Hantera konfigurationer för Azure Arc-aktiverade servrar

Den här referensarkitekturen illustrerar hur Azure Arc gör att du kan hantera, styra och skydda servrar i lokala scenarier, scenarier med flera moln och kanter, och baseras på Implementeringen av Azure Arc Jumpstart ArcBox for IT Pros . ArcBox är en lösning som ger en enkel distribution av sandbox-miljön för allt som rör Azure Arc. ArcBox for IT Pros är en version av ArcBox som är avsedd för användare som vill uppleva Azure Arc-aktiverade servrar i en sandbox-miljö.

Arkitektur

Ladda ned en PowerPoint-fil med den här arkitekturen.

Komponenter

Arkitekturen består av följande komponenter:

• En Azure-resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning. Resursgruppen kan innehålla alla resurser för lösningen, eller endast de resurser som du vill hantera som en grupp.
• ArcBox-arbetsboken är en Azure Monitor-arbetsbok som innehåller en enda fönsterruta för övervakning och rapportering av ArcBox-resurser. Arbetsboken fungerar som en flexibel arbetsyta för dataanalys och visualisering i Azure-portalen, samlar in information från flera datakällor från hela ArcBox och kombinerar dem till en integrerad interaktiv upplevelse.
• Med Azure Monitor kan du spåra prestanda och händelser för system som körs i Azure, lokalt eller i andra moln.
• Azure Policy-gästkonfiguration kan granska operativsystem och datorkonfiguration både för datorer som körs på Azure- och Arc-aktiverade servrar som körs lokalt eller i andra moln.
• Azure Log Analytics är ett verktyg i Azure-portalen för att redigera och köra loggfrågor från data som samlas in av Azure Monitor-loggar och interaktivt analysera deras resultat. Du kan använda Log Analytics-frågor till att hämta poster som matchar specifika kriterier, identifiera trender, analyserar mönster och ger olika insikter om dina data.
• Microsoft Defender för molnet är en lösning för hantering av molnsäkerhetsstatus (CSPM) och CWP (Cloud Workload Protection). Microsoft Defender för molnet hittar svaga punkter i molnkonfigurationen, hjälper till att stärka den övergripande säkerhetspositionen i din miljö och kan skydda arbetsbelastningar i miljöer med flera moln och hybridmiljöer från att utveckla hot.
• Microsoft Sentinel är en skalbar, molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för attackidentifiering, hotsynlighet, proaktiv jakt och hotsvar.
• Med Azure Arc-aktiverade servrar kan du ansluta Azure till dina Windows- och Linux-datorer utanför Azure i företagets nätverk. När en server är ansluten till Azure blir den en Arc-aktiverad server och behandlas som en resurs i Azure. Varje Arc-aktiverad server har ett resurs-ID, en hanterad systemidentitet och hanteras som en del av en resursgrupp i en prenumeration. Arc-aktiverade servrar drar nytta av azure-standardkonstruktioner som inventering, princip, taggar och Azure Lighthouse.
• Hyper-V-kapslad virtualisering används av Jumpstart ArcBox för IT-proffs som värd för virtuella Windows Server-datorer i en virtuell Azure-dator. Detta ger samma upplevelse som att använda fysiska Windows Server-datorer, men utan maskinvarukraven.
• Azure Virtual Network tillhandahåller ett privat nätverk som gör det möjligt för komponenter i Azure-resursgruppen att kommunicera, till exempel de virtuella datorerna.

Information om scenario

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

• Organisera, styra och inventera stora grupper av virtuella datorer (VM) och servrar i flera miljöer.
• Framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala för alla dina resurser var som helst med Azure Policy.
• Distribuera enkelt VM-tillägg som stöds till Arc-aktiverade servrar.
• Konfigurera och tillämpa Azure Policy för virtuella datorer och servrar som finns i flera miljöer.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Konfigurera Azure Arc Anslut ed Machine-agent

Du kan ansluta alla andra fysiska eller virtuella datorer som kör Windows eller Linux till Azure Arc. Innan du registrerar datorer måste du slutföra kraven för Anslut datoragent, vilket innefattar registrering av Azure-resursprovidrar för Azure Arc-aktiverade servrar. Om du vill använda Azure Arc för att ansluta datorn till Azure måste du installera Azure Anslut ed Machine-agenten på varje dator som du planerar att ansluta med Azure Arc. Mer information finns i Översikt över Azure Arc-aktiverad serveragent.

När den Anslut ed Machine-agenten har konfigurerats skickar den ett regelbundet pulsslagsmeddelande var femte minut till Azure. När pulsslag inte tas emot tilldelar Azure datorn offlinestatus, vilket återspeglas i portalen inom 15 till 30 minuter. När du får ett efterföljande pulsslagsmeddelande från den Anslut ade datoragenten ändras dess status automatiskt till Anslut ed.

Det finns flera tillgängliga alternativ i Azure för att ansluta dina Windows- och Linux-datorer:

• Manuell installation: Azure Arc-aktiverade servrar kan aktiveras för en eller några Windows- eller Linux-datorer i din miljö med hjälp av Windows Admin Center-verktygsuppsättningen eller genom att utföra en uppsättning steg manuellt.
• Skriptbaserad installation: Du kan utföra automatisk agentinstallation genom att köra ett mallskript som du laddar ned från Azure-portalen.
• Anslut datorer i stor skala med hjälp av ett huvudnamn för tjänsten: Använd tjänstens huvudnamn och distribuera via organisationens befintliga automatisering för att registrera i stor skala.
• Installation med Windows PowerShell DSC

I distributionsalternativen för Azure Anslut ed Machine Agent finns omfattande dokumentation om de olika tillgängliga distributionsalternativen.

Aktivera Azure Policy-gästkonfiguration

Azure Arc-aktiverade servrar stöder Azure Policy på Azure-resurshanteringslagret och även på den enskilda serverdatorn med hjälp av gästkonfigurationsprinciper. Azure Policy-gästkonfiguration kan granska inställningar på en dator, både för datorer som körs i Azure och Arc-aktiverade servrar. Du kan exempelvis granska inställningar som:

• Operativsystemets konfiguration
• Programkonfiguration eller förekomst
• Miljöinställningar

Det finns flera inbyggda Azure Policy-definitioner för Azure Arc. Dessa principer tillhandahåller gransknings- och konfigurationsinställningar för både Windows- och Linux-baserade datorer.

Aktivera Azure Update Management

Uppdateringshantering. Du kan utföra uppdateringshantering för Arc-aktiverade servrar. Med uppdateringshantering i Azure Automation kan du hantera uppdateringar av operativsystemet och snabbt utvärdera statusen för tillgängliga uppdateringar på alla agentdatorer. Du kan också hantera processen med att installera nödvändiga uppdateringar för servrar.

Ändringsspårning och inventering. Med Azure Automation Ändringsspårning och inventering för Arc-aktiverade servrar kan du avgöra vilken programvara som är installerad i din miljö. Du kan samla in och observera inventering för programvara, filer, Linux-daemoner, Windows-tjänster och Windows-registernycklar. Om du spårar konfigurationerna för dina datorer kan du identifiera driftproblem i miljön och bättre förstå datorernas tillstånd.

Övervaka Azure Arc-aktiverade servrar

Du kan använda Azure Monitor för att övervaka dina virtuella datorer, vm-skalningsuppsättningar och Azure Arc-datorer i stor skala. Azure Monitor analyserar prestanda och hälsa för dina virtuella Windows- och Linux-datorer och övervakar deras processer och beroenden på andra resurser och externa processer. Den innehåller stöd för övervakning av prestanda och programberoenden för virtuella datorer som finns lokalt eller hos en annan molnleverantör.

Azure Monitor-agenterna ska distribueras automatiskt till Azure Arc-aktiverade Windows- och Linux-servrar via Azure Policy. Granska och förstå hur Log Analytics-agenten fungerar och samlar in data före distributionen.

Utforma och planera distributionen av Log Analytics-arbetsytan. Det är containern där data samlas in, aggregeras och analyseras senare. En Log Analytics-arbetsyta representerar en geografisk plats för dina data, dataisolering och omfång för konfigurationer som datakvarhållning. Använd en enda Azure Monitor Log Analytics-arbetsyta enligt beskrivningen i metodtipsen för hantering och övervakning i Cloud Adoption Framework.

Skydda Azure Arc-aktiverade servrar

Använd Azure RBAC för att styra och hantera behörigheten för Azure Arc-aktiverade servrars hanterade identiteter och utföra regelbundna åtkomstgranskningar för dessa identiteter. Kontrollera privilegierade användarroller för att undvika att systemhanterade identiteter missbrukas för att få obehörig åtkomst till Azure-resurser.

Överväg att använda Azure Key Vault för att hantera certifikat på dina Azure Arc-aktiverade servrar. Med tillägget för den virtuella key vault-datorn kan du hantera certifikatets livscykel på Windows- och Linux-datorer.

Anslut Azure Arc-aktiverade servrar för att Microsoft Defender för molnet. Detta hjälper dig att börja samla in säkerhetsrelaterade konfigurationer och händelseloggar så att du kan rekommendera åtgärder och förbättra din övergripande Säkerhetsstatus i Azure.

Anslut Azure Arc-aktiverade servrar till Microsoft Sentinel. På så sätt kan du börja samla in säkerhetsrelaterade händelser och börja korrelera dem med andra datakällor.

Verifiera nätverkstopologi

Den Anslut datoragenten för Linux och Windows kommunicerar utgående på ett säkert sätt till Azure Arc via TCP-port 443. Den Anslut datoragenten kan ansluta till Azure-kontrollplanet med hjälp av följande metoder:

• Direktanslutning till offentliga Azure-slutpunkter, eventuellt bakom en brandvägg eller en proxyserver.
• Azure Private Link använder en Private Link-omfångsmodell för att tillåta att flera servrar eller datorer kommunicerar med sina Azure Arc-resurser med en enda privat slutpunkt.

Se Nätverkstopologi och anslutning för Azure Arc-aktiverade servrar för omfattande nätverksvägledning för implementeringen av Arc-aktiverade servrar.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

• I de flesta fall bör den plats du väljer när du skapar installationsskriptet vara den Azure-region som är geografiskt närmast datorns plats. Resten av data lagras i azure-geografin som innehåller den region som du anger, vilket också kan påverka ditt val av region om du har krav på datahemvist. Om ett avbrott påverkar den Azure-region som datorn är ansluten till påverkar inte driftstoppet den Arc-aktiverade servern. Hanteringsåtgärder som använder Azure kanske inte är tillgängliga.
• Om du har flera platser som tillhandahåller en geografisk redundant tjänst är det bäst att ansluta datorerna på varje plats till en annan Azure-region för motståndskraft i händelse av ett regionalt avbrott.
• Om Den Azure-anslutna datoragenten slutar skicka pulsslag till Azure eller går offline kan du inte utföra operativa uppgifter på den. Därför är det nödvändigt att utveckla en plan för meddelanden och svar.
• Konfigurera resurshälsoaviseringar för att få aviseringar nästan i realtid när resurser har ändrat sin hälsostatus. Och definiera en övervaknings- och aviseringsprincip i Azure Policy som identifierar ej felfria Azure Arc-aktiverade servrar.
• Utöka din aktuella lösning för säkerhetskopiering till Azure eller konfigurera enkelt vår programmedvetna replikering och programkonsekventa säkerhetskopiering som skalar utifrån dina affärsbehov. Det centraliserade hanteringsgränssnittet för Azure Backup och Azure Site Recovery gör det enkelt att definiera principer för att skydda, övervaka och hantera dina Arc-aktiverade Windows- och Linux-servrar.
• Granska vägledningen för affärskontinuitet och haveriberedskap för att avgöra om företagets krav är uppfyllda.
• Andra tillförlitlighetsöverväganden för din lösning beskrivs i avsnittet principer för tillförlitlighetsdesign i Microsoft Azure Well-Architected Framework.

