När Azure tar emot ett efterföljande pulsslagsmeddelande från connected machine-agenten ändras dess status automatiskt till Ansluten.

Det finns flera tillgängliga alternativ i Azure för att ansluta dina Windows- och Linux-datorer, inklusive:

  • Installera manuellt: Du kan aktivera Azure Arc-aktiverade servrar för en eller flera Windows- eller Linux-datorer i din miljö med hjälp av Administrationscenter för Windows eller genom att utföra en uppsättning steg manuellt.
  • Installera med hjälp av ett skript: Du kan utföra automatisk agentinstallation genom att köra ett mallskript som du laddar ned från Azure-portalen.
  • Anslut datorer i stor skala med hjälp av tjänstens huvudnamn: Använd tjänstens huvudnamn och distribuera via organisationens befintliga automatisering om du vill publicera i stor skala.
  • Installera med Windows PowerShell DSC.

I distributionsalternativen för Azure Connected Machine-agenten finns omfattande dokumentation om de olika tillgängliga distributionsalternativen.

Aktivera Azure Policy-gästkonfiguration

Azure Arc-aktiverade servrar stöder Azure Policy på Azure-resurshanteringslagret och även på den enskilda serverdatorn med hjälp av gästkonfigurationsprinciper. Azure Policy-gästkonfiguration kan granska inställningar på en dator, både för datorer som körs i Azure- och Azure Arc-aktiverade servrar. Du kan exempelvis granska inställningar som:

  • Operativsystemets konfiguration
  • Programkonfiguration eller förekomst
  • Miljöinställningar

Det finns flera inbyggda Azure Policy-definitioner för Azure Arc. Dessa principer tillhandahåller gransknings- och konfigurationsinställningar för både Windows- och Linux-baserade datorer.

Aktivera Azure Update Manager och ändringsspårning

Det är viktigt att du inför en uppdateringshanteringsprocess för Azure Arc-aktiverade servrar genom att aktivera följande komponenter:

  • Använd Azure Update Manager- för att hantera, utvärdera och styra installationen av Windows- och Linux-uppdateringar på alla servrar.
  • Använd ändringsspårning och inventering för Azure Arc-aktiverade servrar för att:
    • Ta reda på vilken programvara som är installerad i din miljö.
    • Samla in och observera inventering för programvara, filer, Linux-daemoner, Windows-tjänster och Windows-registernycklar.
    • Spåra konfigurationerna för dina datorer för att hitta driftsproblem i din miljö och bättre förstå tillståndet för dina datorer.

Övervaka Azure Arc-aktiverade servrar

Använd Azure Monitor för att övervaka dina virtuella datorer, Skalningsuppsättningar för virtuella Azure-datorer och Azure Arc-datorer i stor skala. Använd Azure Monitor för att:

  • Analysera prestanda och hälsa för dina virtuella Windows- och Linux-datorer.
  • Övervaka processer och beroenden för virtuella datorer på andra resurser och externa processer.
  • Övervaka prestanda- och programberoenden för virtuella datorer som finns lokalt eller i en annan molnleverantör.

Azure Monitor-agenten ska distribueras automatiskt till Azure Arc-aktiverade Windows- och Linux-servrar via Azure Policy-. Granska och förstå hur Azure Monitor-agenten fungerar och samlar in data före distributionen.

Utforma och planera distributionen av arbetsytan i Azure Monitor-loggar. Arbetsytan är den container där data samlas in, aggregeras och analyseras. En Arbetsyta för Azure Monitor-loggar representerar en geografisk plats för dina data, dataisolering och omfång för konfigurationer som datakvarhållning. Använd en enda Arbetsyta för Azure Monitor-loggar enligt beskrivningen i bästa praxis för hantering och övervakning i Cloud Adoption Framework för Azure.

Skydda Azure Arc-aktiverade servrar

Använd rollbaserad åtkomstkontroll i Azure (RBAC) för att styra och hantera behörigheterna för hanterade identiteter på Azure Arc-aktiverade servrar och för att utföra regelbundna åtkomstgranskningar för dessa identiteter. Kontrollera privilegierade användarroller för att förhindra att systemhanterade identiteter missbrukas för att få obehörig åtkomst till Azure-resurser.

  • Överväg att använda Azure Key Vault för att hantera certifikat på dina Azure Arc-aktiverade servrar. Du kan använda nyckelvalvets VM-tillägg för att hantera certifikatets livscykel på Windows- och Linux-datorer.
  • Anslut Azure Arc-aktiverade servrar till Defender for Cloud. Använd Defender för molnet för att samla in de säkerhetsrelaterade konfigurationer och händelseloggar som du behöver för att rekommendera åtgärder och förbättra din övergripande Säkerhetsstatus i Azure.
  • Ansluta Azure Arc-aktiverade servrar till Microsoft Sentinel. Använd Microsoft Sentinel för att samla in säkerhetsrelaterade händelser och korrelera dem med andra datakällor.

Verifiera nätverkstopologi

Connected Machine-agenten för Linux och Windows kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Connected Machine-agenten kan ansluta till Azure-kontrollplanet med hjälp av följande metoder:

Se Nätverkstopologi och anslutning för Azure Arc-aktiverade servrar för omfattande nätverksvägledning för implementeringen av Azure Arc-aktiverade servrar.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i checklistan för Designgranskning för tillförlitlighet.

  • I de flesta fall bör den plats du väljer när du skapar installationsskriptet vara den Azure-region som är geografiskt närmast datorns plats. Resten av data lagras i azure-geografin som innehåller den region som du anger, vilket också kan påverka ditt val av region om du har krav på datahemvist. Om ett avbrott påverkar den Azure-region som datorn är ansluten till påverkar inte driftstoppet den Azure Arc-aktiverade servern. Hanteringsåtgärder som använder Azure kanske inte är tillgängliga.
  • Om Den Azure-anslutna datoragenten slutar skicka pulsslag till Azure eller går offline kan du inte utföra operativa uppgifter på den. Därför måste du utveckla en plan för meddelanden och svar.
  • Konfigurera resurshälsoaviseringar för att få aviseringar nästan i realtid när resurser har ändrat sin hälsostatus. Och definiera en övervaknings- och aviseringsprincip i Azure Policy som identifierar ej felfria Azure Arc-aktiverade servrar.
  • Utöka din aktuella lösning för säkerhetskopiering till Azure eller konfigurera enkelt vår programmedvetna replikering och programkonsekventa säkerhetskopiering som skalar utifrån dina affärsbehov. Det centraliserade hanteringsgränssnittet för Azure Backup och Azure Site Recovery gör det enkelt att definiera principer för att internt skydda, övervaka och hantera dina Azure Arc-aktiverade Windows- och Linux-servrar.
  • Granska vägledningen för affärskontinuitet och haveriberedskap för att avgöra om företagets krav är uppfyllda.
  • Andra tillförlitlighetsöverväganden för din lösning finns i designprinciper för tillförlitlighet i Well-Architected Framework.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i checklistan för Designgranskning för Security.

  • Lämplig Azure RBAC ska hanteras för Azure Arc-aktiverade servrar. Om du vill registrera datorer måste du vara medlem i azure connected machine onboarding-rollen . Om du vill läsa, ändra, publicera och ta bort en dator igen måste du vara medlem i resursadministratörsrollen för Azure Connected Machine.
  • Defender för molnet kan övervaka lokala system, virtuella Azure-datorer och virtuella datorer som hanteras av andra molnleverantörer. Aktivera Microsoft Defender för servrar för alla prenumerationer som innehåller Azure Arc-aktiverade servrar för övervakning av säkerhetsbaslinje, hantering av säkerhetsstatus och skydd mot hot.
  • Microsoft Sentinel kan förenkla datainsamlingen mellan olika källor, inklusive Azure, lokala lösningar och moln med hjälp av inbyggda anslutningsappar.
  • Du kan använda Azure Policy för att hantera säkerhetsprinciper på dina Azure Arc-aktiverade servrar, inklusive implementering av säkerhetsprinciper i Defender för molnet. En säkerhetsprincip definierar önskad konfiguration av dina arbetsbelastningar och hjälper dig att säkerställa att du uppfyller säkerhetskraven för ditt företag eller tillsynsmyndigheter. Defender för molnet principer baseras på principinitiativ som skapats i Azure Policy.
  • Om du vill begränsa vilka tillägg som kan installeras på din Azure Arc-aktiverade server kan du konfigurera de listor med tillägg som du vill tillåta och blockera på servern. Tilläggshanteraren utvärderar alla begäranden om att installera, uppdatera eller uppgradera tillägg mot listan över tillåtna och blockera för att avgöra om tillägget kan installeras på servern.
  • Med Azure Private Link kan du på ett säkert sätt länka Azure PaaS-tjänster till ditt virtuella nätverk med hjälp av privata slutpunkter. Du kan ansluta dina lokala servrar eller flera molnservrar med Azure Arc och skicka all trafik via en Azure ExpressRoute- eller plats-till-plats-VPN-anslutning i stället för att använda offentliga nätverk. Du kan använda en Private Link-omfångsmodell för att tillåta att flera servrar eller datorer kommunicerar med sina Azure Arc-resurser med hjälp av en enda privat slutpunkt.
  • Se säkerhetsöversikten för Azure Arc-aktiverade servrar för en omfattande översikt över säkerhetsfunktionerna i Azure Arc-aktiverad server.
  • Andra säkerhetsöverväganden för din lösning finns i Principer för säkerhetsdesign i Well-Architected Framework.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i checklistan Designgranskning för kostnadsoptimering.

