Gestire le configurazioni per i server abilitati per Azure Arc

Questa architettura di riferimento illustra come Azure Arc consente di gestire, gestire e proteggere i server in scenari locali, multicloud e perimetrali e si basa sull'implementazione di Azure Arc JumpStart ArcBox per professionisti IT. ArcBox è una soluzione che offre una sandbox facile da distribuire per tutti gli aspetti di Azure Arc. ArcBox per professionisti IT è una versione di ArcBox destinata agli utenti che vogliono sperimentare le funzionalità dei server abilitati per Azure Arc in un ambiente sandbox.

Architettura

Scaricare un file PowerPoint di questa architettura.

Componenti

Questa architettura è costituita dai componenti seguenti:

• Un gruppo di risorse di Azure è un contenitore che contiene risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo.
• La cartella di lavoro di ArcBox è una cartella di lavoro di Monitoraggio di Azure, che fornisce un unico riquadro di vetro per il monitoraggio e la creazione di report sulle risorse ArcBox. La cartella di lavoro funge da canvas flessibile per l'analisi e la visualizzazione dei dati nella portale di Azure, raccogliendo informazioni da diverse origini dati da ArcBox e combinandole in un'esperienza interattiva integrata.
• Monitoraggio di Azure consente di tenere traccia delle prestazioni e degli eventi per i sistemi in esecuzione in Azure, in locale o in altri cloud.
• Criteri di Azure configurazione guest può controllare i sistemi operativi e la configurazione del computer sia per i computer in esecuzione nei server abilitati per Azure che per Arc in esecuzione in locale o in altri cloud.
• Azure Log Analytics è uno strumento disponibile nel portale di Azure che consente di modificare ed eseguire query sui log dai dati raccolti dai log di Monitoraggio di Azure e di analizzarne i risultati in modo interattivo. È possibile usare le query di Log Analytics per recuperare i record che corrispondono a determinati criteri, identificare le tendenze, analizzare i modelli e ricavare varie informazioni dai dati.
• Microsoft Defender per il cloud è una soluzione CWP (Cloud Security Posture Management) e CWP (Cloud Workload Protection). Microsoft Defender per il cloud individua punti deboli nella configurazione cloud, consente di rafforzare il comportamento di sicurezza complessivo dell'ambiente e di proteggere i carichi di lavoro in ambienti multicloud e ibridi da minacce in continua evoluzione.
• Microsoft Sentinel è una soluzione di orchestrazione, automazione e risposta (SOAR) scalabile, nativa del cloud, informazioni sulla sicurezza e gestione degli eventi (SIEM). Microsoft Sentinel fornisce funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce per l'azienda, offrendo un'unica soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
• I server abilitati per Azure Arc consentono di connettere Azure ai computer Windows e Linux ospitati all'esterno di Azure nella rete aziendale. Quando un server è connesso ad Azure, diventa un server abilitato per Arc e viene considerato come una risorsa in Azure. Ogni server abilitato per Arc ha un ID risorsa, un'identità del sistema gestito e viene gestito come parte di un gruppo di risorse all'interno di una sottoscrizione. I server abilitati per Arc traggono vantaggio da costrutti standard di Azure, ad esempio inventario, criteri, tag e Azure Lighthouse.
• La virtualizzazione annidata di Hyper-V viene usata da Jumpstart ArcBox per professionisti IT per ospitare macchine virtuali Windows Server all'interno di una macchina virtuale di Azure. Ciò offre la stessa esperienza dell'uso di computer Fisici Windows Server, ma senza i requisiti hardware.
• Azure Rete virtuale fornisce una rete privata che consente ai componenti all'interno del gruppo di risorse di Azure di comunicare, ad esempio le macchine virtuali.

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

• Organizzare, gestire e inventariare gruppi di macchine virtuali e server di grandi dimensioni in più ambienti.
• Applicare gli standard dell'organizzazione e valutare la conformità su larga scala per tutte le risorse ovunque si trovino con Criteri di Azure.
• Distribuire facilmente le estensioni vm supportate nei server con abilitazione di Arc.
• Configurare e applicare Criteri di Azure per macchine virtuali e server ospitati in più ambienti.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Configurare l'agente di Azure Arc Connessione ed Machine

È possibile connettere qualsiasi altra macchina fisica o virtuale che esegue Windows o Linux ad Azure Arc. Prima dell'onboarding dei computer, assicurarsi di completare i prerequisiti dell'agente del computer Connessione, che include la registrazione dei provider di risorse di Azure per i server abilitati per Azure Arc. Per usare Azure Arc per connettere il computer ad Azure, è necessario installare l'agente machine Connessione ed di Azure in ogni computer che si prevede di connettersi usando Azure Arc. Per altre informazioni, vedere Panoramica dell'agente di server abilitati per Azure Arc.

Dopo la configurazione, l'agente del computer Connessione ed invia un normale messaggio di heartbeat ogni cinque minuti ad Azure. Quando l'heartbeat non viene ricevuto, Azure assegna lo stato offline del computer, che si riflette nel portale entro 15-30 minuti. Dopo aver ricevuto un messaggio heartbeat successivo dall'agente computer Connessione ed, il relativo stato cambierà automaticamente in Connessione ed.

In Azure sono disponibili diverse opzioni per connettere i computer Windows e Linux:

• Installazione manuale: i server abilitati per Azure Arc possono essere abilitati per uno o pochi computer Windows o Linux nell'ambiente usando il set di strumenti windows Amministrazione Center o eseguendo manualmente un set di passaggi.
• Installazione basata su script: è possibile eseguire l'installazione automatica dell'agente eseguendo uno script modello scaricato dal portale di Azure.
• Connessione computer su larga scala usando un'entità servizio: per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite l'automazione esistente delle organizzazioni.
• Installazione con Windows PowerShell DSC

Per una documentazione completa sulle varie opzioni di distribuzione disponibili, vedere le opzioni di distribuzione dell'agente machine Connessione ed di Azure.

Abilitare Criteri di Azure configurazione guest

I server abilitati per Azure Arc supportano Criteri di Azure a livello di gestione delle risorse di Azure e anche all'interno del singolo computer server usando i criteri di configurazione guest. Criteri di Azure configurazione guest può controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione nei server abilitati per Azure che per Arc. È ad esempio possibile controllare impostazioni quali:

• Configurazione del sistema operativo
• Configurazione o presenza di applicazioni
• Impostazioni dell'ambiente

Esistono diverse definizioni predefinite di Criteri di Azure per Azure Arc. Questi criteri forniscono le impostazioni di controllo e configurazione per computer basati su Windows e Linux.

Abilitare Gestione aggiornamenti di Azure

Gestione aggiornamenti. È possibile eseguire la gestione degli aggiornamenti per i server abilitati per Arc. Gestione degli aggiornamenti in Automazione di Azure consente di gestire gli aggiornamenti del sistema operativo e di valutare rapidamente lo stato degli aggiornamenti disponibili in tutti i computer agente. È anche possibile gestire il processo di installazione degli aggiornamenti necessari per i server.

Rilevamento modifiche e inventario. Automazione di Azure Rilevamento modifiche e Inventario per i server con abilitazione di Arc consente di determinare il software installato nell'ambiente. È possibile raccogliere e osservare l'inventario per software, file, daemon Linux, servizi di Windows e chiavi del Registro di sistema di Windows. Tenendo traccia delle configurazioni dei computer, è possibile individuare i problemi operativi dell'ambiente e conoscere meglio lo stato dei computer.

Monitorare i server abilitati per Azure Arc

È possibile usare Monitoraggio di Azure per monitorare le macchine virtuali, i set di scalabilità di macchine virtuali e le macchine virtuali di Azure Arc su larga scala. Monitoraggio di Azure analizza le prestazioni e l'integrità delle macchine virtuali Windows e Linux e monitora i processi e le dipendenze da altre risorse e processi esterni. Include il supporto per il monitoraggio delle prestazioni e delle dipendenze dell'applicazione per le macchine virtuali ospitate in locale o in un altro provider di servizi cloud.

Gli agenti di Monitoraggio di Azure devono essere distribuiti automaticamente nei server Windows e Linux abilitati per Azure Arc, tramite Criteri di Azure. Esaminare e comprendere come funziona l'agente di Log Analytics e raccoglie i dati prima della distribuzione.

Progettare e pianificare la distribuzione dell'area di lavoro Log Analytics. Sarà il contenitore in cui vengono raccolti, aggregati e analizzati in un secondo momento. Un'area di lavoro Log Analytics rappresenta una posizione geografica dei dati, dell'isolamento dei dati e dell'ambito per configurazioni come la conservazione dei dati. Usare una singola area di lavoro Log Analytics di Monitoraggio di Azure come descritto in Procedure consigliate per la gestione e il monitoraggio di Cloud Adoption Framework.

Proteggere i server abilitati per Azure Arc

Usare il controllo degli accessi in base al ruolo di Azure per controllare e gestire l'autorizzazione per le identità gestite dei server abilitati per Azure Arc ed eseguire verifiche di accesso periodiche per queste identità. Controllare i ruoli utente con privilegi per evitare che le identità gestite dal sistema vengano usate in modo improprio per ottenere l'accesso non autorizzato alle risorse di Azure.

Prendere in considerazione l'uso di Azure Key Vault per gestire i certificati nei server abilitati per Azure Arc. L'estensione della macchina virtuale dell'insieme di credenziali delle chiavi consente di gestire il ciclo di vita del certificato nei computer Windows e Linux.

Connessione server abilitati per Azure Arc per Microsoft Defender per il cloud. In questo modo è possibile iniziare a raccogliere configurazioni e log eventi correlati alla sicurezza, in modo da poter consigliare azioni e migliorare il comportamento di sicurezza generale di Azure.

Connessione server abilitati per Azure Arc in Microsoft Sentinel. In questo modo è possibile iniziare a raccogliere gli eventi correlati alla sicurezza e metterli in correlazione con altre origini dati.

Convalidare la topologia di rete

L'agente Connessione ed Machine per Linux e Windows comunica in uscita in modo sicuro ad Azure Arc sulla porta TCP 443. L'agente Connessione ed Machine può connettersi al piano di controllo di Azure usando i metodi seguenti:

• Connessione diretta agli endpoint pubblici di Azure, facoltativamente da dietro un firewall o un server proxy.
• collegamento privato di Azure l'uso di un modello di ambito collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.

Consultare Topologia di rete e connettività per i server abilitati per Azure Arc per indicazioni complete sulla rete per l'implementazione dei server con abilitazione di Arc.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Affidabilità

• Nella maggior parte dei casi, la posizione selezionata durante la creazione dello script di installazione deve essere l'area di Azure geograficamente più vicina alla posizione del computer. La restante parte dei dati verrà archiviata all'interno dell'area geografica di Azure contenente l'area specificata, il che può influire anche sulla scelta dell'area in caso di requisiti di residenza dei dati. Se un'interruzione influisce sull'area di Azure a cui è connesso il computer, l'interruzione non influirà sul server abilitato per Arc. Tuttavia, le operazioni di gestione che usano Azure potrebbero non essere disponibili.
• Se si dispone di più posizioni che forniscono un servizio con ridondanza geografica, è consigliabile connettere i computer in ogni località a un'area di Azure diversa per la resilienza in caso di interruzione a livello di area.
• Se l'agente del computer connesso di Azure smette di inviare heartbeat ad Azure o passa offline, non sarà possibile eseguire attività operative. Di conseguenza, è necessario sviluppare un piano per le notifiche e le risposte.
• Configurare gli avvisi di integrità delle risorse per ricevere una notifica quasi in tempo reale quando le risorse hanno una modifica dello stato di integrità. Definire un criterio di monitoraggio e avviso in Criteri di Azure che identifica i server abilitati per Azure Arc non integri.
• Estendere la soluzione di backup corrente ad Azure o configurare facilmente la replica compatibile con l'applicazione e il backup coerente con l'applicazione che si ridimensiona in base alle esigenze aziendali. L'interfaccia di gestione centralizzata per Backup di Azure e Azure Site Recovery semplifica la definizione di criteri per proteggere, monitorare e gestire in modo nativo i server Windows e Linux abilitati per Arc.
• Esaminare le linee guida per la continuità aziendale e il ripristino di emergenza per determinare se i requisiti aziendali sono soddisfatti.
• Altre considerazioni sull'affidabilità per la soluzione sono descritte nella sezione principi di progettazione dell'affidabilità in Microsoft Azure Well-Architected Framework.