Säkerhet

• Lämplig rollbaserad åtkomstkontroll i Azure (Azure RBAC) ska hanteras för Arc-aktiverade servrar. Om du vill registrera datorer måste du vara medlem i rollen Azure Anslut ed Machine Onboarding. Om du vill läsa, ändra, publicera och ta bort en dator igen måste du vara medlem i rollen Azure Anslut ed Machine Resource Administrator.
• Microsoft Defender för molnet kan övervaka lokala system, virtuella Azure-datorer, Azure Monitor-resurser och till och med virtuella datorer som hanteras av andra molnleverantörer. Aktivera Microsoft Defender för servrar för alla prenumerationer som innehåller Azure Arc-aktiverade servrar för övervakning av säkerhetsbaslinjer, hantering av säkerhetsstatus och skydd mot hot.
• Microsoft Sentinel kan förenkla datainsamlingen mellan olika källor, inklusive Azure, lokala lösningar och moln med hjälp av inbyggda anslutningsappar.
• Du kan använda Azure Policy för att hantera säkerhetsprinciper på dina Arc-aktiverade servrar, inklusive implementering av säkerhetsprinciper i Microsoft Defender för molnet. En säkerhetsprincip definierar önskad konfiguration av dina arbetsbelastningar och hjälper dig att säkerställa att du uppfyller säkerhetskraven för ditt företag eller tillsynsmyndigheter. Defender för molnet principer baseras på principinitiativ som skapats i Azure Policy.
• Om du vill begränsa vilka tillägg som kan installeras på din Arc-aktiverade server kan du konfigurera de listor med tillägg som du vill tillåta och blockera på servern. Tilläggshanteraren utvärderar alla begäranden om att installera, uppdatera eller uppgradera tillägg mot listan över tillåtna och blockera för att avgöra om tillägget kan installeras på servern.
• Med Azure Private Link kan du på ett säkert sätt länka Azure PaaS-tjänster till ditt virtuella nätverk med hjälp av privata slutpunkter. Du kan ansluta dina lokala servrar eller flera molnservrar med Azure Arc och skicka all trafik via en Azure ExpressRoute- eller plats-till-plats-VPN-anslutning i stället för att använda offentliga nätverk. Du kan använda en Private Link-omfångsmodell för att tillåta att flera servrar eller datorer kommunicerar med sina Azure Arc-resurser med hjälp av en enda privat slutpunkt.
• Se säkerhetsöversikten för Azure Arc-aktiverade servrar för en omfattande översikt över säkerhetsfunktionerna i Azure Arc-aktiverad server.
• Andra säkerhetsöverväganden för din lösning beskrivs i avsnittet säkerhetsdesignprinciper i Microsoft Azure Well-Architected Framework.

Kostnadsoptimering

• Azure Arc-kontrollplansfunktioner tillhandahålls utan extra kostnad. Detta omfattar stöd för resursorganisation via Azure-hanteringsgrupper och taggar samt åtkomstkontroll via rollbaserad åtkomstkontroll i Azure (RBAC). Azure-tjänster som används tillsammans med Azure Arc-aktiverade servrar medför kostnader beroende på deras användning.
• Mer information om kostnadsoptimering finns i Kostnadsstyrning för Azure Arc-aktiverade servrar .
• Andra kostnadsoptimeringsöverväganden för din lösning beskrivs i avsnittet Principer för kostnadsoptimering i Microsoft Azure Well-Architected Framework.
• Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure.
• När du distribuerar referensimplementeringen Jumpstart ArcBox for IT Pros för den här arkitekturen ska du tänka på att ArcBox-resurser genererar Azure Consumption-avgifter från de underliggande Azure-resurserna. Dessa resurser omfattar kärnbearbetning, lagring, nätverk och extratjänster.

Driftsäkerhet

• Automatisera distributionen av din Arc-aktiverade servermiljö. Referensimplementeringen av den här arkitekturen är helt automatiserad med hjälp av en kombination av Azure ARM-mallar, VM-tillägg, Azure Policy-konfigurationer och PowerShell-skript. Du kan också återanvända dessa artefakter för dina egna distributioner. Mer vägledning om automatisering av Arc-aktiverade servrar finns i Automation-områden för Azure Arc-aktiverade servrar i Cloud Adoption Framework (CAF).
• Det finns flera tillgängliga alternativ i Azure för att automatisera registrering av Arc-aktiverade servrar. Om du vill publicera i stor skala använder du tjänstens huvudnamn och distribuerar via organisationens befintliga automationsplattform.
• VM-tillägg kan distribueras till Arc-aktiverade servrar för att förenkla hanteringen av hybridservrar under hela livscykeln. Överväg att automatisera distributionen av VM-tillägg via Azure Policy när du hanterar servrar i stor skala.
• Aktivera korrigerings- och uppdateringshantering på dina inbyggda Azure Arc-aktiverade servrar för att underlätta operativsystemets livscykelhantering.
• Gå igenom Användningsfall för enhetliga åtgärder i Azure Arc Jumpstart och lär dig mer om ytterligare scenarier för driftskvalitet för Azure Arc-aktiverade servrar.
• Andra överväganden kring driftskvalitet för din lösning beskrivs i avsnittet Designprinciper för driftskvalitet i Microsoft Azure Well-Architected Framework.

Prestandaeffektivitet

• Innan du konfigurerar dina datorer med Azure Arc-aktiverade servrar bör du granska prenumerationsgränserna för Azure Resource Manager och resursgruppsgränserna för att planera för hur många datorer som ska anslutas.
• En stegvis distributionsmetod som beskrivs i distributionsguiden kan hjälpa dig att fastställa resurskapacitetskraven för implementeringen.
• Använd Azure Monitor för att samla in data direkt från dina Azure Arc-aktiverade servrar till en Log Analytics-arbetsyta för detaljerad analys och korrelation. Granska distributionsalternativen för Azure Monitor-agenterna.
• Ytterligare prestandaeffektivitetsöverväganden för din lösning beskrivs i avsnittet Principer för prestandaeffektivitet i Microsoft Azure Well-Architected Framework.

Distribuera det här scenariot

Referensimplementeringen av den här arkitekturen finns i Jumpstart ArcBox för IT-proffs, som ingår som en del av Arc Jumpstart-projektet . ArcBox är utformat för att vara helt fristående i en enda Azure-prenumeration och resursgrupp. ArcBox gör det enkelt för en användare att få praktisk erfarenhet av all tillgänglig Azure Arc-teknik med bara en tillgänglig Azure-prenumeration.

Om du vill distribuera referensimplementeringen följer du stegen i GitHub-lagringsplatsen genom att välja knappen Jumpstart ArcBox for IT Pros nedan.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Pieter de Bruin | Senior Program Manager

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Läs mer om Azure Arc
• Läs mer om Azure Arc-aktiverade servrar
• Utbildningsväg för Azure Arc
• Granska Scenarier för Azure Arc-snabbstart i Arc Jumpstart
• Granska Arc-aktiverade servrars landningszonaccelerator i CAF

Relaterade resurser

Utforska relaterade arkitekturer:

• Hantera konfigurationer för Azure Arc-aktiverade servrar
• Azure Arc-hybridhantering och -distribution för Kubernetes-kluster