什麼是啟用 Azure Arc 的伺服器?
已啟用 Azure Arc 的伺服器可讓您管理裝載於 Azure 外部、公司網路上或其他雲端提供者上的 Windows 和 Linux 實體伺服器與虛擬機器。 為了 Azure Arc 的目的,這些裝載於 Azure 外部的機器會被視為混合式機器。 Azure Arc 中的混合式機器管理的設計目的是要與您使用標準 Azure 建構 (例如 Azure 原則和套用標籤) 來管理原生 Azure 虛擬機器的方式保持一致。 (如需混合式環境的其他資訊,請參閱什麼是混合雲?)
混合式機器連線至 Azure 時會轉為已連線的機器,系統會將其視為 Azure 中的資源。 每台連線的機器都有一個資源識別碼,可讓機器包含在資源群組中。
若要將混合式機器連線至 Azure,您可以在每台機器上安裝 Azure Connected Machine 代理程式。 此代理程式不會取代 Azure Azure 監視器代理程式。 需要適用於 Windows 和 Linux 的 Azure 監視器代理程式才能:
- 主動監視電腦上執行的 OS 和工作負載
- 使用自動化 Runbook 或更新管理等解決方案進行管理
- 使用其他 Azure 服務,例如適用於雲端的 Microsoft Defender
您可以手動安裝 Connected Machine 代理程式,也可以使用最適合您的場景的部署方法在多台機器上大規模安裝。
注意
此服務支援 Azure Lighthouse,可讓服務提供者登入其本身的租用戶,以管理客戶所委派的訂用帳戶和資源群組。
注意
如需關於 Azure Arc 供應項目不同服務的更多指導,請參閱為機器選擇正確的 Azure Arc 服務。
受支援的雲端作業
當您將機器連線到已啟用 Azure Arc 的伺服器時,您可以執行許多作業功能,就像使用原生 Azure 虛擬機器一樣。 以下是連線機器的一些主要支援動作。
- 治理:
- 指派 Azure 機器設定以稽核機器內的設定。 若要了解搭配已啟用 Arc 的伺服器使用 Azure 機器設定原則的成本,請參閱 Azure 原則價格指南。
- 保護:
- 使用適用於端點的 Microsoft Defender 保護非 Azure 伺服器,包括透過適用於雲端的 Microsoft Defender,針對威脅偵測、針對弱點管理,以及主動監視潛在的安全性威脅。 適用於雲端的 Microsoft Defender 提供偵測到威脅的警示和補救建議。
- 使用 Microsoft Sentinel 來收集與安全性相關的事件,並將其與其他資料來源相互關聯。
- 設定:
- 使用 Azure 自動化透過 PowerShell 和 Python Runbook 來執行頻繁且耗時的管理工作。 使用變更追蹤和清查,評估已安裝軟體、Microsoft 服務、Windows 登錄和檔案以及 Linux 精靈的組態變更
- 使用更新管理來管理 Windows 和 Linux 伺服器的作業系統更新。 當您使用 Azure Automanage (預覽) 時會自動加入並設定一組 Azure 服務。
- 使用適用於非 Azure Windows 或 Linux 機器的受支援的已啟用 Arc 的伺服器 VM 延伸模組來執行部署後設定和自動化工作。
- 監視器:
- 使用 VM 深入解析來監視作業系統效能並探索應用程式元件,以監視處理序以及與其他資源的相依性。
- 使用 Azure 監視器代理程式,以從作業系統或機器上執行的工作負載中收集其他記錄資料 (例如效能資料和事件)。 此資料會儲存在 Log Analytics 工作區中。
注意
目前,不支援直接從已啟用 Azure Arc 的伺服器中啟用 Azure 自動化更新管理。 請參閱從自動化帳戶啟用更新管理,以了解需求和如何為非 Azure VM 啟用更新管理。
從混合式機器收集並儲存在 Log Analytics 工作區中的記錄資料包含該機器特有的屬性 (例如資源 ID),以支援資源內容記錄存取。
請觀看這段影片,以深入了解混合雲和多雲環境中的 Azure 監視、安全性和更新服務。
支援的區域
如需支援使用已啟用 Azure Arc 的伺服器的區域清單,請參閱依區域分類的 Azure 產品頁面。
在大部分情況下,您在建立安裝指令碼時所選取的位置,應該是地理位置最接近機器位置的 Azure 區域。 待用資料會儲存在包含您所指定區域的 Azure 地理位置中,如果您有資料落地需求,這可能也會影響選擇的區域。 如果機器連線的 Azure 區域發生中斷,連線的機器不會受到影響,但使用 Azure 的管理作業可能無法完成。 如果發生區域中斷情況,而且您有多個位置支援異地備援服務,則最好將每個位置的機器連線到不同的 Azure 區域。
有關已連線機器的執行個體中繼資料的資訊會被收集並儲存在設定 Azure Arc 機器資源的區域中,包括以下各項:
- 作業系統名稱和版本
- 電腦名稱
- 電腦的完整網域名稱 (FQDN)
- Connected Machine 代理程式版本
例如,如果機器是向美東地區的 Azure Arc 註冊,則中繼資料會儲存在美國地區。
支援的環境
已啟用 Azure Arc 的伺服器支援管理裝載於 Azure 外部的實體伺服器和虛擬機器。 有關裝載 VM 的受支援混合雲環境的具體詳細資料,請參閱 Connected Machine 代理程式先決條件。
注意
已啟用 Azure Arc 的伺服器並非設計用於或支援對 Azure 中執行的虛擬機器進行管理。
專員狀態
已連線機器的狀態可以在 Azure 入口網站中的 Azure Arc > Servers 下檢視。
Connected Machine 代理程式每隔五分鐘會定期將活動訊號訊息傳送至服務。 如果服務停止接收來自某台機器的這些活動訊號訊息,則該機器會被視為離線,且其狀態將在 15 到 30 分鐘內自動變更為「已中斷連線」。 從 Connected Machine 代理程式收到後續的活動訊號訊息時,其狀態會自動變更回「已連線」。
如果機器維持中斷連線 45 天,則其狀態可能會變更為「已過期」。 過期的機器無法再連線到 Azure,需要伺服器管理員中斷連線,然後再重新連線到 Azure,以繼續使用 Azure Arc 來管理它。機器到期的確切日期由受控識別認證的到期日期決定,該認證有效期最多為 90 天,每 45 天更新一次。
如果電腦收到 429 錯誤訊息或顯示間歇性連線狀態,可能是不正確的複製計算機。 如需詳細資訊,請參閱複製指導方針。
服務限制
您可以在資源群組或訂用帳戶中部署的已啟用 Arc 的伺服器和 VM 延伸模組沒有限制。 每個資源群組的標準 800 個資源限制會套用至 Azure Arc 私人連結範圍資源類型。
若要深入了解資源類型限制,請參閱資源執行個體限制一文。
資料落地
已啟用 Azure Arc 的伺服器可儲存客戶資料。 根據預設,客戶資料會保留在客戶部署服務執行個體的區域內。 針對具有資料落地需求的區域,客戶資料一律會保留在相同的區域內。
下一步
- 在多台混合式機器之間評估或啟用已啟用 Azure Arc 的伺服器之前,請檢閱Connected Machine 代理程式概觀以了解需求、代理程式的相關技術詳細資料和部署方法。
- 使用 Azure Arc Jumpstart 試用已啟用 Arc 的伺服器。
- 請檢閱規劃和部署指南,規劃以任何規模部署已啟用 Azure Arc 的伺服器,並實作集中式管理和監視。
- 探索適用於混合雲和多雲的 Azure Arc 登陸區域加速器。