Sicurezza

• Il controllo degli accessi in base al ruolo di Azure appropriato deve essere gestito per i server abilitati per Arc. Per eseguire l'onboarding dei computer, è necessario essere membri del ruolo Di onboarding del computer di Azure Connessione ed. Per leggere, modificare, eseguire di nuovo l'onboarding ed eliminare un computer, è necessario essere membri del ruolo Azure Connessione ed Machine Resource Amministrazione istrator.
• Microsoft Defender for Cloud può monitorare i sistemi locali, le macchine virtuali di Azure, le risorse di Monitoraggio di Azure e anche le macchine virtuali ospitate da altri provider di servizi cloud. Abilitare Microsoft Defender per i server per tutte le sottoscrizioni contenenti server abilitati per Azure Arc per il monitoraggio della baseline di sicurezza, la gestione del comportamento di sicurezza e la protezione dalle minacce.
• Microsoft Sentinel consente di semplificare la raccolta dei dati tra diverse origini, comprese Azure, soluzioni locali e tra cloud usando connettori predefiniti.
• È possibile usare Criteri di Azure per gestire i criteri di sicurezza nei server abilitati per Arc, inclusa l'implementazione dei criteri di sicurezza in Microsoft Defender per il cloud. I criteri di sicurezza definiscono la configurazione desiderata dei carichi di lavoro e consentono di rispettare i requisiti di sicurezza dell'azienda o delle autorità di regolamentazione. Defender per il cloud criteri si basano su iniziative politiche create in Criteri di Azure.
• Per limitare le estensioni che è possibile installare nel server abilitato per Arc, è possibile configurare gli elenchi di estensioni che si desidera consentire e bloccare nel server. Gestione estensioni valuterà tutte le richieste di installazione, aggiornamento o aggiornamento delle estensioni rispetto all'elenco di elementi consentiti e blocklist per determinare se l'estensione può essere installata nel server.
• Collegamento privato di Azure consente di collegare in modo sicuro i servizi PaaS di Azure alla rete virtuale usando endpoint privati. È possibile connettere i server locali o multicloud con Azure Arc e inviare tutto il traffico tramite una connessione VPN da sito a sito o ExpressRoute di Azure anziché usare reti pubbliche. È possibile usare un modello di ambito collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.
• Per una panoramica completa delle funzionalità di sicurezza nei server abilitati per Azure Arc, vedere Panoramica completa delle funzionalità di sicurezza nel server abilitato per Azure Arc.
• Altre considerazioni sulla sicurezza per la soluzione sono descritte nella sezione principi di progettazione della sicurezza in Microsoft Azure Well-Architected Framework.

Ottimizzazione dei costi

• La funzionalità del piano di controllo di Azure Arc viene fornita senza costi aggiuntivi. Ciò include il supporto per l'organizzazione delle risorse tramite gruppi e tag di gestione di Azure e il controllo degli accessi tramite il controllo degli accessi in base al ruolo di Azure. I servizi di Azure usati insieme ai server abilitati per Azure Arc comportano costi in base all'utilizzo.
• Per altre indicazioni sull'ottimizzazione dei costi di Azure Arc, vedere Governance dei costi per i server abilitati per Azure Arc.
• Altre considerazioni sull'ottimizzazione dei costi per la soluzione sono descritte nella sezione Principi di ottimizzazione dei costi in Microsoft Azure Well-Architected Framework.
• Usare il calcolatore dei prezzi di Azure per stimare i costi.
• Quando si distribuisce l'implementazione di riferimento di Jumpstart ArcBox per professionisti IT per questa architettura, tenere presente che le risorse ArcBox generano addebiti per il consumo di Azure dalle risorse di Azure sottostanti. Queste risorse includono risorse di calcolo di base, archiviazione, rete e servizi ausiliari.

Eccellenza operativa

• Automatizzare la distribuzione dell'ambiente dei server con abilitazione di Arc. L'implementazione di riferimento di questa architettura è completamente automatizzata usando una combinazione di modelli di Azure Resource Manager, estensioni della macchina virtuale, configurazioni Criteri di Azure e script di PowerShell. È anche possibile riutilizzare questi artefatti per le distribuzioni personalizzate. Consultare le discipline di Automazione per i server abilitati per Azure Arc per indicazioni aggiuntive sull'automazione dei server abilitati per Arc in Cloud Adoption Framework (CAF).
• In Azure sono disponibili diverse opzioni per automatizzare l'onboarding dei server abilitati per Arc. Per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite la piattaforma di automazione esistente delle organizzazioni.
• Le estensioni vm possono essere distribuite nei server abilitati per Arc per semplificare la gestione dei server ibridi durante il ciclo di vita. È consigliabile automatizzare la distribuzione delle estensioni di macchina virtuale tramite Criteri di Azure quando si gestiscono i server su larga scala.
• Abilitare patch e Gestione aggiornamenti nei server abilitati per Azure Arc di cui è stato eseguito l'onboarding per semplificare la gestione del ciclo di vita del sistema operativo.
• Per altre informazioni sugli scenari di eccellenza operativa aggiuntivi per i server abilitati per Azure Arc, vedere Azure Arc Jumpstart Unified Operations Use Cases (Casi d'uso delle operazioni unificate).
• Altre considerazioni sull'eccellenza operativa per la soluzione sono descritte nella sezione Principi di progettazione dell'eccellenza operativa in Microsoft Azure Well-Architected Framework.

Efficienza prestazionale

• Prima di configurare i computer con i server abilitati per Azure Arc, è necessario esaminare i limiti delle sottoscrizioni di Azure Resource Manager e i limiti del gruppo di risorse per pianificare il numero di computer da connettere.
• Un approccio di distribuzione in più fasi, come descritto nella guida alla distribuzione, consente di determinare i requisiti di capacità delle risorse per l'implementazione.
• Usare Monitoraggio di Azure per raccogliere dati direttamente dai server abilitati per Azure Arc in un'area di lavoro Log Analytics per l'analisi dettagliata e la correlazione. Esaminare le opzioni di distribuzione per gli agenti di Monitoraggio di Azure.
• Altre considerazioni sull'efficienza delle prestazioni per la soluzione sono descritte nella sezione Principi di efficienza delle prestazioni in Microsoft Azure Well-Architected Framework.

Distribuire lo scenario

L'implementazione di riferimento di questa architettura è disponibile in Jumpstart ArcBox per professionisti IT, inclusa come parte del progetto Arc Jumpstart . ArcBox è progettato per essere completamente indipendente all'interno di una singola sottoscrizione di Azure e di un gruppo di risorse. ArcBox semplifica l'esperienza pratica di un utente con tutta la tecnologia Azure Arc disponibile senza altro che una sottoscrizione di Azure disponibile.

Per distribuire l'implementazione di riferimento, seguire la procedura descritta nel repository GitHub selezionando il pulsante Jumpstart ArcBox per professionisti IT di seguito.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Pieter de Bruin | Senior Program Manager

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Altre informazioni su Azure Arc
• Altre informazioni sui server abilitati per Azure Arc
• Percorso di apprendimento di Azure Arc
• Esaminare gli scenari jumpstart di Azure Arc in Arc Jumpstart
• Esaminare l'acceleratore di zona di destinazione dei server abilitati per Arc in Cloud Adoption Framework

Risorse correlate

Esplorare le architetture correlate:

• Gestire le configurazioni per i server abilitati per Azure Arc
• Gestione e distribuzione ibrida di Azure Arc per i cluster Kubernetes