管理已啟用 Azure Arc 的伺服器設定

此參考架構說明如何使用 Azure Arc 來管理、治理及保護跨內部部署、多雲端和邊緣案例的伺服器。 此架構是以適用於 IT 專業人員的 Azure Arc Jumpstart ArcBox 實作為基礎。 ArcBox 是一種解決方案，可為所有 Azure Arc 提供容易部署的沙盒。ArcBox for IT 專業人員是 ArcBox 的版本，適用於想要在沙盒環境中體驗已啟用 Azure Arc 的伺服器功能的使用者。

架構

下載此架構的 PowerPoint 檔案。

元件

此架構由下列元件組成：

• Azure 資源群組 是保留 Azure 解決方案相關資源的容器。 該資源群組可包含解決方案的所有資源，或是只包含您想以群組方式管理的資源。
• ArcBox 活頁簿是 Azure 監視器活頁簿，可提供單一窗格來監視和報告 ArcBox 資源。 活頁簿可做為 Azure 入口網站中資料分析和視覺化的彈性畫布，從來自 ArcBox 的數個資料來源收集資訊，並結合成整合式互動式體驗。
• Azure 監視器可讓您追蹤在 Azure、內部部署或其他雲端中執行的系統效能和事件。
• Azure 原則客體設定 可以針對在 Azure 中執行的機器，以及執行內部部署或其他雲端的已啟用 Azure Arc 的伺服器，稽核操作系統和機器設定。
• Azure Log Analytics 是 Azure 入口網站中的一項工具，可從 Azure 監視器記錄所收集的資料編輯和執行記錄查詢，並以互動方式分析其結果。 您可以使用 Log Analytics 查詢來擷取符合特定準則的記錄、識別趨勢、分析模式，以及提供資料的各種深入解析。
• 適用於雲端的 Microsoft Defender 是雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案。 適用於雲端的 Defender 會尋找雲端設定的弱點，協助強化環境的整體安全性狀態，並可以保護跨多雲端和混合式環境的工作負載免於不斷演變的威脅。
• Microsoft Sentinel 是可調整、雲端原生、安全性資訊和事件管理 （SIEM） 解決方案，以及安全性協調流程、自動化和回應 （SOAR） 解決方案。 Microsoft Sentinel 在整個企業中提供智慧型安全性分析和威脅情報。 它也提供攻擊偵測、威脅可見性、主動式搜捕和威脅回應的單一解決方案。
• 已啟用 Azure Arc 的伺服器使您能將 Azure 連接到企業網路上在 Azure 外部裝載的 Windows 和 Linux 機器。 當伺服器連線到 Azure 時，它會變成已啟用 Azure Arc 的伺服器，並被視為 Azure 中的資源。 每個已啟用 Azure Arc 的伺服器都有資源識別碼、受控系統身分識別，並且會作為訂用帳戶內資源群組的一部分進行管理。 已啟用 Azure Arc 的伺服器受益於標準 Azure 建構，例如清查、原則、標籤和 Azure Lighthouse。
• Hyper-V 巢狀虛擬化 是由適用於 IT 專業人員的 Jumpstart ArcBox 用來裝載 Azure 虛擬機內的 Windows 和 Linux Server 虛擬機。 這種方法提供與使用實體 Windows Server 機器相同的體驗，但不需要硬體需求。
• Azure 虛擬網路 提供專用網，讓 Azure 資源群組內的虛擬機器等元件能夠進行通訊。

案例詳細資料

潛在使用案例

此架構的一般用法包括：

• 跨多個環境組織、控管和清查大型虛擬機器 (VM) 和伺服器群組。
• 使用 Azure 原則，為任何位置的資源實施組織標準及大規模評定合規性。
• 輕鬆地將支援的 VM 擴充功能部署至已啟用 Azure Arc 的伺服器。
• 為裝載於多個環境的 VM 和伺服器設定並強制執行 Azure 原則。

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

設定 Azure Arc Connected Machine 代理

您可以將執行 Windows 或 Linux 的任何其他實體或虛擬機器連線到 Azure Arc。在機器上線之前，請務必完成已連線機器代理程式必要條件，其中包括註冊已啟用 Azure Arc 的伺服器的 Azure 資源提供者。 若要使用 Azure Arc 將機器連線至 Azure，您必須在計劃使用 Azure Arc 連線的每部機器上安裝 Azure Connected Machine 代理程式。如需詳細資訊，請參閱已啟用 Azure Arc 的伺服器代理程式概觀。

設定連線的計算機代理程序之後，每隔五分鐘就會將一般活動訊號訊息傳送至 Azure。 未收到活動訊號時，Azure 會將計算機指派 離線 狀態，這會在15到30分鐘內反映在入口網站中。 當 Azure 從連線的電腦代理程式收到後續的活動訊號訊息時，其狀態會自動變更為 Connected。

Azure 中有數個選項可用來連線您的 Windows 和 Linux 機器，包括：

• 手動安裝：您可以使用 Windows Admin Center 或手動執行一組步驟，為環境中的一或多部 Windows 或 Linux 機器啟用 Azure Arc 的伺服器。
• 使用文稿進行安裝：您可以執行從 Azure 入口網站下載的範本腳本來執行自動化代理程式安裝。
• 使用服務主體大規模連接機器：若要大規模上線，請使用服務主體，並透過組織現有的自動化進行部署。
• 使用 Windows PowerShell DSC 進行安裝。

如需各種可用部署選項的所有文件，請參閱 Azure Connected Machine 代理程式部署選項。

啟用 Azure 原則來賓設定

已啟用 Azure Arc 的伺服器支援在 Azure 資源管理層套用 Azure 原則，以及在個別伺服器機器內套用來賓設定原則。 Azure 原則客體設定可以稽核機器內的設定，無論是在 Azure 中執行的機器，還是啟用 Azure Arc 的伺服器。 舉例來說，您可以稽核像這樣的設定：

• 作業系統設定
• 應用程式設定或目前狀態
• 環境設定

Azure Arc 有數個 Azure 原則內建定義。這些原則提供 Windows 和 Linux 電腦的稽核和設定。

啟用 Azure 更新管理員和變更追蹤

請務必透過啟用下列元件，為已啟用 Azure Arc 的伺服器採用更新管理程式：

• 使用 Azure Update Manager 來管理、評估和控管所有伺服器上 Windows 和 Linux 更新的安裝。
• 針對已啟用 Azure Arc 的伺服器使用 變更追蹤和清查，以：
  • 判斷環境中已安裝哪些軟體。
  • 收集並觀察軟體、檔案、Linux 精靈、Windows 服務和 Windows 登錄機碼的清查。
  • 追蹤機器的設定，以找出整個環境的作業問題，並進一步了解機器的狀態。

監視已啟用 Azure Arc 的伺服器

使用 Azure 監視器來大規模監視 VM、Azure 虛擬機擴展集和 Azure Arc 機器。 使用 Azure 監視器來：

• 分析 Windows 和 Linux VM 的效能和健康情況。
• 監視 VM 進程和其他資源和外部進程的相依性。
• 監視裝載於內部部署或其他雲端提供者之 VM 的效能和應用程式相依性。

Azure 監視器代理程式應該透過 Azure 原則自動部署到已啟用 Azure Arc 的 Windows 和 Linux 伺服器。 檢閱並瞭解 Azure 監視器代理程式 在部署前的運作和收集數據的方式。

設計和規劃您的 Azure 監視器記錄工作區部署。 工作區是收集、匯總和分析數據的容器。 Azure 監視器記錄工作區代表數據的地理位置、數據隔離，以及數據保留等設定的範圍。 使用單一 Azure 監視器記錄工作區，如適用於 Azure 的雲端採用架構 管理和監視最佳做法中所述。

保護已啟用 Azure Arc 的伺服器

使用 Azure 角色型存取控制 （RBAC） 來控制和管理已啟用 Azure Arc 之伺服器上受控識別的許可權，以及針對這些身分識別執行定期存取權檢閱。 控制特殊許可權的使用者角色，以防止系統管理的身分識別被誤用，以未經授權存取 Azure 資源。

• 請考慮使用 Azure Key Vault 來管理已啟用 Azure Arc 的伺服器上的憑證。 您可以使用金鑰保存庫 VM 擴充功能來管理 Windows 和 Linux 機器上的憑證生命週期。
• 將已啟用 Azure Arc 的伺服器連線到適用於雲端的 Defender。 使用適用於雲端的 Defender 收集安全性相關設定和事件記錄檔，以建議動作並改善整體 Azure 安全性狀態。
• 將已啟用 Azure Arc 的伺服器連線至 Microsoft Sentinel。 使用Microsoft Sentinel 收集安全性相關事件，並將其與其他數據源相互關聯。

驗證網路拓撲

適用於 Linux 和 Windows 的 Connected Machine 代理程式會透過 TCP 連接埠 443，安全地將訊息輸出到 Azure Arc。 線上的電腦代理程式可以使用下列方法連線到 Azure 控制平面：

• 選擇從防火牆或 Proxy 伺服器後方直接連線至 Azure 公用端點。
• 使用私人連結範圍模型的 Azure Private Link，允許多個伺服器或機器使用單一私人端點與其 Azure Arc 資源通訊。

如需已啟用 Azure Arc 的伺服器實作的完整網路指引，請參閱 已啟用 Azure Arc 的伺服器網路拓撲和連線能力。

考量

這些考量能實作 Azure Well-Architected Framework 的支柱，其為一組指導原則，可以用來改善工作負載的品質。 如需更多資訊，請參閱 Microsoft Azure 結構完善的架構。

可靠性

可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊，請參閱 可靠性的設計檢閱檢查清單。

• 在大部分情況下，您在建立安裝指令碼時所選取的位置，應該是地理位置最接近機器位置的 Azure 區域。 其餘的數據會儲存在包含您所指定區域的 Azure 地理位置內，如果您有數據落地需求，可能會影響您選擇的區域。 如果中斷會影響您的計算機所連線的 Azure 區域，中斷不會影響已啟用 Azure Arc 的伺服器。 不過，使用 Azure 的管理作業可能無法使用。
• 如果 Azure 連線的機器代理程式停止將活動訊號傳送至 Azure 或離線，則您無法對它執行作業工作。 因此，您必須 開發通知和回應的計劃，。
• 設定資源健康狀態警示，在資源的健康情況狀態變更時，以近即時的方式通知您。 並在 Azure 原則中定義監視和警示原則，以識別已啟用 Azure Arc 的伺服器狀況不良。
• 將您目前的備份解決方案延伸至 Azure，或輕鬆地設定應用程式感知複寫和應用程式一致備份，以根據您的業務需求進行調整。 Azure 備份 和 Azure Site Recovery 的集中式管理介面 可讓您輕鬆地定義原則，以原生方式保護、監視和管理已啟用 Azure Arc 的 Windows 和 Linux 伺服器。
• 檢閱商務持續性和災害復原指引，以判斷是否符合您的企業需求。
• 如需解決方案的其他可靠性考慮，請參閱 Well-Architected Framework 中 可靠性設計原則。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊，請參閱 安全性的設計檢閱檢查清單。

• 應針對已啟用 Azure Arc 的伺服器管理適當的 Azure RBAC。 若要讓機器上線，您必須具備 Azure Connected Machine 上線角色。 若要讀取、修改、重新上線和刪除機器，您必須具備 Azure Connected Machine 資源管理員角色。
• 適用於雲端的Defender可以監視由其他雲端提供者裝載的內部部署系統、Azure VM 和 VM。 針對所有訂用帳戶啟用 Azure Arc 的伺服器啟用Microsoft Defender，以進行安全性基準監視、安全性狀態管理和威脅防護。
• Microsoft Sentinel 有助於使用內建連接器，簡化從不同來源 (包括 Azure、內部部署解決方案和不同雲端) 收集資料的作業。
• 您可以使用 Azure 原則來管理已啟用 Azure Arc 的伺服器的安全策略，包括在適用於雲端的 Defender 中實作安全策略。 安全性原則會定義工作負載所需的設定，並協助確保您符合公司或法規上的安全性需求。 適用於雲端的 Defender 原則是基於 Azure 原則中建立的原則倡議。
• 若要限制可在已啟用 Azure Arc 的伺服器上安裝哪些延伸模組，您可以設定您想要在伺服器上允許和封鎖的延伸模組清單。 延伸模組管理員會評估針對允許清單和封鎖清單安裝、更新或升級延伸模組的所有要求，以判斷是否可以在伺服器上安裝擴充功能。
• Azure Private Link 可讓您使用私人端點，將 Azure PaaS 服務安全地連結至您的虛擬網路。 您可以使用 Azure Arc 連線內部部署或多雲端伺服器，並透過 Azure ExpressRoute 或站對站 VPN 連線來傳送所有流量，而不是使用公用網路。 您可以使用私人連結範圍模型，允許多個伺服器或機器使用單一私人端點與其 Azure Arc 資源通訊。
• 如需已啟用 Azure Arc 的伺服器安全性功能的完整概觀，請參閱已啟用 Azure Arc 的伺服器安全性概觀。
• 如需解決方案的其他安全性考慮，請參閱 Well-Architected Framework 中的 安全性設計原則。

