Azure 上的 Red Hat Enterprise Linux 管理和監視考慮

本文說明如何使用各種服務和工具來管理及監視 Azure 上的 Red Hat Enterprise Linux （RHEL）。

如果您執行綠地部署，您可以使用 Azure 變更追蹤 功能輕鬆地識別變更。 您也可以使用 Azure 自動化 更新管理功能來管理 RHEL 虛擬機 （VM） 的作業系統更新。

針對現有的棕色地帶部署，您可以使用 Red Hat Satellite，並從內部部署環境將服務延伸至 Azure，以利用現有的技能集。

內容流程

使用 Red Hat Satellite，您可以提供內容，並將修補程式套用至所有生命週期階段有系統地裝載。 Red Hat Satellite 中的內容流程涉及從外部來源到主機的內容管理和發佈。

衛星中的內容會從外部內容來源流向附屬伺服器。 膠囊伺服器會將內容從附屬伺服器鏡像到主機。 內容流程包含下列步驟：

1. 設定外部內容來源。 您可以使用 Satellite 設定許多內容來源。 支援的內容來源包括 Red Hat 客戶入口網站、Git 存放庫、Ansible 集合、Docker Hub、安全性內容自動化通訊協定 （SCAP） 存放庫，或組織中的內部數據存放區。

2. 管理內容生命週期。 您可以使用 Satellite Server 來規劃和管理內容生命週期。

3. 建立內容來源。 建立 Capsule 伺服器，以根據您的需求，在各種位置建立內容來源。 例如，您可以為個別地理位置建立內容來源，或為具有個別網路的數據中心建立多個內容來源。

4. 指派主機系統。 當您將主機系統指派給 Capsule Server 或直接指派給附屬伺服器時，您可確保主機會收到它們提供的內容。 您可以有實體或虛擬主機。

部署策略

我們建議您使用自動化軟體更新管理解決方案，而不是手動更新安裝程式。 當您使用棕色地帶安裝時，請考慮與內部部署解決方案整合。 當您在 Azure 上部署新的工作負載時，請使用雲端原生工具，例如 更新管理 或 Azure 上的 Ansible，大幅縮短與其他合作夥伴開放原始碼軟體相比的價值時間。

考量

當您部署任何自動更新管理解決方案時，請考慮 Linux 軟體套件存放庫的位置。

Microsoft提供 公用存放庫 ，以程式設計方式更新支援的 Linux 發行版套件。 Red Hat 為已註冊系統的軟體套件提供自己的存放庫。 Red Hat 使用適用於 RHEL 9 的 Red Hat 內容傳遞網路和 Red Hat 訂用帳戶管理員。

內容傳遞網路結構

Red Hat 內容傳遞網路是一系列地理位置分散的靜態網頁伺服器，其中包含要取用之系統的內容和 errata。 系統可以直接取用此內容，例如透過您向 Red Hat 訂用帳戶管理註冊的系統，或透過內部部署解決方案鏡像，例如 Red Hat Satellite 6。 您可以透過 cdn.redhat.com存取 Red Hat 內容傳遞網路。 x.509 憑證驗證可保護 Red Hat 內容傳遞網路，以確保只有有效的使用者可以存取它。

如果您向 Red Hat 訂用帳戶管理註冊系統，附加的訂用帳戶會控管系統可以存取的內容傳遞網路子集。 如果您向 Satellite 6 註冊系統，則附加至訂閱指令清單的訂用帳戶會控管系統可以存取的內容傳遞系統的子集。

建議

實作下列建議，以協助管理和監視您的環境。

使用自定義映像而非 Azure Marketplace 映像

您可以使用預先定義的 Azure Marketplace 映射來建置 Azure VM。 或者， 您可以使用自定義 Linux 映像 來建置及控制您的特定合規性和安全性需求。 如果您使用支援的Linux發行版，例如 RHEL，請遵循建置客戶映像的特定指引，例如 RHEL 8 指引。 如果您使用自定義 Linux 映射，請遵循 更新管理員最佳做法指引。

在非生產環境中執行更新測試

將測試環境與生產環境分開，以協助將生產工作負載的潛在負面影響降到最低。 使用 Azure DevTest Labs 來提供隔離並降低雲端訂用帳戶成本，同時加速新的更新測試。 使用 Azure DevOps 或類似的工具來實作持續整合和持續傳遞 （CI/CD） 管線。

如果新的更新導入了重大問題，請具備清楚且經過測試的回復策略。 這些策略應包括資料庫備份、快照集和快速部署逆轉機制。

請考慮排程和維護時段

您可以使用 自動化 帳戶來協助協調雲端環境中軟體更新的排程。

使用藍綠部署模型或 Azure App 服務 部署位置，協助將任何指定軟體更新維護期間所需的整體時間降到最低。 請記住，Azure 服務會更新基礎結構，並可能會影響作用中的 VM。 如需詳細資訊，請參閱您 Azure 入口網站 中的 Azure 服務健康情況。

設定安全性和合規性

使用 Azure 原則 以確保您的環境符合組織的安全性和合規性標準。 如需詳細資訊，Azure 原則 概觀。

您可以使用 Azure 原則 來：

• 強制執行合規性和治理標準，例如稽核和合規性報告。
• 提供資源管理和成本控制，例如資源一致性和成本管理。
• 提供安全性和訪問控制，例如安全性基準和角色型訪問控制 （RBAC）。

管理相依性和相容性

適當地記載應用程式所依賴之任何合作夥伴服務的連結庫、架構及任何合作夥伴服務。 使用基礎結構即程序代碼，例如 Azure Resource Manager 範本（ARM 範本）或 Terraform，以一致的設定來定義和管理雲端資源。 使用此方法可降低環境漂移的風險。

針對私人套件存放庫使用 Azure Artifacts ，協助確保您在環境中一致地安裝正確的軟體。 使用 GitHub Dependabot 之類的工具，協助您在存放庫中尋找軟體相依性。

設定備份和復原

對於重要應用程式，請考慮使用應用程式一致快照集。 對於較不複雜的案例，請使用檔案一致快照集。

Azure 備份 提供的快照集類型包括：

• VM 快照集。
• 連結至指定 VM 之磁碟的磁碟快照集。

若要管理快照集，請使用：

• 自動備份排程：您可以定期擷取快照集，以確保您有一致的數據備份，而不需要手動介入。

• 保留原則：使用備份來設定保留原則，以保留快照集的時間長度。 使用此方法符合數據保留需求，並有效地管理記憶體成本。

使用時間點還原，將 VM 或磁碟還原為快照集擷取的狀態。 請確定您的環境會快速從數據損毀、意外刪除或類似事件中復原。

組態管理和變更管理

針對 Red Hat 基礎結構，您可以使用 Ansible Automation Platform 來執行 設定管理。

Red Hat Ansible 自動化平臺概觀

Red Hat Ansible Automation Platform 可簡化自動化工作負載的開發與作業，以管理企業應用程式基礎結構生命週期。 Ansible Automation Platform 可跨多個 IT 網域運作，包括作業、網路功能、安全性和開發，以及跨各種混合式環境。 您可以使用 Ansible 自動化平臺，在自動化旅程中的任何步驟快速實作全企業自動化。

您可以使用自動化更新管理功能和 Azure 更新管理員，在 Azure 環境中追蹤和實作變更管理。 自動化更新管理功能將於 2024 年 8 月 31 日淘汰。 建議您繼續使用更新管理員。

如需詳細資訊，請參閱

• Ansible 自動化平臺中包含的內容。
• Red Hat Ansible Automation Platform 升級和移轉指南。
• Ansible Automation Platform 安裝指南。

管理更新的 Azure 原生工具

與自動化更新管理功能不同，更新管理員不會相依於自動化或 Azure 監視器記錄。 更新管理員提供 許多額外的功能， 相較於自動化中的原始版本，提供增強的功能。

下圖顯示Update Manager混合式連線設定。

如需詳細資訊，請參閱

• 更新管理員概觀
• 檢視單一機器的更新
• 立即部署單一機器的更新 (隨選)
• 排程週期性更新
• 在入口網站中管理更新設定
• 使用更新管理員管理多部計算機

VM 監視和報告

RHEL 提供一組健全的 命令行工具 ，可提供操作系統的深層次效能和微調、執行中的進程，以及個別 VM 上的基礎結構元件。

您可以使用 Azure 監視器 來收集數據、分析數據，以及為雲端和內部部署環境建立報告。 下圖顯示您可以使用的工具。

Azure 監視具有納入客戶數據源的功能，如下圖所示。

Azure Linux VM 監視

Azure 監視器會使用代理程式從 Azure VM 收集開機數據和效能數據。 它會將此資料儲存在 Azure 記憶體中，並透過 Azure 入口網站、Azure PowerShell 模組和 Azure CLI 加以存取。 為了提供 VM 的進階監視，Azure 監視器會收集效能計量，並探索 VM 上安裝的應用程式元件。 您也可以使用效能圖表和相依性對應。

原生 Azure VM 支援開機診斷。 針對內部部署Linux VM，我們建議 使用 Azure Arc 來取得完整的混合式解決方案。 瞭解如何 在Linux VM上啟用 Azure Arc。

在 Azure Linux VM 上啟用開機診斷

Linux VM 啟動時，開機診斷擴充功能會擷取開機輸出，並將其儲存在 Azure 記憶體中。 您可以使用此資料來針對 VM 開機問題進行疑難解答。 當您使用 Azure CLI 建立 Linux VM 時，不會自動啟用開機診斷。

啟用開機診斷之前，請先建立記憶體帳戶來儲存開機記錄。 使用 az storage account create 命令來建立帳戶。 請確定您的記憶體帳戶具有介於 3 到 24 個字元之間的全域唯一名稱，且只包含數位和小寫字母。

啟用開機診斷之後，每次停止並啟動 VM 時，開機程式的相關信息都會寫入記錄檔。

檢視主機計量

Linux VM 在 Azure 中具有與其互動的專用主機。 系統會自動收集主機的計量，而且您可以在 Azure 入口網站 中檢視計量。

1. 在 Azure 入口網站 中，依序選取 [資源群組]、[myResourceGroupMonitor]，然後在資源清單中選取 [myVM]。

2. 若要查看主機 VM 的執行方式，請選取 [監視] 區段中的 [計量]，然後選擇 [可用計量] 底下的任何 [主機] 計量。

   

啟用進階監視

若要在 適用於 VM 的 Azure 監視器 中啟用進階監視：

1. 在 Azure 入口網站 中，依序選取 [資源群組]、[myResourceGroupMonitor]，然後在資源清單中選取 [myVM]。

2. 在 [監視] 區段中，選取 [深入解析]。

3. 選取啟用。

   

4. 在 Azure 監視器深入解析上線 頁面上，如果您有相同訂用帳戶中的現有 Log Analytics 工作區，請在下拉式清單中選取它。

   清單會預先選取用來在訂用帳戶中部署 VM 的預設工作區和位置。

   注意

   若要建立新的 Log Analytics 工作區以儲存來自 VM 的監視資料，請參閱建立 Log Analytics 工作區。 工作區必須屬於其中一個支援的區域。

   啟用監視之後，您可能需要等候幾分鐘，才能檢視 VM 的效能計量。

   

檢視 VM 效能計量

適用於 VM 的 Azure 監視器 包含一組以數個關鍵效能指標為目標的效能圖表，可協助您判斷 VM 的執行效能。 若要從您的 VM 存取圖表，請執行下列步驟。

1. 在 Azure 入口網站 中，依序選取 [資源群組]、[myResourceGroupMonitor]，然後在資源清單中選取 [myVM]。
2. 在 [監視] 區段中，選取 [深入解析]。
3. 選取 [效能] 索引標籤。此頁面包含效能使用量圖表，也為每個探索到的邏輯磁碟、其容量、使用量，以及每個度量的總平均值提供數據表。

建立警示

您可以根據特定效能計量來建立警示。 使用警示在發生特定事件時取得通知。 例如，當平均 CPU 使用量超過特定閾值，或可用可用磁碟空間低於特定數量時，您可以取得警示。 您可以在 Azure 入口網站 中檢視警示，或透過電子郵件接收警示。 您也可以在產生警示時觸發自動化 Runbook 或 Azure Logic Apps。

以下範例會建立平均 CPU 使用量的警示。

1. 在 Azure 入口網站 中，依序選取 [資源群組]、[myResourceGroupMonitor]，然後在資源清單中選取 [myVM]。
2. 選取 [VM] 窗格上的 [警示規則 ]。 然後選取 [警示] 窗格頂端的 [新增計量警示 ]。
3. 提供 警示的名稱 ，例如 myAlertRule。
4. 若要在 CPU 百分比超過 1.0 5 分鐘時觸發警示，請保留選取所有其他預設值。
5. 您可以選擇性地選取 [電子郵件擁有者]、[參與者] 和 [讀取者 ] 以傳送電子郵件通知。 默認動作會在其入口網站中呈現通知。
6. 選取 [確定]。

後續步驟

• Azure 上的 Red Hat Enterprise Linux 治理和合規性