什么是已启用 Azure Arc 的服务器及其功能?

  • 5 分钟

使用 Microsoft Defender for Cloud 来改善整个数字资产的安全态势 - Microsoft Sentinel 用于其他云中的漏洞和威胁情报,Azure Monitor 用于监控本地服务 - 已启用 Azure Arc 的服务器可通过简单的体系结构为客户提供巨大的价值。

由于 Wide World Importers 已经优先部署了已启用 Azure Arc 的服务器,你希望首先了解 Azure Arc 如何能够将 Azure 的管理平面扩展到 Azure 以外的服务器,并了解已启用 Azure Arc 的服务器可以为该公司提供哪些功能。

Connected Machine 代理概述

Azure Arc 依靠本地安装的代理在本地资源和 Azure 之间建立逻辑连接。 此代理是 Connected Machine Agent。 Connected Machine Agent 包包含多个逻辑组件,这些组件绑定在一起:

  • Hybrid Instance Metadata Service (HIMDS) 管理 Azure 的连接和已连接的计算机的 Azure 标识。

  • 来宾配置代理提供评估计算机是否符合所需的策略和强制实施符合性等功能。

  • Extension 代理管理 VM 扩展,包括安装、卸载和升级。

在 Azure 和本地资源之间建立连接后,Azure Connected Machine Agent 会有效地“经 arc 启用”资源。 因此,非 Azure 资源会自动成为混合 Azure 资源,作为 Azure 资源管理器平面的一部分。 Azure 资源管理器充当管理界面,使你可以创建、修改和删除 Azure 资源。

显示 Connected Machine Agent 体系结构的插图。Connected Machine Agent 包括 HIMDS、来宾配置代理和 Extension 代理。

已启用 Azure Arc 的服务器的功能

已启用 Azure Arc 的服务器可以利用广泛的功能,因此你可以将 Azure 服务引入任何位置的计算机上:在本地、多云和边缘环境中。 这些功能针对安全性、可观察性和管理需求提供各种用例。

服务 说明
Azure 资源 已启用 Azure Arc 的服务器受益于 Azure 的可靠资源管理功能,包括:
  • 使用 Azure 管理组、订阅、资源组和标记来组织所有组织资源的能力。
  • 跨多云和本地的组织资产的单个全面清单,包括对使用 Azure Resource Graph 进行搜索和索引的支持。
  • 通过 Azure 门户、Azure 命令行接口 (CLI)、Azure PowerShell 和表述性状态转移 (REST) 应用程序编程接口 (API) 整合的 Azure 和已启用 Azure Arc 的资源的视图。
Microsoft Defender for Cloud Microsoft Defender for Cloud 支持客户使用 Microsoft Defender for Endpoint(包括通过 Microsoft Defender for Cloud)保护非 Azure 服务器,以进行威胁检测和漏洞管理,并主动监视潜在的安全威胁。 Microsoft Defender for Cloud 提供来自检测到的威胁的警报和修正建议,并通过高级安全评分来巩固安全态势。
Microsoft Sentinel 可以对连接到已启用 Arc 的服务器的计算机配置 Microsoft Sentinel 以收集与安全相关的事件,并将这些事件与其他数据源相关联。
Azure Monitor 监视已连接的计算机来宾操作系统性能,并发现应用程序组件,以使用 VM 见解来监视其进程以及与其他资源的依赖项。 使用 Log Analytics 代理从计算机上运行的操作系统或工作负载收集其他日志数据,例如性能数据和事件。
Azure Policy 借助 Azure Policy,客户可以管理和评估已启用 Arc 的服务器的内部和法规合规性。 用户可以根据 Azure Policy 来宾配置来定义、分配和修正,以审核计算机内部的设置,如时区或安全漏洞。
Azure 自动化 使用 PowerShell 和 Python Runbook 自动完成频繁且耗时的管理任务。 使用更改跟踪和清单功能,实现有关安装的软件、Microsoft 服务、Windows 注册表和文件以及 Linux 守护程序的配置更改。 使用更新管理,为 Windows 和 Linux 服务器管理操作系统更新。
Azure 自动管理 将 Automanage 计算机用于已启用 Azure Arc 的服务器时,会自动加入和配置一组 Azure 服务。

已启用 Azure Arc 的服务器可以利用 Azure VM 扩展。 Azure VM 扩展是轻型软件组件,可自动执行操作系统部署后的配置和自动化任务。 通常,Azure VM 扩展仅在 Azure VM 上可用,但现在可以在已启用 Azure Arc 的服务器上使用所选扩展。

分机 说明
自定义脚本扩展 在已启用 Azure Arc 的目标服务器上执行脚本
Desired State Configuration 将 PowerShell DSC 配置应用于已启用 Azure Arc 的目标服务器
Log Analytics 代理 在已启用 Azure Arc 的目标服务器上安装 Log Analytics 代理,并将其配置为将日志转发到 Log Analytics 工作区
依赖关系代理 在已启用 Azure Arc 的目标服务器上安装 Dependency 代理,以辅助确定服务器工作负载的内部和外部依赖项
Azure Key Vault 代理 将证书从 Azure Key Vault 实例同步到已启用 Arc 的服务器
Qualys 扩展 适用于服务器漏洞评估扫描解决方案的 Microsoft Defender