  • Azure Arc-kontrollplansfunktioner tillhandahålls utan extra kostnad. Detta omfattar stöd för resursorganisation via Azure-hanteringsgrupper och taggar samt åtkomstkontroll via Azure RBAC. Azure-tjänster som används tillsammans med Azure Arc-aktiverade servrar medför kostnader beroende på deras användning.
  • Mer vägledning om kostnadsoptimering i Azure Arc finns i Kostnadsstyrning för Azure Arc-aktiverade servrar.
  • Andra kostnadsoptimeringsöverväganden för din lösning finns i designprinciper för kostnadsoptimering i Well-Architected Framework.
  • Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure.
  • När du distribuerar referensimplementeringen Jumpstart ArcBox for IT Pros för den här arkitekturen ska du tänka på att ArcBox-resurser genererar Azure Consumption-avgifter från de underliggande Azure-resurserna. Dessa resurser omfattar kärnbearbetning, lagring, nätverk och extratjänster.

Operational Excellence

Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i checklistan för Designgranskning för Operational Excellence.

  • Automatisera distributionen av din Azure Arc-aktiverade servermiljö. Referensimplementeringen av den här arkitekturen är helt automatiserad med hjälp av en kombination av Azure ARM-mallar, VM-tillägg, Azure Policy-konfigurationer och PowerShell-skript. Du kan också återanvända dessa artefakter för dina egna distributioner. Mer information finns i Automation-discipliner för Azure Arc-aktiverade servrar.
  • Det finns flera tillgängliga alternativ i Azure för att automatisera registrering av Azure Arc-aktiverade servrar. Om du vill publicera i stor skala använder du tjänstens huvudnamn och distribuerar via organisationens befintliga automationsplattform.
  • VM-tillägg kan distribueras till Azure Arc-aktiverade servrar för att förenkla hanteringen av hybridservrar under hela livscykeln. Överväg att automatisera distributionen av VM-tillägg via Azure Policy när du hanterar servrar i stor skala.
  • Aktivera korrigerings- och uppdateringshantering på dina registrerade Azure Arc-aktiverade servrar för att underlätta operativsystemets livscykelhantering.
  • Se Azure Arc Jumpstart Unified Operations Use Cases för att lära dig mer om ytterligare scenarier för driftskvalitet för Azure Arc-aktiverade servrar.
  • Andra överväganden kring driftskvalitet för din lösning finns i designprinciper för operational excellence i Well-Architected Framework.

Prestandaeffektivitet

Prestandaeffektivitet är arbetsbelastningens förmåga att uppfylla användarnas krav på det på ett effektivt sätt. Mer information finns i checklistan för Designgranskning för prestandaeffektivitet.

  • Innan du konfigurerar dina datorer med Azure Arc-aktiverade servrar bör du granska prenumerationsgränserna för Azure Resource Manager och resursgruppsgränserna för att planera för hur många datorer som ska anslutas.
  • En stegvis distributionsmetod som beskrivs i distributionsguiden kan hjälpa dig att fastställa resurskapacitetskraven för implementeringen.
  • Använd Azure Monitor för att samla in data direkt från dina Azure Arc-aktiverade servrar till en Azure Monitor Logs-arbetsyta för detaljerad analys och korrelation. Granska distributionsalternativ för Azure Monitor-agenten.
  • Mer information om prestandaeffektivitet för din lösning finns i principer för prestandaeffektivitet i Well-Architected Framework.

Distribuera det här scenariot

Referensimplementeringen av den här arkitekturen finns i Jumpstart ArcBox för IT-proffs, som ingår som en del av projektet Azure Arc Jumpstart. ArcBox är utformat för att vara fristående i en enda Azure-prenumeration och resursgrupp. ArcBox gör det enkelt för en användare att få praktisk erfarenhet av all tillgänglig Azure Arc-teknik med bara en tillgänglig Azure-prenumeration.

Om du vill distribuera referensimplementeringen väljer du Jumpstart ArcBox for IT Pros och följer stegen i GitHub-lagringsplatsen.

Jumpstart ArcBox för IT-proffs

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Utforska relaterade arkitekturer: