Vilka är kärnfunktionerna för hantering och styrning i Azure Arc-aktiverade servrar?

  • 10 minuter

Med Azure ARC kan du utöka omfånget för flera Azure-tjänster till Windows- och Linux-servrar som inte har Azure. Detta hjälper företag som Contoso att standardisera sin hanteringsstrategi när de arbetar i hybridscenarier. I den här lektionen får du lära dig mer om funktionerna i Azure Arc, med fokus på de som är tillgängliga exklusivt för Azure- och Azure Arc-aktiverade servrar.

Vilka är de viktigaste resurshanteringsfunktionerna för Azure Arc-aktiverade servrar?

Flera av fördelarna med Azure Arc är oberoende av resurstypen eftersom de ger dig samma funktioner som i Azure Resource Manager. Här är några av de här fördelarna:

  • Möjligheten att organisera alla organisationsresurser med hjälp av hanteringsgrupper, prenumerationer, resursgrupper och taggar i Azure.

  • En enda omfattande inventering av organisationstillgångar i flera moln och lokalt, inklusive stöd för sökning och indexering med hjälp av Azure Resource Graph.

  • En konsoliderad vy över Azure- och Azure Arc-aktiverade resurser via Azure Portal, Azure Command Line Interface (CLI), Azure PowerShell och REST(Representational State Transfer) Application Programming Interface (API).

  • Direkt åtkomst från Azure Portal till de flesta hanteringsfunktionerna på De Azure Arc-aktiverade servrarna:

    • Rollbaserad åtkomstkontroll (RBAC) för visning av loggar och serverinventeringsdata
    • VM-tillägg för att distribuera programvaruagenter och köra skript på servern
    • Azure Policy-gästkonfiguration för att granska operativsystem och programvarukonfiguration
    • Ett Microsoft Entra-system som tilldelats hanterad identitet för appar som körs på servern som ska användas vid autentisering till andra Azure-tjänster

Skärmbild av sidan Åtkomstkontroll (IAM) i Azure Portal för den valda virtuella datorn: ContosoVM1. Informationsfönstret visar ett antal flikar: Kontrollera åtkomst (vald), Rolltilldelningar, Neka tilldelningar, Klassiska administratörer och Roller.

Det finns också fördelar som är specifika för Azure Arc-aktiverade servrar, till exempel:

  • Möjligheten att använda Azure VM-tillägg till att automatisera en konsekvent konfiguration av Windows- och Linux-servrar med och utan Azure.
  • Stöd för gästkonfiguration i Azure Policy. Azure Policy stöder granskning av Azure Arc-aktiverade servrar på samma sätt som deras Azure-baserade motsvarigheter. Det gör att du på ett och samma sätt kan utvärdera om konfigurationen av servrarna i miljön följer organisationens standarder.

Vad är VM-tillägg och hur används de med Azure Arc-aktiverade servrar?

VM-tillägg är små programkomponenter som automatiserar konfiguration och automatisering när operativsystemet har distribuerats. Traditionellt sett var VM-tillägg endast tillgängliga på virtuella Azure-datorer, men nu är det möjligt att använda valda på Azure Arc-aktiverade servrar. I följande tabell beskrivs de tillägg som du kan lägga till i Azure Arc-aktiverade servrar som kör Windows Server- eller Linux-operativsystem:

Anknytning Ytterligare information
Log Analytics handläggare Installerar Log Analytics-agenten på den Arc-aktiverade målservern och konfigurerar den för vidarebefordring av loggar till en Log Analytics-arbetsyta.
Beroendeagent Installerar beroendeagenten på den Arc-aktiverade målservern för att underlätta identifiering av interna och externa beroenden för serverarbetsbelastningar.
Azure Key Vault-agent Synkroniserar certifikat från en Azure Key Vault-instans till den Arc-aktiverade servern.
Qualys-tillägg Lösning för genomsökning av sårbarhetsbedömning i Microsoft Defender för servrar.
Önskad tillståndskonfiguration Tillämpar en PowerShell DSC-konfiguration på den Arc-aktiverade målservern.
Anpassat skripttillägg Kör ett skript på den Arc-aktiverade målservern.

Vad är Azure Policy och hur används det för Azure Arc-aktiverad serverstyrning?

Azure Policy är en tjänst som kan hjälpa organisationer att hantera och utvärdera intern och regelmässig efterlevnad för sina Arc-aktiverade servrar, förutom ett brett utbud av Azure-tjänster. Azure Policy använder deklarativa regler som baseras på målresurstypernas egenskaper, bland annat operativsystemen Windows och Linux. Dessa regler utgör principdefinitioner som administratörer kan tillämpa via principtilldelning till resursgrupper, prenumerationer eller hanteringsgrupper som är värdar för Azure Arc-aktiverade servrar. För att förenkla principdefinitionshanteringen kan du kombinera flera principer i initiativ och sedan skapa några initiativtilldelningar i stället för flera principtilldelningar.

Azure Policy stöder granskning av tillståndet för Arc-aktiverad server med gästkonfigurationsprinciper. Gästkonfigurationsprinciper tillämpar inte konfigurationer, men de granskar inställningarna i måloperativsystemet och utvärderar deras efterlevnad. Du kan dock använda Azure Policy för att tillämpa konfigurationen av Azure-resursen som representerar en Arc-aktiverad server. Du kan också använda Azure Policy till att distribuera konfigurationer med hjälp av VM-tillägg.

Contoso kan till exempel implementera följande regler med Azure Policy:

  • Tilldela en specifik tagg till resurser som representerar Arc-aktiverade servrar under registreringen.
  • Identifiera Arc-aktiverade servrar som kör Windows med Windows Defender Exploit Guard inaktiverat.
  • Identifiera Arc-aktiverade servrar som kör Windows som inte är anslutna till en specifik Active Directory-domän Services-domän (AD DS).
  • Identifiera Arc-aktiverade servrar som kör Windows eller Linux utan Log Analytics-agenten installerad.
  • Identifiera Arc-aktiverade servrar som kör Linux som inte använder SSH-nycklar för autentisering.

Kommentar

Principer som stöder reparation behöver inte utvärdera principlogik i operativsystemet för den Azure Arc-aktiverade servern, utan i stället förlita sig på Azure-resursmetadata. Exempel på sådana principer är tillämpningen av taggefterlevnad eller distribution av VM-tillägg.

Kommentar

Azure Policy stöder virtuella Azure-datorer och Azure Arc-aktiverade servrar, vilket ger en konsekvent, organisationsomfattande vy över efterlevnadsinformation.

Hur tilldelar du Azure-principer till Azure Arc-aktiverade servrar?

Du kan hantera och tilldela Azure-principer till Azure Arc-aktiverade servrar direkt från Azure Portal.

Skärmbild som visar sidan Tilldela princip i Azure Portal. Administratören väljer från en lista över tillgängliga principer.

När du har skapat en principtilldelning kan du kort därefter granska resultatet av principutvärderingen på azure Arc-aktiverade målservrar.

Skärmbild som visar tillämpade principer på ContosoVM1. Två principer tillämpas och den virtuella datorn är kompatibel med den ena men inte den andra.

Vilka är fördelarna med Azure Update Manager i hybridscenarier?

Azure Update Manager är en enhetlig tjänst som hjälper dig att hantera och styra uppdateringar för alla dina hybriddatorer, inklusive hybriddatorer. Du kan övervaka windows- och Linux-uppdateringsefterlevnad mellan dina hybriddatorer från ett enda hanteringsfönster. Du kan även använda uppdateringshanterare för att göra uppdateringar i realtid eller schemalägga dem inom en definierad underhållsperiod.

Med Azure Update Manager kan du:

  • Sök omedelbart efter uppdateringar eller distribuera säkerhetsuppdateringar eller kritiska uppdateringar för att skydda dina hybriddatorer.
  • Aktivera periodisk utvärdering för att söka efter de senaste uppdateringarna som är tillgängliga för dina hybriddatorer.
  • Använd flexibla korrigeringsalternativ som kunddefinierade underhållsscheman och snabbkorrigering.
  • Skapa anpassade rapporteringsinstrumentpaneler för rapportering av uppdateringsstatus och konfigurera aviseringar för vissa villkor.
  • Övervaka uppdateringsefterlevnad för alla dina hybriddatorer.

Vilka är fördelarna med Azure Automation Desired State Configuration (DSC) i hybridscenarier?

PowerShells DSC är en teknik som implementerar deklarativ konfigurationshantering via en kombination av PowerShell-skript och funktioner i operativsystemet. Konfigurationen kan vara så enkel som att säkerställa att en speciell Windows-funktion är aktiverad, eller så komplex som att distribuera SharePoint. Du kan distribuera en DSC-konfiguration i antingen push-läge eller pull-läge. I push-läget anropar du distributionen från en hanteringsdator mot en eller flera hanterade datorer. I pull-läget utför hanterade datorer distribution automatiskt, baserat på konfigurationsdata från en angiven plats som kallas för en pull-server. Azure Automation innehåller en hanterad Azure DSC-hämtningsserver. Du kan använda en DSC-konfiguration i push-läge på datorer som inte är Azure-datorer, inklusive Azure Arc-aktiverade servrar med hjälp av VM-tillägget. Du kan också publicera båda systemtyperna till Azure Automation och hantera konfigurationen via en hämtningsserver.

Vilka är fördelarna med Automatisk hantering av Azure i hybridscenarier?

Metodtips för Azure Automanage-datorer är en tjänst som eliminerar behovet av att identifiera, veta hur du registrerar och hur du konfigurerar vissa tjänster i Azure som skulle gynna din Arc-aktiverade server. När du har registrerat dina datorer till Azure Automanage konfigureras varje metodtipstjänst till de rekommenderade inställningarna. Azure Automanage övervakar och korrigerar automatiskt för drift när det identifieras. Deltagande tjänster omfattar:

  • Machines Insights-övervakning
  • Ändringsspårning och inventering
  • Azure-gästkonfiguration
  • Azure Automation – konto
  • Log Analytics-arbetsyta

Välj det bästa svaret på följande frågor.