Bewerken

Configuraties beheren voor servers met Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Deze referentiearchitectuur illustreert hoe u met Azure Arc servers in on-premises, multicloud- en edge-scenario's kunt beheren, beheren en beveiligen, en is gebaseerd op de implementatie van Azure Arc Jumpstart ArcBox voor IT-professionals . ArcBox is een oplossing die een eenvoudig te implementeren sandbox biedt voor alle dingen van Azure Arc. ArcBox voor IT-professionals is een versie van ArcBox die is bedoeld voor gebruikers die de mogelijkheden van Servers met Azure Arc willen ervaren in een sandbox-omgeving.

Architectuur

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

Download een PowerPoint-bestand van deze architectuur.

Onderdelen

De architectuur bestaat uit de volgende onderdelen:

  • Een Azure-resourcegroep is een container met gerelateerde resources voor een Azure-oplossing. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren.
  • ArcBox-werkmap is een Azure Monitor-werkmap, die één glasvenster biedt voor het bewaken en rapporteren van ArcBox-resources. De werkmap fungeert als een flexibel canvas voor gegevensanalyse en visualisatie in Azure Portal, waarbij informatie uit verschillende gegevensbronnen uit ArcBox wordt verzameld en gecombineerd tot een geïntegreerde interactieve ervaring.
  • Met Azure Monitor kunt u prestaties en gebeurtenissen bijhouden voor systemen die worden uitgevoerd in Azure, on-premises of in andere clouds.
  • Gastconfiguratie van Azure Policy kan besturingssystemen en computerconfiguratie controleren voor computers die worden uitgevoerd op servers met Azure en Arc die on-premises of in andere clouds worden uitgevoerd.
  • Azure Log Analytics is een hulpprogramma in Azure Portal om logboekquery's te bewerken en uit te voeren op basis van gegevens die zijn verzameld door Azure Monitor-logboeken en hun resultaten interactief te analyseren. U kunt Log Analytics-query's gebruiken om records op te halen die overeenkomen met bepaalde criteria, trends te identificeren, patronen te analyseren en diverse inzichten in uw gegevens te bieden.
  • Microsoft Defender voor Cloud is een oplossing voor cloudbeveiligingspostuurbeheer (CSPM) en cloudworkloadbeveiliging (CWP). Microsoft Defender voor Cloud zwakke plekken vindt in uw cloudconfiguratie, helpt het algehele beveiligingspostuur van uw omgeving te versterken en kan workloads in meerdere clouds en hybride omgevingen beschermen tegen veranderende bedreigingen.
  • Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.
  • Met Servers met Azure Arc kunt u Azure verbinden met uw Windows- en Linux-machines die buiten Azure in uw bedrijfsnetwerk worden gehost. Wanneer een server is verbonden met Azure, wordt deze een server met Arc en wordt deze beschouwd als een resource in Azure. Elke server met Arc heeft een resource-id, een beheerde systeemidentiteit en wordt beheerd als onderdeel van een resourcegroep binnen een abonnement. Servers met Arc profiteren van standaard Azure-constructies, zoals inventaris, beleid, tags en Azure Lighthouse.
  • Geneste Hyper-V-virtualisatie wordt gebruikt door Jumpstart ArcBox voor IT-professionals om virtuele Windows Server-machines binnen een virtuele Azure-machine te hosten. Dit biedt dezelfde ervaring als het gebruik van fysieke Windows Server-machines, maar zonder de hardwarevereisten.
  • Azure Virtual Network biedt een particulier netwerk waarmee onderdelen binnen de Azure-resourcegroep kunnen communiceren, zoals de virtuele machines.