成本優化

成本優化是考慮如何減少不必要的費用，並提升營運效率。 如需詳細資訊，請參閱 成本優化的設計檢閱檢查清單。

• 使用 Azure Arc 控制平面功能不需額外付費。 這包括透過 Azure 管理群組和標籤支援資源組織，以及透過 Azure RBAC 的訪問控制。 與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務會根據其使用量產生成本。
• 如需更多 Azure Arc 成本優化指引，請參閱 已啟用 Azure Arc 的伺服器成本控管。
• 如需解決方案的其他成本優化考慮，請參閱 Well-Architected Framework 中的 成本優化設計原則。
• 使用 Azure 定價計算機來預估成本。
• 部署此架構的 Jumpstart ArcBox for IT 專業人員參考實作時，請記住 ArcBox 資源會產生來自基礎 Azure 資源的 Azure 使用量費用。 這些資源包括核心計算、記憶體、網路和輔助服務。

卓越營運

卓越營運涵蓋部署應用程式的作業程式，並讓它在生產環境中執行。 如需詳細資訊，請參閱 Operational Excellence的設計檢閱檢查清單。

• 自動部署已啟用 Azure Arc 的伺服器環境。 此架構的參考實作會合併使用 Azure ARM 範本、VM 擴充功能、Azure 原則設定和 PowerShell 指令碼來完全自動化。 您也可以針對自己的部署重複使用這些成品。 如需詳細資訊，請參閱 已啟用 Azure Arc 之伺服器的自動化專業領域。
• Azure 中有數個選項可用來將已啟用 Azure Arc 的伺服器上線 自動化。 若要大規模上線，請使用服務主體，並透過組織現有的自動化平台進行部署。
• VM 擴充功能可以部署到已啟用 Azure Arc 的伺服器，以簡化混合式伺服器的整個生命週期管理。 請考慮在大規模管理伺服器時，透過 Azure 原則自動部署 VM 擴充功能。
• 在已上線的 Azure Arc 伺服器中啟用修補程式和更新管理，以簡化作業系統生命週期管理。
• 請參閱 Azure Arc Jumpstart Unified Operations Use Cases，以瞭解已啟用 Azure Arc 的伺服器的其他營運卓越案例。
• 如需解決方案的其他卓越營運考慮，請參閱 Well-Architected 架構中的 Operational Excellence 設計原則。

效能效率

效能效率是工作負載調整的能力，以符合使用者以有效率的方式滿足其需求。 如需詳細資訊，請參閱 效能效率的設計檢閱檢查清單。

• 在使用已啟用 Azure Arc 的伺服器設定您的機器之前，您應檢閱 Azure Resource Manager 訂閱限制和資源群組限制，以規劃要連線的機器數量。
• 部署指南中所述的階段式部署方法可協助您判斷實作的資源容量需求。
• 使用 Azure 監視器將數據直接從已啟用 Azure Arc 的伺服器收集到 Azure 監視器記錄工作區，以取得詳細的分析和相互關聯。 檢閱 Azure 監視器代理程式 部署選項。
• 如需解決方案的效能效率考慮，請參閱 Well-Architected Framework 中的 效能效率原則。

部署此案例

您可以在適用於 IT 專業人員的 Jumpstart ArcBox中找到此架構的參考實作，並包含在 Azure Arc Jumpstart 專案中。 ArcBox 的設計目的是在單一 Azure 訂用帳戶和資源群組內獨立。 ArcBox 可讓使用者輕鬆取得所有可用 Azure Arc 技術的實作體驗，與可用的 Azure 訂用帳戶一樣。

若要部署參考實作，請選取 [Jumpstart ArcBox for IT 專業人員，並遵循 GitHub 存放庫中的步驟。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者：

• Pieter de Bruin | 資深計劃經理

若要查看非公開的 LinkedIn 設定檔，請登入 LinkedIn。

下一步

• 深入了解 Azure Arc
• 深入了解已啟用 Azure Arc 的伺服器
• Azure Arc 學習路徑
• 在 Azure Arc Jumpstart 中檢閱 Azure Arc Jumpstart 案例
• 在雲端採用架構中檢閱已啟用 Azure Arc 的伺服器登陸區域加速器

相關資源

探索相關的架構：

• 使用 Azure Arc 優化 SQL Server
• 適用於 Kubernetes 叢集的 Azure Arc 混合式管理和部署