为启用 Azure Arc 的服务器管理配置

此参考体系结构演示了如何使用 Azure Arc 管理、治理和保护跨本地、多云和边缘方案的服务器。 该体系结构基于 Azure Arc Jumpstart ArcBox for IT 专业人员 实现。 ArcBox 是一种解决方案，可为所有 Azure Arc 提供易于部署的沙盒。ArcBox for IT 专业人员是 ArcBox 的一个版本，适用于想要在沙盒环境中体验已启用 Azure Arc 的服务器功能的用户。

体系结构

下载此体系结构的 PowerPoint 文件。

组件

该体系结构包括以下组件：

• Azure 资源组 是一个容器，用于保存 Azure 解决方案的相关资源。 资源组可以包含解决方案的所有资源，也可以只包含想要作为组来管理的资源。
• ArcBox 工作簿是一个 Azure Monitor 工作簿，它提供用于监视和报告 ArcBox 资源的单一管理视图。 该工作簿充当灵活的画布用于在 Azure 门户中进行数据分析和可视化，从 ArcBox 中的多个数据源收集信息，并将其组合成集成的交互式体验。
• Azure Monitor 使你能够跟踪在 Azure、本地或其他云中运行的系统的性能和事件。
• Azure Policy 来宾配置 可以审核运行在 Azure 中的计算机的操作系统和计算机配置，以及在本地或其他云中运行的已启用 Azure Arc 的服务器。
• Azure Log Analytics 是 Azure 门户中的一种工具，用于编辑和运行 Azure Monitor 日志从数据收集的日志查询，并交互式分析其结果。 你可以使用 Log Analytics 查询来检索符合特定条件的记录，确定趋势，分析模式，并提供对数据的各种见解。
• Microsoft Defender for Cloud 是云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案。 Defender for Cloud 在云配置中发现弱点，有助于增强环境的整体安全态势，并可以保护跨多云和混合环境的工作负载免受不断演变的威胁。
• Microsoft Sentinel 是一种可缩放的、云原生的安全信息和事件管理（SIEM）解决方案，以及安全业务流程、自动化和响应（SOAR）解决方案。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报。 它还提供单个解决方案，用于攻击检测、威胁可见性、主动搜寻和威胁响应。
• 已启用 Azure Arc 的服务器使你能够将 Azure 连接到托管在 Azure 外部的、位于企业网络上的 Windows 和 Linux 计算机。 当服务器连接到 Azure 时，它将成为已启用 Azure Arc 的服务器，并被视为 Azure 中的资源。 每个已启用 Azure Arc 的服务器都有一个资源 ID、一个托管系统标识，并作为订阅中的资源组的一部分进行管理。 已启用 Azure Arc 的服务器受益于标准 Azure 构造，例如清单、策略、标记和 Azure Lighthouse。
• Hyper-V 嵌套虚拟化 由 Jumpstart ArcBox for IT 专业人员用来在 Azure 虚拟机内托管 Windows 和 Linux Server 虚拟机。 此方法提供的体验与使用物理 Windows Server 计算机相同，但不满足硬件要求。
• Azure 虚拟网络 提供专用网络，使 Azure 资源组中的组件（如虚拟机）能够进行通信。

方案详细信息

可能的用例

此体系结构的典型用途包括：

• 跨多个环境组织、治理和盘存大型虚拟机 (VM) 和服务器组。
• 使用 Azure Policy 对任何位置的所有资源强制实施组织标准并大规模评估合规性。
• 轻松将支持的 VM 扩展部署到已启用 Azure Arc 的服务器。
• 为跨多个环境托管的 VM 和服务器配置和强制实施 Azure Policy。

建议

以下建议适用于大多数方案。 除非有优先于这些建议的特定要求，否则请遵循这些建议。

配置 Azure Arc Connected Machine 代理

可将运行 Windows 或 Linux 的任何其他物理机或虚拟机连接到 Azure Arc。在加入计算机之前，请务必满足 Connected Machine 代理先决条件，其中包括为已启用 Azure Arc 的服务器注册 Azure 资源提供程序。 要使用 Azure Arc 将计算机连接到 Azure，需要在你打算使用 Azure Arc 连接的每台计算机上安装 Azure Connected Machine 代理。有关详细信息，请参阅已启用 Azure Arc 的服务器代理概述。

配置 Connected Machine 代理后，每隔五分钟向 Azure 发送一条常规检测信号消息。 如果未收到检测信号，Azure 会将计算机分配 脱机 状态，该状态会在 15 到 30 分钟内反映在门户中。 当 Azure 从 Connected Machine 代理收到后续检测信号消息时，其状态会自动更改为 Connected。

Azure 中有多个选项可用于连接 Windows 和 Linux 计算机，包括：

• 手动安装：可以使用 Windows Admin Center 或手动执行一组步骤，为环境中的一个或多个 Windows 或 Linux 计算机启用 Azure Arc 的服务器。
• 使用脚本进行安装：可以通过运行从 Azure 门户下载的模板脚本来执行自动代理安装。
• 使用服务主体大规模连接计算机：若要大规模载入，请使用服务主体并通过组织现有自动化进行部署。
• 使用 Windows PowerShell DSC 进行安装。

有关各种可用部署选项的综合文档，请参阅 Azure Connected Machine 代理部署选项。

启用 Azure Policy 来宾配置

已启用 Azure Arc 的服务器在 Azure 资源管理层和使用来宾配置策略的单个服务器计算机内支持 Azure Policy。 Azure Policy 来宾配置可以审核计算机内的设置，无论是在 Azure 中运行的计算机，还是启用了 Azure Arc 的服务器。 例如，可以审核以下设置：

• 操作系统配置
• 应用程序配置或状态
• 环境设置

Azure Arc 有几种 Azure Policy 内置定义。这些策略为基于 Windows 和 Linux 的计算机提供审核和配置设置。

启用 Azure 更新管理器和更改跟踪

必须通过启用以下组件为已启用 Azure Arc 的服务器采用更新管理过程：

• 使用 Azure 更新管理器 来管理、评估和控制跨所有服务器的 Windows 和 Linux 更新的安装。
• 将已启用 Azure Arc 的服务器 更改跟踪和清单 用于：
  • 确定环境中安装了哪些软件。
  • 收集和观察软件、文件、Linux 守护程序、Windows 服务和 Windows 注册表项的清单。
  • 跟踪计算机的配置，以查明环境中的操作问题，并更好地了解计算机的状态。

监视已启用 Azure Arc 的服务器

使用 Azure Monitor 大规模监视 VM、Azure 虚拟机规模集和 Azure Arc 计算机。 使用 Azure Monitor 可以：

• 分析 Windows 和 Linux VM 的性能和运行状况。
• 监视 VM 进程和其他资源和外部进程的依赖关系。
• 监视本地或其他云提供商中托管的 VM 的性能和应用程序依赖项。

Azure Monitor 代理应通过 Azure Policy自动部署到已启用 Azure Arc 的 Windows 和 Linux 服务器。 查看并了解 Azure Monitor 代理 在部署之前如何运行和收集数据。

设计和规划 Azure Monitor 日志工作区部署。 工作区是在其中收集数据、聚合和分析的容器。 Azure Monitor 日志工作区表示数据的地理位置、数据隔离和配置范围，例如数据保留。 按照适用于 Azure 的云采用框架 管理和监视最佳做法中所述，使用单个 Azure Monitor 日志工作区。

保护已启用 Azure Arc 的服务器

使用 Azure 基于角色的访问控制（RBAC）来控制和管理已启用 Azure Arc 的服务器中的托管标识的权限，并对这些标识执行定期访问评审。 控制特权用户角色，以防止系统托管标识被滥用，从而获得对 Azure 资源的未经授权的访问。

• 请考虑在已启用 Azure Arc 的服务器上使用 Azure Key Vault 进行证书管理。 可以使用 Key Vault VM 扩展来管理 Windows 和 Linux 计算机上的证书生命周期。
• 将已启用 Azure Arc 的服务器连接到 Defender for Cloud。 使用 Defender for Cloud 收集建议操作和改进整体 Azure 安全状况所需的安全相关配置和事件日志。
• 将已启用 Azure Arc 的服务器连接到 Microsoft Sentinel。 使用 Microsoft Sentinel 收集安全相关事件并将其与其他数据源相关联。

验证网络拓扑

适用于 Linux 和 Windows 的 Connected Machine 代理通过 TCP 端口 443 安全地与 Azure Arc 进行出站通信。 Connected Machine 代理可使用以下方法连接到 Azure 控制平面：

• 直接连接到 Azure 公共终结点，可以选择从防火墙或代理服务器后面进行连接。
• 通过使用专用链接范围模型的 Azure 专用链接进行连接，使多个服务器或计算机能够使用单个专用终结点来与其 Azure Arc 资源进行通信。

有关已启用 Azure Arc 的服务器实现的综合网络指南，请参阅 已启用 Azure Arc 的服务器的网络拓扑和连接。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则，即一套可用于改善工作负荷质量的指导原则。 有关详细信息，请参阅 Microsoft Azure 架构良好的框架。

可靠性

可靠性可确保应用程序能够履行对客户的承诺。 有关详细信息，请参阅 可靠性的设计评审清单。

• 在大多数情况下，创建安装脚本时选择的位置应该是在地理位置上最接近你的计算机位置的 Azure 区域。 其余数据存储在包含你指定的区域的 Azure 地理位置中，如果具有数据驻留要求，也可能会影响所选区域。 如果中断影响计算机连接到的 Azure 区域，中断不会影响已启用 Azure Arc 的服务器。 但是，使用 Azure 的管理操作可能不可用。
• 如果 Azure 连接的计算机代理停止向 Azure 发送检测信号或脱机，则无法对它执行操作任务。 因此，必须 制定通知和响应计划。
• 设置资源运行状况警报，以便在资源的运行状况发生变化时收到准实时的通知。 另外，在 Azure Policy 中定义用于识别不正常的已启用 Azure Arc 的服务器的监视和警报策略。
• 将当前备份解决方案扩展到 Azure，或轻松配置可根据业务需求进行缩放的应用程序感知复制和应用程序一致性备份。 Azure 备份 和 Azure Site Recovery 的集中式管理界面 可以轻松定义策略，以本机方式保护、监视和管理已启用 Azure Arc 的 Windows 和 Linux 服务器。
• 查看业务连续性和灾难恢复指导以确定是否符合你的企业要求。
• 有关解决方案的其他可靠性注意事项，请参阅 Well-Architected Framework 中的 可靠性设计原则。

安全性

安全性提供针对故意攻击和滥用宝贵数据和系统的保证。 有关详细信息，请参阅 安全的设计评审清单。

• 应为已启用 Azure Arc 的服务器管理适当的 Azure RBAC。 只有“Azure Connected Machine 加入”角色的成员才能加入计算机。 只有“Azure Connected Machine 资源管理员”角色的成员才能读取、修改、重新加入和删除计算机。
• Defender for Cloud 可以监视其他云提供商托管的本地系统、Azure VM 和 VM。 为包含已启用 Azure Arc 的服务器的所有订阅启用 Microsoft Defender for 服务器，以便进行安全基线监视、安全状况管理和威胁防护。
• Microsoft Sentinel 可以使用内置连接器，简化不同源（包括 Azure 和本地解决方案）以及云中的数据收集。
• 可以使用 Azure Policy 管理已启用 Azure Arc 的服务器的安全策略，包括在 Defender for Cloud 中实施安全策略。 安全策略定义工作负荷的所需配置，并帮助确保遵守公司或监管机构的安全要求。 Defender for Cloud 策略基于 Azure Policy 中创建的策略计划。
• 若要限制可在已启用 Azure Arc 的服务器上安装哪些扩展，可以配置要允许和阻止的扩展列表。 扩展管理器根据允许列表和阻止列表评估安装、更新或升级扩展的所有请求，以确定该扩展是否可以安装在服务器上。
• 通过 Azure 专用链接，可使用专用终结点将 Azure PaaS 服务安全地链接到你的虚拟网络。 可以使用 Azure Arc 连接本地或多云服务器，并通过 Azure ExpressRoute 或站点到站点 VPN 连接（而不是使用公用网络）发送所有流量。 可以使用专用链接范围模型，使多个服务器或计算机能够使用单个专用终结点来与其 Azure Arc 资源进行通信。
• 有关已启用 Azure Arc 的服务器中安全功能的综合概述，请参阅已启用 Azure Arc 的服务器安全概述。
• 有关解决方案的其他安全注意事项，请参阅 Well-Architected Framework 中的 安全设计原则。

成本优化

成本优化是研究减少不必要的开支和提高运营效率的方法。 有关详细信息，请参阅 成本优化的设计评审清单。

• Azure Arc 控制平面功能不收取额外的费用。 这包括通过 Azure 管理组和标记支持资源组织，以及通过 Azure RBAC 进行访问控制。 与已启用 Azure Arc 的服务器结合使用的 Azure 服务根据其使用量收费。
• 有关更多 Azure Arc 成本优化指南，请参阅 已启用 Azure Arc 的服务器的成本治理。
• 有关解决方案的其他成本优化注意事项，请参阅 Well-Architected Framework 中的 成本优化设计原则。
• 使用 Azure 定价计算器估算成本。
• 在为此体系结构部署 Jumpstart ArcBox for IT Pros 参考实现时请记住，ArcBox 资源会从基础 Azure 资源产生 Azure 使用费。 这些资源包括核心计算、存储、网络和辅助服务。

卓越运营

卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息，请参阅 卓越运营的设计评审清单。

• 自动部署已启用 Azure Arc 的服务器环境。 此体系结构的参考实现已使用 Azure ARM 模板、VM 扩展、Azure Policy 配置和 PowerShell 脚本的组合完全自动化。 你还可以将这些项目重用于自己的部署。 有关详细信息，请参阅 已启用 Azure Arc 的服务器的自动化规则。
• Azure 中有几种选项可用于自动 已启用 Azure Arc 的服务器载入。 要大规模加入，请使用服务主体并通过组织的现有自动化平台进行部署。
• VM 扩展可以部署到已启用 Azure Arc 的服务器，以简化混合服务器的整个生命周期的管理。 在大规模管理服务器时，请考虑通过 Azure Policy 自动部署 VM 扩展。
• 在加入的已启用 Azure Arc 的服务器中启用修补程序和更新管理，以简化操作系统生命周期管理。
• 请参阅 Azure Arc 跳转启动统一操作用例，了解已启用 Azure Arc 的服务器的其他卓越运营方案。
• 有关解决方案的其他卓越运营注意事项，请参阅 Well-Architected 框架 卓越运营设计原则。

性能效率

性能效率是工作负荷的缩放能力，以满足用户以高效方式满足它的需求。 有关详细信息，请参阅 性能效率的设计评审清单。

• 在为计算机配置已启用 Azure Arc 的服务器之前，应查看 Azure 资源管理器订阅限制和资源组限制，以规划要连接的计算机数。
• 部署指南中所述的分阶段部署方法可帮助你确定实现的资源容量要求。
• 使用 Azure Monitor 将数据直接从已启用 Azure Arc 的服务器收集到 Azure Monitor 日志工作区中，以便进行详细的分析和关联。 查看 Azure Monitor 代理 部署选项。
• 有关解决方案的更多性能效率注意事项，请参阅 Well-Architected Framework 中的 性能效率原则。

部署此方案

此体系结构的参考实现可在 Jumpstart ArcBox for IT 专业人员中找到，包含在 Azure Arc Jumpstart 项目的一部分。 ArcBox 设计为在单个 Azure 订阅和资源组中自包含。 借助 ArcBox，只需一个可用的 Azure 订阅，用户就能轻松获得所有可用 Azure Arc 技术的实践体验。

若要部署引用实现，请选择 Jumpstart ArcBox for IT 专业人员，然后按照 GitHub 存储库中的步骤操作。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

首席作者：

• Pieter de Bruin | 高级项目经理

要查看非公开的 LinkedIn 个人资料，请登录到 LinkedIn。

后续步骤

• 详细了解 Azure Arc
• 详细了解已启用 Azure Arc 的服务器
• Azure Arc 学习路径
• 在 Azure Arc Jumpstart 中 查看 Azure Arc Jumpstart 方案
• 查看云采用框架中已启用 Azure Arc 的服务器登陆区域加速器

相关资源

探索相关体系结构：

• 使用 Azure Arc 优化 SQL Server
• 适用于 Kubernetes 群集的 Azure Arc 混合管理和部署