Scenariodetails

Potentiële gebruikscases

Deze architectuur wordt doorgaans gebruikt voor:

  • Organiseer, beheer en inventariseer grote groepen virtuele machines (VM's) en servers in meerdere omgevingen.
  • Organisatiestandaarden afdwingen en naleving op schaal beoordelen voor al uw resources overal met Azure Policy.
  • Implementeer eenvoudig ondersteunde VM-extensies op servers met Arc.
  • Configureer en dwing Azure Policy af voor VM's en servers die worden gehost in meerdere omgevingen.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Azure Arc Verbinding maken ed Machine-agent configureren

U kunt elke andere fysieke of virtuele machine met Windows of Linux verbinden met Azure Arc. Voordat u machines onboardt, moet u de vereisten voor de Verbinding maken van de machineagent voltooien, waaronder het registreren van de Azure-resourceproviders voor servers met Azure Arc. Als u Azure Arc wilt gebruiken om de machine te verbinden met Azure, moet u de Azure Verbinding maken ed Machine-agent installeren op elke computer die u wilt verbinden met behulp van Azure Arc. Zie Overzicht van de serversagent met Azure Arc voor meer informatie.

Zodra de Verbinding maken ed Machine-agent is geconfigureerd, wordt elke vijf minuten een regelmatig heartbeat-bericht naar Azure verzonden. Wanneer de heartbeat niet wordt ontvangen, wijst Azure de offlinestatus van de machine toe, die binnen 15 tot 30 minuten in de portal wordt weergegeven. Wanneer u een volgende heartbeat-bericht van de Verbinding maken ed Machine-agent ontvangt, wordt de status automatisch gewijzigd in Verbinding maken ed.

Er zijn verschillende opties beschikbaar in Azure om verbinding te maken met uw Windows- en Linux-machines:

  • Handmatige installatie: Servers met Azure Arc kunnen worden ingeschakeld voor een of meer Windows- of Linux-machines in uw omgeving met behulp van de hulpprogrammaset Windows Beheer Center of door handmatig een set stappen uit te voeren.
  • Installatie op basis van scripts: u kunt geautomatiseerde agentinstallatie uitvoeren door een sjabloonscript uit te voeren dat u downloadt vanuit Azure Portal.
  • Verbinding maken machines op schaal met behulp van een service-principal: als u op schaal wilt onboarden, gebruikt u een service-principal en implementeert u deze via bestaande automatisering van uw organisatie.
  • Installatie met Windows PowerShell DSC

Raadpleeg de implementatieopties van de Azure Verbinding maken ed Machine-agent voor uitgebreide documentatie over de verschillende beschikbare implementatieopties.

Gastconfiguratie van Azure Policy inschakelen

Servers met Azure Arc ondersteunen Azure Policy op de Azure-laag voor resourcebeheer, en ook binnen de afzonderlijke servercomputer met behulp van gastconfiguratiebeleid. Gastconfiguratie van Azure Policy kan instellingen op een computer controleren, zowel voor machines die worden uitgevoerd op Servers met Azure als Arc. U kunt bijvoorbeeld instellingen controleren, zoals:

  • Configuratie van besturingssysteem
  • Configuratie of aanwezigheid van toepassingen
  • Omgevingsinstellingen

Er zijn verschillende ingebouwde Azure Policy-definities voor Azure Arc. Deze beleidsregels bieden controle- en configuratie-instellingen voor zowel Windows- als Linux-computers.

Azure Updatebeheer inschakelen

Updatebeheer. U kunt updatebeheer uitvoeren voor servers met Arc. Met updatebeheer in Azure Automation kunt u updates van besturingssystemen beheren en snel de status van beschikbare updates op alle agentcomputers beoordelen. U kunt ook het proces voor het installeren van vereiste updates voor servers beheren.

Wijzigingen bijhouden en inventaris. Met Azure Automation Wijzigingen bijhouden en inventaris voor servers met Arc kunt u bepalen welke software in uw omgeving is geïnstalleerd. U kunt inventaris verzamelen en observeren voor software, bestanden, Linux-daemons, Windows-services en Windows-registersleutels. Door de configuraties van uw computer bij te houden, is het voor u gemakkelijker vast te stellen waar in uw omgeving zich operationele problemen voordoen, en kunt u beter beoordelen wat de status van uw computers is.

Servers met Azure Arc bewaken

U kunt Azure Monitor gebruiken om uw VM's, virtuele-machineschaalsets en Azure Arc-machines op schaal te bewaken. Azure Monitor analyseert de prestaties en status van uw Windows- en Linux-VM's en bewaakt hun processen en afhankelijkheden van andere resources en externe processen. Er is ondersteuning voor het controleren van prestatie- en toepassingsafhankelijkheden voor VM's die on-premises of door een andere cloudprovider worden gehost.

De Azure Monitor-agents moeten automatisch worden geïmplementeerd op Windows- en Linux-servers met Azure Arc, via Azure Policy. Bekijk en begrijp hoe de Log Analytics-agent werkt en verzamelt gegevens vóór de implementatie.

Ontwerp en plan de implementatie van uw Log Analytics-werkruimte. Dit is de container waarin gegevens worden verzameld, geaggregeerd en later geanalyseerd. Een Log Analytics-werkruimte vertegenwoordigt een geografische locatie van uw gegevens, gegevensisolatie en bereik voor configuraties zoals gegevensretentie. Gebruik één Azure Monitor Log Analytics-werkruimte, zoals beschreven in de aanbevolen procedures voor beheer en bewaking van Cloud Adoption Framework.

Servers met Azure Arc beveiligen

Gebruik Azure RBAC om de machtiging voor door Azure Arc beheerde identiteiten te beheren en te beheren en periodieke toegangsbeoordelingen uit te voeren voor deze identiteiten. Beheer bevoorrechte gebruikersrollen om te voorkomen dat door het systeem beheerde identiteiten worden misbruikt om onbevoegde toegang te krijgen tot Azure-resources.

Overweeg om Azure Key Vault te gebruiken voor het beheren van certificaten op uw Servers met Azure Arc. Met de VM-extensie van key vault kunt u de levenscyclus van het certificaat beheren op Windows- en Linux-machines.

Verbinding maken servers met Azure Arc om te Microsoft Defender voor Cloud. Zo kunt u beginnen met het verzamelen van beveiligingsconfiguraties en gebeurtenislogboeken, zodat u acties kunt aanbevelen en uw algehele Azure-beveiligingspostuur kunt verbeteren.

Verbinding maken Servers met Azure Arc naar Microsoft Sentinel. Hiermee kunt u beginnen met het verzamelen van beveiligingsgebeurtenissen en deze correleren met andere gegevensbronnen.

Netwerktopologie valideren

De Verbinding maken ed Machine-agent voor Linux en Windows communiceert veilig naar Azure Arc via TCP-poort 443. De Verbinding maken ed Machine-agent kan verbinding maken met het Azure-besturingsvlak met behulp van de volgende methoden:

Raadpleeg de netwerktopologie en connectiviteit voor servers met Azure Arc voor uitgebreide netwerkrichtlijnen voor de implementatie van servers met Arc.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

  • In de meeste gevallen moet de locatie die u selecteert bij het maken van het installatiescript de Azure-regio zijn die geografisch het dichtst bij de locatie van uw machine ligt. De rest van de gegevens worden opgeslagen in de Azure-geografie met de regio die u opgeeft, wat ook van invloed kan zijn op uw keuze als u vereisten voor gegevenslocatie hebt. Als een storing van invloed is op de Azure-regio waarmee uw machine is verbonden, heeft de storing geen invloed op de server met Arc. Beheerbewerkingen die gebruikmaken van Azure, zijn mogelijk niet beschikbaar.
  • Als u meerdere locaties hebt die een geografisch redundante service bieden, kunt u de machines op elke locatie het beste verbinden met een andere Azure-regio voor tolerantie in het geval van een regionale storing.
  • Als de met Azure verbonden machineagent geen heartbeats meer naar Azure verzendt of offline gaat, kunt u er geen operationele taken op uitvoeren. Daarom is het nodig om een plan voor meldingen en antwoorden te ontwikkelen.
  • Stel resourcestatuswaarschuwingen in om in bijna realtime een melding te ontvangen wanneer resources een wijziging in hun status hebben. En definieer een bewakings- en waarschuwingsbeleid in Azure Policy dat beschadigde Servers met Azure Arc identificeert.
  • Breid uw huidige back-upoplossing uit naar Azure of configureer eenvoudig onze replicatie-oplossing die rekening houdt met toepassingen en waarvan de schaal kan worden aangepast op basis van uw zakelijke behoeften. Met de gecentraliseerde beheerinterface voor Azure Backup en Azure Site Recovery kunt u eenvoudig beleidsregels definiëren voor het systeemeigen beveiligen, bewaken en beheren van uw Windows- en Linux-servers met Arc.
  • Bekijk de richtlijnen voor bedrijfscontinuïteit en herstel na noodgevallen om te bepalen of aan uw bedrijfsvereisten wordt voldaan.
  • Andere overwegingen voor betrouwbaarheid voor uw oplossing worden beschreven in het gedeelte met principes voor betrouwbaarheidsontwerp in het Microsoft Azure Well-Architected Framework.

Beveiliging

  • Het juiste op rollen gebaseerde toegangsbeheer van Azure (Azure RBAC) moet worden beheerd voor servers met Arc. Als u machines wilt onboarden, moet u lid zijn van de Azure Verbinding maken ed Machine Onboarding-rol. Als u een machine wilt lezen, wijzigen, opnieuw onboarden en verwijderen, moet u lid zijn van de azure Verbinding maken ed Machine Resource-Beheer istrator-rol.
  • Microsoft Defender voor Cloud kunt on-premises systemen, Azure-VM's, Azure Monitor-resources en zelfs VM's bewaken die worden gehost door andere cloudproviders. Schakel Microsoft Defender voor servers in voor alle abonnementen met servers met Azure Arc voor bewaking van beveiligingsbasislijnen, beveiligingspostuurbeheer en beveiliging tegen bedreigingen.
  • Microsoft Sentinel kan het verzamelen van gegevens in verschillende bronnen vereenvoudigen, waaronder Azure, on-premises oplossingen en clouds met behulp van ingebouwde connectors.
  • U kunt Azure Policy gebruiken om beveiligingsbeleid te beheren op uw servers met Arc, waaronder het implementeren van beveiligingsbeleid in Microsoft Defender voor Cloud. Een beveiligingsbeleid definieert de gewenste configuratie van uw workloads en zorgt ervoor dat u voldoet aan de beveiligingsvereisten van uw bedrijf of regelgevers. Defender voor Cloud beleidsregels zijn gebaseerd op beleidsinitiatieven die zijn gemaakt in Azure Policy.
  • Als u wilt beperken welke extensies kunnen worden geïnstalleerd op uw server met Arc, kunt u de lijsten met extensies configureren die u wilt toestaan en blokkeren op de server. De extensiebeheerder evalueert alle aanvragen voor het installeren, bijwerken of upgraden van extensies op basis van de acceptatielijst en de blokkeringslijst om te bepalen of de extensie op de server kan worden geïnstalleerd.
  • Met Azure Private Link kunt u Azure PaaS-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. U kunt uw on-premises of multicloudservers verbinden met Azure Arc en al het verkeer verzenden via een Azure ExpressRoute- of site-naar-site-VPN-verbinding in plaats van openbare netwerken te gebruiken. U kunt een Private Link Scope-model gebruiken om meerdere servers of computers in staat te stellen met hun Azure Arc-resources te communiceren met behulp van één privé-eindpunt.
  • Raadpleeg het beveiligingsoverzicht van servers met Azure Arc voor een uitgebreid overzicht van de beveiligingsfuncties in azure Arc-server.
  • Andere beveiligingsoverwegingen voor uw oplossing worden beschreven in de sectie met principes voor het ontwerpen van beveiliging in het Microsoft Azure Well-Architected Framework.

Kostenoptimalisatie

  • Azure Arc-besturingsvlakfunctionaliteit wordt zonder extra kosten geboden. Dit omvat ondersteuning voor resourceorganisatie via Azure-beheergroepen en -tags en toegangsbeheer via op rollen gebaseerd toegangsbeheer van Azure (RBAC). Voor Azure-services die worden gebruikt in combinatie met servers met Azure Arc, worden kosten in rekening gebracht op basis van hun gebruik.
  • Raadpleeg Kostenbeheer voor servers met Azure Arc voor aanvullende richtlijnen voor kostenoptimalisatie van Azure Arc.
  • Andere overwegingen voor kostenoptimalisatie voor uw oplossing worden beschreven in de sectie Principes van kostenoptimalisatie in het Microsoft Azure Well-Architected Framework.
  • Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.
  • Wanneer u de referentie-implementatie van Jumpstart ArcBox voor IT-professionals voor deze architectuur implementeert, moet u er rekening mee houden dat ArcBox-resources azure-verbruikskosten genereren op basis van de onderliggende Azure-resources. Deze resources omvatten kern-reken-, opslag-, netwerk- en hulpservices.

Operationele uitmuntendheid

  • Automatiseer de implementatie van uw serversomgeving met Arc. De referentie-implementatie van deze architectuur is volledig geautomatiseerd met behulp van een combinatie van Azure ARM-sjablonen, VM-extensies, Azure Policy-configuraties en PowerShell-scripts. U kunt deze artefacten ook opnieuw gebruiken voor uw eigen implementaties. Raadpleeg automatiseringsdisciplines voor servers met Azure Arc voor aanvullende automatiseringsrichtlijnen voor Arc-servers in het Cloud Adoption Framework (CAF).
  • Er zijn verschillende opties beschikbaar in Azure om de onboarding van servers met Arc te automatiseren. Als u op schaal wilt onboarden, gebruikt u een service-principal en implementeert u deze via het bestaande automatiseringsplatform van uw organisatie.
  • VM-extensies kunnen worden geïmplementeerd op servers met Arc om het beheer van hybride servers gedurende hun levenscyclus te vereenvoudigen. Overweeg om de implementatie van VM-extensies via Azure Policy te automatiseren bij het beheren van servers op schaal.
  • Schakel patch- en updatebeheer in op uw onboardingservers met Azure Arc om het beheer van de levenscyclus van het besturingssysteem te vereenvoudigen.
  • Bekijk azure Arc Jumpstart Unified Operations Use Cases voor meer informatie over aanvullende operationele topscenario's voor servers met Azure Arc.
  • Andere overwegingen voor operationele uitmuntendheid voor uw oplossing worden beschreven in de sectie Ontwerpprincipes voor operationele uitmuntendheid in het Microsoft Azure Well-Architected Framework.

Prestatie-efficiëntie

  • Voordat u uw machines configureert met servers met Azure Arc, moet u de limieten van het Azure Resource Manager-abonnement en de resourcegroeplimieten controleren om te plannen hoeveel computers moeten worden verbonden.
  • Een gefaseerde implementatiebenadering, zoals beschreven in de implementatiehandleiding , kan u helpen bij het bepalen van de vereisten voor resourcecapaciteit voor uw implementatie.
  • Gebruik Azure Monitor om gegevens rechtstreeks van uw Servers met Azure Arc te verzamelen in een Log Analytics-werkruimte voor gedetailleerde analyse en correlatie. Bekijk de implementatieopties voor de Azure Monitor-agents.
  • Aanvullende overwegingen voor prestatie-efficiëntie voor uw oplossing worden beschreven in de sectie Prestatie-efficiëntieprincipes in het Goed ontworpen Framework van Microsoft Azure.

Dit scenario implementeren

De referentie-implementatie van deze architectuur vindt u in de Jumpstart ArcBox voor IT-professionals, opgenomen als onderdeel van het Arc Jumpstart-project . ArcBox is ontworpen om volledig zelfstandig te zijn binnen één Azure-abonnement en -resourcegroep. ArcBox maakt het voor een gebruiker eenvoudig om praktische ervaring te krijgen met alle beschikbare Azure Arc-technologie met niets meer dan een beschikbaar Azure-abonnement.

Als u de referentie-implementatie wilt implementeren, volgt u de stappen in de GitHub-opslagplaats door de onderstaande knop Jumpstart ArcBox voor IT-professionals te selecteren.

Jumpstart ArcBox voor IT-professionals

Bijdragers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Gerelateerde architecturen verkennen: