編輯

使用 Windows Admin Center 管理混合式 Azure 工作負載

Microsoft Entra ID
Azure 金鑰保存庫
Azure 入口網站
Azure 虛擬機器

此參考架構說明如何設計混合式 Windows 管理員中心解決方案,以管理裝載于內部部署和 Microsoft Azure 中的工作負載。 此架構包含兩種案例:

  • 部署至 Azure 中虛擬機器 (VM) 的 Windows 管理員中心。
  • 部署至內部部署伺服器(實體或虛擬)的 Windows 管理員 中心。

架構

第一個圖表說明部署至 Azure 中 VM 的 Windows 管理員 中心。

Deploy Windows Admin Center to a VM in Azure. Use VPN or ExpressRoute to manage on-premises VMs.

第二個圖表說明部署在內部部署的 Windows 管理員 中心。

Deploy Windows Admin Center to a VM on-premises. Use Azure network adapter to integrate with resources in Azure.

下載本文中所有架構圖表的 Visio 檔案

工作流程

架構包含下列各項:

  • 內部部署公司網路 。 在組織內執行的私人區域網路。
  • 內部部署公司防火牆 。 設定為允許使用者在內部部署閘道時存取 Windows 管理員中心閘道的組織防火牆。
  • Windows VM 。 隨 Windows 管理員 中心閘道一起安裝的 Windows VM,裝載使用者可以連線的 Web 服務。
  • Microsoft Entra 應用程式 。 用於 Windows 管理員 Center 中所有 Azure 整合點的應用程式,包括閘道的 Microsoft Entra 驗證。
  • 受控節點 。 Windows 管理員中心所管理的節點,可能包含執行 Azure Stack 的實體伺服器,或執行 Windows Server 的 Windows Server 或虛擬機器。
  • VPN 或 ExpressRoute 。 在 Azure 中部署 Windows 管理員 中心時,用來管理內部部署節點的站對站 (S2S) VPN 或 ExpressRoute。
  • Azure 網路介面卡 。 在內部部署 Windows 管理員 中心時,點對站 VPN 的介面卡。 Windows 管理員中心可以自動部署配接器,並建立 Azure 閘道。
  • 網域名稱系統(DNS) 。 使用者參考以連線到 Windows 管理員 中心閘道的 DNS 記錄。

元件

  • Windows 管理員中心 是以瀏覽器為基礎的管理工具集,可讓您完全控制伺服器基礎結構的所有層面,而且特別適用于管理未連線到網際網路之私人網路上的伺服器。 它會透過安裝在 Windows Server 或已加入網域 Windows 10 的 Windows 管理員 Center 閘道存取伺服器。 閘道可以安裝在內部部署或執行 Windows 的 Azure VM 上。
  • Azure ExpressRoute 會在 Azure 資料中心與內部部署或共置環境中建立基礎結構之間的私人連線。
  • Azure 虛擬網絡 在雲端中提供安全的網路基礎結構。
  • Azure 虛擬機器 提供 Linux 和 Windows 虛擬機器。 在此解決方案中,您可以使用它來提供 Windows VM 來執行 Windows 管理員 Center。

案例詳細資料

潛在的使用案例

此架構的典型用法包括:

  • 想要管理在內部部署和 Microsoft Azure 中執行之個別 Windows Server 實例、Hyper-Converged Infrastructure 或 Hyper-V VM 的組織。
  • 想要管理由其他雲端提供者裝載的 Windows Server 實例的組織。

建議

下列建議適用于大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

安裝類型

部署 Windows 管理員 中心時,您有多個選項,包括安裝在 Windows 10 電腦、Windows 伺服器或 Azure VM 上。 您選擇的部署類型將取決於您的商務需求。

內部部署安裝類型如下:

Installation types when deploying Windows Admin Center on-premises. Deployment options depend on your business requirements.

  • 選項 1:本機用戶端。 在 Windows 10 用戶端上部署 Windows 管理員中心。 這很適合用於快速部署、測試和即興或小規模案例。
  • 選項 2:閘道伺服器。 安裝在執行 Windows Server 2016、Windows Server 2019 或更新版本的指定閘道伺服器上,並從具有閘道伺服器連線能力的任何用戶端瀏覽器存取。
  • 選項 3:受控伺服器。 直接安裝在執行 Windows Server 2016、Windows Server 2019 或更新版本的受管理伺服器上,讓伺服器能夠管理自己或受控伺服器是成員節點的叢集。 這非常適合分散式分公司案例。
  • 選項 4:容錯移轉叢集。 部署在容錯移轉叢集中,以啟用閘道服務的高可用性。 這非常適合生產環境,以確保管理服務復原能力。

由於 Windows 管理員 中心沒有雲端服務相依性,某些組織可能會選擇將 Windows 管理員 Center 部署到內部部署系統,以便管理內部部署電腦,然後隨著時間啟用混合式服務。 不過,許多組織偏好利用 Azure 和其他與 Windows 管理員 Center 整合的雲端平臺服務供應專案。

在 Azure VM 上部署 Windows 管理員 中心可提供與 Windows Server 2016 和 Windows Server 2019 類似的閘道功能。 不過,Azure 也會為 Azure VM 啟用其他功能。 如需 將 Windows 管理員 中心部署至 Azure VM 的優點詳細資訊,請參閱可靠性

自動化部署

Microsoft 提供您用來將 Windows 管理員 Center 部署至內部部署 VM 的 .msi 檔案。 .msi 檔案會安裝 Windows 管理員 Center,並自動產生自我簽署憑證,或根據您的喜好設定建立現有憑證的關聯。

提示

如需使用 .msi 檔案部署 Windows 管理員中心的詳細資訊,請參閱 安裝 Windows 管理員中心

在 Azure VM 上實作 Windows 管理員 Center 時,Microsoft 會提供 Deploy-Windows 管理員 CenterAzVM.ps1 腳本,以自動部署所有必要的資源。 在此案例中,腳本會部署已安裝 Windows 管理員 中心的新 Azure VM,並在公用 IP 位址上開啟埠 443。 腳本也可以將 Windows 管理員 中心部署到現有的 Azure VM。 執行腳本時,您可以使用變數來指定資源群組、虛擬網路名稱、VM 名稱、位置和其他許多選項。

重要

在部署之前,請將憑證上傳至 Azure 金鑰保存庫。 或者,您可以使用Azure 入口網站來產生憑證。

提示

如需使用 Deploy-Windows 管理員 CenterAzVM.ps1 腳本將 Windows 管理員 Center 部署至 Azure VM 的詳細資訊,請參閱 在 Azure 中部署 Windows 管理員中心。

提示

如需將 Windows 管理員 中心部署至 Azure VM 所需手動步驟的詳細資訊,請參閱 在現有的 Azure 虛擬機器 上手動部署。

拓撲建議

雖然您可以在內部部署或裝載于 Azure 的任何現有或新 VM 上實作 Windows 管理員 中心,但 Microsoft 建議在 Windows Server 2019 Azure VM 上部署 Windows 管理員 中心閘道。 稍早討論的自動化部署選項可讓您更快速地在 Azure VM 上實作 Windows 管理員中心,同時仍然保護您的環境。 除了在內部部署 VM 上部署 Windows 管理員 Center,您可以將內部部署防火牆和網路所需的設定變更降到最低。

重要

管理內部部署節點需要從 Azure 到內部部署的連線(例如 S2S VPN 或 ExpressRoute)。

在內部部署部署時,您可以使用 Windows 管理員中心來建置與 Azure 的混合式連線。 稱為 Azure 網路介面卡 的混合式連線 是 Azure 的 P2S VPN,可讓 Windows 管理員中心存取混合式雲端功能。 此程式也會自動建立 VPN 連線的 Azure 閘道。 如需詳細資訊,請參閱 關於點對站 VPN

重要

在建立 Azure 網路介面卡之前,您必須在 Azure 中擁有 Azure 虛擬網路。

您也應該將 Windows 管理員 中心閘道設定為高可用性。 這有助於確保系統與服務的管理會在非預期的失敗期間維持可用狀態。 不論 Windows 管理員 中心閘道是部署到內部部署還是 Azure VM,Azure 都會針對這些案例提供多個服務供應專案。 如需詳細資訊, 請參閱可用性考慮

憑證建議

Windows 管理員中心閘道是以 Web 為基礎的工具,其使用安全通訊端層 (SSL) 憑證來加密使用閘道的系統管理員的 Web 流量。 Windows 管理員中心可讓您使用從自我簽署憑證建立的受信任協力廠商憑證授權單位單位 (CA) 的 SSL 憑證。 如果您選擇後一個選項,當您嘗試從瀏覽器連線時,您會收到警告。 因此,我們建議您只針對測試環境使用自我簽署憑證。

提示

若要瞭解其他 Microsoft 客戶如何使用 Windows 管理員 中心來提升其生產力並降低成本,請參閱 Windows 管理員 中心案例研究

管理員建議

在本機 Windows 10 用戶端上部署 Windows 管理員 Center 非常適合快速啟動測試,以及臨機操作或小規模案例。 不過,針對具有多個系統管理員的生產案例,我們建議使用 Windows Server。 在 Windows Server 上部署時,Windows 管理員中心會為您的伺服器環境提供集中式管理中樞,並提供其他功能,例如智慧卡驗證、條件式存取和多重要素驗證。 如需控制 Windows 管理員 中心存取權的詳細資訊,請參閱 Windows 管理員中心 的使用者存取選項。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

可靠性

可靠性可確保您的應用程式可以符合您對客戶所做的承諾。 如需詳細資訊,請參閱 可靠性要素 概觀。

  • 您可以在容錯移轉叢集的主動/被動模型中部署 Windows 管理員 中心閘道服務,以協助確保 Windows 管理員 中心閘道服務的高可用性。 在此案例中,只有一個 Windows 管理員中心閘道服務實例作用中。 如果叢集中的其中一個節點失敗,Windows 管理員中心閘道服務會順暢地容錯移轉到另一個節點。

    警告

    在 Windows 10 用戶端電腦上部署 Windows 管理員 Center 不提供高可用性,因為 Windows 10 部署不包含閘道功能。 將 Windows 管理員 中心閘道部署至 Windows Server 2016 或 Windows Server 2019。

  • 為了協助確保 Windows 管理員中心資料的高可用性,以防節點失敗,請設定 Windows 管理員中心會將叢集共用磁片區 (CSV) 儲存叢集存取中所有節點的持續性資料。 您可以使用自動化部署腳本來部署 Windows 管理員 中心閘道的容錯移轉叢集。 Install-Windows管理員CenterHA.ps1 腳本會自動部署容錯移轉叢集、設定叢集服務的 IP 位址、安裝 Windows 管理員 中心閘道、設定閘道服務的埠號碼,以及使用適當的憑證設定 Web 服務。

    提示

    如需使用自動化部署腳本的詳細資訊,請參閱 部署具有高可用性 的 Windows 管理員中心。

  • 將 Windows 管理員 中心閘道部署至 Azure VM 可提供額外的高可用性選項。 例如,藉由使用可用性設定組,您可以將 VM 分散到多個硬體節點,在 Azure 資料中心內提供 VM 備援和可用性。 您也可以在 Azure 中使用可用性區域,以提供資料中心容錯。 可用性區域是跨越 Azure 區域內資料中心的唯一實體位置。 這有助於確保 Azure VM 具有獨立的電源、冷卻和網路功能。 如需高可用性的詳細資訊,請參閱 Azure 中虛擬機器的可用性選項,以及 IaaS 應用程式的 高可用性和災害復原。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴資料和系統的保證。 如需詳細資訊,請參閱 安全性要素 概觀。

  • 部署 Windows 管理員中心可為組織提供伺服器環境的集中式管理介面。 藉由控制 Windows Admin Center 的存取權,您可以改善管理環境的安全性。
  • Windows 管理員中心提供多項功能,以協助保護您的管理平臺。 針對入門版,Windows 管理員中心閘道驗證可以使用本機群組、Active Directory 網域服務 (AD DS) 和雲端式 Microsoft Entra 識別碼。 您也可以為智慧卡型安全性群組指定額外的必要群組,以強制執行智慧卡驗證。 而且,藉由要求閘道的 Microsoft Entra 驗證,您可以使用其他 Microsoft Entra 安全性功能,例如條件式存取和 Microsoft Entra 多重要素驗證。
  • Windows 管理員中心閘道的存取並不表示存取閘道可見的目標伺服器。 若要管理目標伺服器,使用者必須連線到要管理之伺服器上授與系統管理員許可權的認證。 不過,某些使用者可能不需要系統管理存取權來執行其責任。 在此案例中,您可以使用 Windows 管理員 Center 中的角色型存取控制 (RBAC),為這些使用者提供有限的伺服器存取權,而不是授與他們完整的系統管理存取權。

    注意

    如果您在環境中部署本機管理員istrator 密碼解決方案 (LAPS),請透過 Windows 管理員中心使用 LAPS 認證向目標伺服器進行驗證。

  • 在 Windows 管理員 中心,RBAC 的運作方式是使用 Windows PowerShell Just Enough 管理員istration 端點來設定每個受管理伺服器。 此端點會定義角色,包括每個角色可以管理的系統哪些部分,以及指派給角色的使用者。 當使用者連線到端點時,RBAC 會建立暫時的本機系統管理員帳戶,以代表他們管理系統,並在使用者透過 Windows 管理員 中心停止管理伺服器時自動移除帳戶。 如需詳細資訊,請參閱 Just Enough 管理員istration
  • Windows 管理員中心也可讓您查看環境中執行的管理動作。 Windows 管理員中心會將動作記錄至 受管理伺服器事件記錄檔中的 Microsoft-ServerManagementExperience 事件通道來記錄事件。 這可讓您稽核系統管理員執行的動作,並協助您針對 Windows 管理員 中心問題進行疑難排解,並檢閱使用計量。 如需稽核的詳細資訊,請參閱 在 Windows 管理員 中心使用事件記錄,以深入瞭解管理活動和追蹤閘道使用量

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素 概觀。

  • 針對內部部署部署,Windows 管理員中心的成本不會超過 Windows 作業系統的成本,這需要有效的 Windows Server 或 Windows 10 授權。
  • 針對 Azure 部署,請規劃將 Windows 管理員 中心部署到 Azure VM 的相關成本。 其中一些成本可能包括 VM、儲存體、靜態或公用 IP 位址(如果已啟用),以及與內部部署環境整合所需的任何網路元件。 此外,您可能需要規劃購買非 Microsoft CA 憑證的成本。

卓越營運

卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱 概觀。

管理能力

  • Windows 管理員中心管理工具集的存取權取決於安裝類型。 例如,在本機用戶端案例中,您會從 [開始 ] 功能表開啟 Windows 管理員 Center,並藉由存取 https://localhost:6516 從用戶端網頁瀏覽器連線到它。 在其他將 Windows 管理員 中心閘道部署至 Window Server 的案例中,您可以透過存取伺服器名稱 URL,例如 https://servername.contoso.com ,或叢集名稱的 URL,從用戶端網頁瀏覽器連線到 Windows 管理員 中心閘道。
  • 在部署於 Windows Server 上時,Windows Admin Center 可讓您在集中的位置管理伺服器環境。 Windows 管理員中心提供許多常見案例和工具的管理工具,包括:
    • 憑證管理
    • 事件檢視器
    • 檔案總管
    • 網路設定
    • 遠端桌面連線
    • Windows PowerShell
    • 防火牆管理
    • 登錄編輯
    • 啟用和停用角色和功能
    • 管理已安裝的應用程式和裝置
    • 管理排程的工作
    • 設定本機使用者和群組
    • 管理 Windows 服務
    • 管理儲存體
    • 管理 Windows Update

如需伺服器管理功能的完整清單,請參閱 使用 Windows 管理員 中心 管理伺服器。

重要

Windows 管理員中心不會取代所有遠端伺服器管理員管理工具(RSAT),例如 網際網路資訊服務 (IIS),因為 Windows 管理員 中心沒有對等的管理功能。

注意

Windows 管理員中心提供一部分伺服器管理員功能來管理 Windows 10 用戶端電腦。

  • Windows 管理員中心支援管理容錯移轉叢集和叢集資源、管理 Hyper-V VM 和虛擬交換器,以及管理 Windows Server 儲存體 複本。 除了使用 Windows 管理員 中心來管理及監視現有的超交集基礎結構之外,您也可以使用 Windows 管理員 中心來部署新的超交集基礎結構。 Windows 管理員中心會使用多階段工作流程,引導您安裝功能、設定網路功能、建立叢集,以及部署儲存空間直接存取和軟體定義網路。 如需詳細資訊,請參閱 使用 Windows 管理員 中心 管理超交集基礎結構。

    注意

    您可以使用 Windows 管理員中心來管理 Microsoft Hyper-V Server 2016 或 Microsoft Hyper-V Server 2019(免費的 Microsoft 虛擬化產品)。

  • Windows 管理員中心中的 Azure 混合式服務工具提供所有整合式 Azure 服務的集中式位置。 您可以使用 Azure 混合式服務,透過雲端式備份和災害復原來保護 Azure 和內部部署中的 VM。 您也可以使用 Azure 中的儲存體和計算來擴充內部部署容量,並簡化對 Azure 的網路連線。 透過雲端智慧型 Azure 管理服務的協助,您可以跨應用程式、網路和基礎結構集中監視、治理、設定和安全性。

Windows Admin Center provides a centralized location of all the integrated Azure services. You can use the Azure hybrid services tool to manage the hybrid features of VMs in Azure and on-premises.

提示

如需 Azure 整合的詳細資訊,請參閱 將 Windows Server 連線至 Azure 混合式服務

重要

Microsoft Entra 應用程式需要在 Windows 管理員 Center 中整合 Azure。

DevOps

  • Windows 管理員中心是專為擴充性所建置,因此 Microsoft 和其他開發人員可以建置目前供應專案以外的工具和解決方案。 Windows 管理員中心提供可延伸的平臺,其中每個連線類型和工具都是您可以個別安裝、卸載和更新的擴充功能。 Microsoft 提供軟體發展工具組 (SDK),可讓開發人員建置自己的 Windows 管理員 中心工具。
  • 您可以使用新式 Web 技術來建置 Windows 管理員 中心延伸模組,包括 HTML5、CSS、Angular、TypeScript 和 jQuery,透過 Windows PowerShell 或 Windows Management Instrumentation 管理目標伺服器。 您也可以透過不同的通訊協定來管理目標伺服器、服務和裝置,例如表示狀態傳輸(REST),方法是建置 Windows 管理員中心閘道外掛程式。

    提示

    如需使用 SDK 開發 Windows 管理員 中心擴充功能的詳細資訊,請參閱 Windows 管理員 中心擴充功能

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

若要查看非公用LinkedIn設定檔,請登入 LinkedIn。

下一步

深入瞭解Azure 自動化: