Gestire i carichi di lavoro ibridi di Azure con Windows Admin Center

Questa architettura di riferimento illustra come progettare una soluzione ibrida di Windows Amministrazione Center per gestire i carichi di lavoro ospitati in locale e in Microsoft Azure. Questa architettura include due scenari:

• Windows Amministrazione Center distribuito in una macchina virtuale (VM) in Azure.
• Windows Amministrazione Center distribuito in un server (fisico o virtuale) locale.

Architettura

Il primo diagramma illustra Windows Amministrazione Center distribuito in una macchina virtuale in Azure.

Il secondo diagramma illustra Windows Amministrazione Center distribuito in locale.

Scaricare un file di Visio di tutti i diagrammi di architetture in questo articolo.

Flusso di lavoro

L'architettura è costituita dai seguenti elementi:

• Rete aziendale locale. Una rete locale privata che viene eseguita all'interno di un'organizzazione.
• Firewall aziendale locale. Firewall aziendale configurato per consentire agli utenti di accedere al gateway Windows Amministrazione Center quando il gateway viene distribuito in locale.
• Macchina virtuale Windows. Una macchina virtuale Windows installata con il gateway Windows Amministrazione Center che ospita servizi Web a cui gli utenti possono connettersi.
• App Microsoft Entra. Un'app usata per tutti i punti di integrazione di Azure in Windows Amministrazione Center, inclusa l'autenticazione di Microsoft Entra nel gateway.
• Nodi gestiti. Nodi gestiti da Windows Amministrazione Center, che possono includere server fisici che eseguono Azure Stack o Windows Server o macchine virtuali che eseguono Windows Server.
• VPN o ExpressRoute. Una VPN da sito a sito (S2S) o ExpressRoute per gestire i nodi in locale quando Windows Amministrazione Center viene distribuito in Azure.
• Scheda di rete di Azure. Adattatore per una VPN da punto a sito (P2S) in Azure quando Windows Amministrazione Center viene distribuito in locale. Windows Amministrazione Center può distribuire automaticamente l'adattatore e creare anche un gateway di Azure.
• Domain Name System (DNS).Domain Name System (DNS). Record DNS a cui fanno riferimento gli utenti per connettersi al gateway windows Amministrazione Center.

Componenti

• Windows Amministrazione Center è un set di strumenti di gestione basato su browser che offre il controllo completo su tutti gli aspetti dell'infrastruttura server ed è particolarmente utile per la gestione dei server su reti private non connesse a Internet. Accede ai server tramite il gateway Windows Amministrazione Center installato in Windows Server o in Windows 10 aggiunto a un dominio. Il gateway può essere installato in locale o in una macchina virtuale di Azure che esegue Windows.
• Azure ExpressRoute crea connessioni private tra i data center di Azure e l'infrastruttura in locale o in un ambiente di condivisione.
• Azure Rete virtuale fornisce un'infrastruttura di rete sicura nel cloud.
• Azure Macchine virtuali fornisce macchine virtuali Linux e Windows. In questa soluzione è possibile usarla per fornire una macchina virtuale Windows per eseguire Windows Amministrazione Center.

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

• Organizzazioni che vogliono gestire singole istanze di Windows Server, infrastruttura iperconvergente o macchine virtuali Hyper-V eseguite in locale e in Microsoft Azure.
• Organizzazioni che vogliono gestire le istanze di Windows Server ospitate da altri provider di servizi cloud.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Tipi di installazione

Sono disponibili più opzioni per la distribuzione di Windows Amministrazione Center, tra cui l'installazione in un PC Windows 10, un server Windows o una macchina virtuale di Azure. Il tipo di distribuzione scelto dipenderà dai requisiti aziendali.

I tipi di installazione locali sono:

• Opzione 1: Client locale. Distribuire Windows Amministrazione Center in un client Windows 10. Questa soluzione è ideale per distribuzioni rapide, test e scenari improvvisati o su scala ridotta.
• Opzione 2: Server gateway. Installare in un server gateway designato che esegue Windows Server 2016, Windows Server 2019 o versione successiva e accedere da qualsiasi browser client con connettività al server gateway.
• Opzione 3: Server gestito. Installare direttamente in un server gestito che esegue Windows Server 2016, Windows Server 2019 o versione successiva per consentire al server di gestire se stesso o un cluster in cui il server gestito è un nodo membro. Questa soluzione è ideale per gli scenari di succursali distribuite.
• Opzione 4: Cluster di failover. Distribuisci in un cluster di failover per abilitare la disponibilità elevata del servizio gateway. Questa soluzione è ideale per gli ambienti di produzione per garantire la resilienza del servizio di gestione.

Poiché Windows Amministrazione Center non ha dipendenze dai servizi cloud, alcune organizzazioni potrebbero scegliere di distribuire Windows Amministrazione Center in un sistema locale per la gestione dei computer locali e quindi abilitare i servizi ibridi nel tempo. Tuttavia, molte organizzazioni preferiscono sfruttare le offerte di servizi in Azure e altre piattaforme cloud integrate con Windows Amministrazione Center.

La distribuzione di Windows Amministrazione Center in una macchina virtuale di Azure offre funzionalità del gateway simili a Windows Server 2016 e Windows Server 2019. Azure, tuttavia, abilita anche funzionalità aggiuntive per le macchine virtuali di Azure. Per altre informazioni sui vantaggi della distribuzione di Windows Amministrazione Center in macchine virtuali di Azure, vedere Affidabilità.

Distribuzione automatica

Microsoft fornisce un file msi usato per distribuire Windows Amministrazione Center in una macchina virtuale locale. Il file msi installa Windows Amministrazione Center e genera automaticamente un certificato autofirmato o associa un certificato esistente in base alle preferenze.

Quando si implementa Windows Amministrazione Center in una macchina virtuale di Azure, Microsoft fornisce lo script Deploy-Windows Amministrazione CenterAzVM.ps1 per distribuire automaticamente tutte le risorse necessarie. In questo scenario, lo script distribuisce una nuova macchina virtuale di Azure con Windows Amministrazione Center installato e apre la porta 443 nell'indirizzo IP pubblico. Lo script può anche distribuire Windows Amministrazione Center in una macchina virtuale di Azure esistente. Quando si esegue lo script, è possibile usare le variabili per specificare il gruppo di risorse, il nome della rete virtuale, il nome della macchina virtuale, il percorso e molte altre opzioni.

Raccomandazioni sulla topologia

Sebbene sia possibile implementare Windows Amministrazione Center in qualsiasi macchina virtuale esistente o nuova locale o ospitata in Azure, Microsoft consiglia di distribuire il gateway Windows Amministrazione Center in una macchina virtuale di Azure di Windows Server 2019. L'opzione di distribuzione automatizzata illustrata in precedenza consente di implementare Windows Amministrazione Center in una macchina virtuale di Azure più rapidamente, mantenendo comunque la protezione dell'ambiente. Anziché distribuire Windows Amministrazione Center in una macchina virtuale locale, è possibile ridurre al minimo le modifiche di configurazione necessarie per un firewall e una rete locale.

Quando è stata distribuita in locale, è possibile usare Windows Amministrazione Center per creare la connessione ibrida ad Azure. La connessione ibrida, denominata scheda di rete di Azure, è una VPN da punto a sito ad Azure che consente a Windows Amministrazione Center di accedere alle funzionalità cloud ibride. Questo processo crea automaticamente anche un gateway di Azure per la connessione VPN. Per altre informazioni, vedere Informazioni sulla VPN da punto a sito.

È anche consigliabile configurare il gateway windows Amministrazione Center per la disponibilità elevata. In questo modo si garantisce che la gestione dei sistemi e dei servizi rimanga disponibile durante errori imprevisti. Azure offre più offerte di servizio per questi scenari indipendentemente dal fatto che il gateway windows Amministrazione Center venga distribuito in una macchina virtuale locale o in una macchina virtuale di Azure. Per altre informazioni, vedere Considerazioni sulla disponibilità.

Raccomandazioni per i certificati

Il gateway Windows Amministrazione Center è uno strumento basato sul Web che usa un certificato SSL (Secure Sockets Layer) per crittografare il traffico Web per gli amministratori che usano il gateway. Windows Amministrazione Center consente di usare un certificato SSL creato da un'autorità di certificazione (CA) di terze parti attendibile creata da un certificato autofirmato. Quando si tenta di connettersi da un browser, si riceverà un avviso se si sceglie quest'ultima opzione. Di conseguenza, è consigliabile usare solo certificati autofirmato per gli ambienti di test.

raccomandazioni Amministrazione istrative

La distribuzione di Windows Amministrazione Center in un client Windows 10 locale è ideale per i test di avvio rapido e scenari ad hoc o su scala ridotta. Tuttavia, per gli scenari di produzione con più amministratori, è consigliabile Windows Server. Quando viene distribuito in Windows Server, Windows Amministrazione Center fornisce un hub di gestione centralizzato per l'ambiente server con funzionalità aggiuntive, ad esempio l'autenticazione tramite smart card, l'accesso condizionale e l'autenticazione a più fattori. Per altre informazioni sul controllo dell'accesso a Windows Amministrazione Center, vedere Opzioni di accesso utente con Windows Amministrazione Center.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni assunti dai clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

• È possibile garantire la disponibilità elevata del servizio gateway windows Amministrazione Center distribuendolo in un modello attivo/passivo in un cluster di failover. In questo scenario è attiva solo un'istanza del servizio gateway windows Amministrazione Center. Se uno dei nodi del cluster ha esito negativo, il servizio gateway di Windows Amministrazione Center esegue facilmente il failover in un altro nodo.

  Attenzione

  La distribuzione di Windows Amministrazione Center in un computer client Windows 10 non offre disponibilità elevata perché la funzionalità del gateway non è inclusa nella distribuzione di Windows 10. Distribuire il gateway Windows Amministrazione Center in Windows Server 2016 o Windows Server 2019.

• Per garantire la disponibilità elevata dei dati di Windows Amministrazione Center in caso di errore del nodo, configurare un volume condiviso cluster in cui Windows Amministrazione Center archivierà i dati persistenti a tutti i nodi nell'accesso al cluster. È possibile distribuire il cluster di failover per il gateway Windows Amministrazione Center usando uno script di distribuzione automatica. Lo script Install-Windows Amministrazione CenterHA.ps1 distribuisce automaticamente il cluster di failover, configura gli indirizzi IP per il servizio cluster, installa il gateway windows Amministrazione Center, configura il numero di porta per il servizio gateway e configura il servizio Web con il certificato appropriato.

  Suggerimento

  Per altre informazioni sull'uso dello script di distribuzione automatizzata, vedere Distribuire Windows Amministrazione Center con disponibilità elevata.

• La distribuzione del gateway Windows Amministrazione Center in una macchina virtuale di Azure offre opzioni di disponibilità elevata aggiuntive. Ad esempio, usando i set di disponibilità è possibile fornire ridondanza e disponibilità delle macchine virtuali all'interno di un data center di Azure distribuendo le macchine virtuali tra più nodi hardware. È anche possibile usare le zone di disponibilità in Azure, che forniscono la tolleranza di errore del data center. Le zone di disponibilità sono posizioni fisiche univoche che si estendono su data center all'interno di un'area di Azure. Ciò consente di garantire che le macchine virtuali di Azure abbiano potenza, raffreddamento e rete indipendenti. Per altre informazioni sulla disponibilità elevata, vedere Opzioni di disponibilità per le macchine virtuali in Azure e Disponibilità elevata e ripristino di emergenza per le app IaaS.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

• La distribuzione di Windows Amministrazione Center offre all'organizzazione un'interfaccia di gestione centralizzata per l'ambiente server. Controllando l'accesso a Windows Admin Center, puoi migliorare la sicurezza nel campo della gestione.
• Windows Amministrazione Center offre più funzionalità per proteggere la piattaforma di gestione. Per iniziare, l'autenticazione gateway di Windows Amministrazione Center può usare gruppi locali, Dominio di Active Directory Services (AD DS) e Microsoft Entra ID basato sul cloud. È anche possibile applicare l'autenticazione tramite smart card specificando un gruppo aggiuntivo necessario per i gruppi di sicurezza basati su smart card. Inoltre, richiedendo l'autenticazione di Microsoft Entra per il gateway, è possibile usare altre funzionalità di sicurezza di Microsoft Entra, ad esempio l'accesso condizionale e l'autenticazione a più fattori Di Microsoft Entra.
• L'accesso al gateway windows Amministrazione Center non implica l'accesso ai server di destinazione resi visibili dal gateway. Per gestire un server di destinazione, gli utenti devono connettersi con credenziali che concedono privilegi di amministratore ai server che vogliono gestire. Tuttavia, alcuni utenti potrebbero non avere bisogno dell'accesso amministrativo per svolgere le proprie responsabilità. In questo scenario, è possibile usare il controllo degli accessi in base al ruolo in Windows Amministrazione Center per fornire a questi utenti accesso limitato ai server anziché concedere loro l'accesso amministrativo completo.

  Nota

  Se è stata distribuita la soluzione password locale Amministrazione istrator (L piattaforma di strumenti analitici) nell'ambiente in uso, usare le credenziali L piattaforma di strumenti analitici tramite Windows Amministrazione Center per l'autenticazione con un server di destinazione.

• In Windows Amministrazione Center il controllo degli accessi in base al ruolo funziona configurando ogni server gestito con un endpoint di Amministrazione isterazione Just Enough di Windows PowerShell. Questo endpoint definisce i ruoli, incluse le parti del sistema che ogni ruolo può gestire e quali utenti vengono assegnati ai ruoli. Quando un utente si connette all'endpoint, il controllo degli accessi in base al ruolo crea un account amministratore locale temporaneo per gestire il sistema per suo conto e rimuove automaticamente l'account quando l'utente smette di gestire il server tramite Windows Amministrazione Center. Per altre informazioni, vedere Just Enough Amministrazione istration.For more information, refer to Just Enough Amministrazione istration.
• Windows Amministrazione Center offre anche visibilità sulle azioni di gestione eseguite nell'ambiente. Windows Amministrazione Center registra gli eventi registrando le azioni nel canale eventi Microsoft-ServerManagementExperience nel registro eventi del server gestito. Ciò consente di controllare le azioni eseguite dagli amministratori e di risolvere i problemi di Windows Amministrazione Center ed esaminare le metriche di utilizzo. Per altre informazioni sul controllo, vedere Usare la registrazione eventi in Windows Amministrazione Center per ottenere informazioni dettagliate sulle attività di gestione e tenere traccia dell'utilizzo del gateway.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

• Per le distribuzioni locali, Windows Amministrazione Center non costa nulla oltre il costo del sistema operativo Windows, che richiede licenze di Windows Server o Windows 10 valide.
• Per le distribuzioni di Azure, pianificare i costi associati alla distribuzione di Windows Amministrazione Center in una macchina virtuale di Azure. Alcuni di questi costi possono includere la macchina virtuale, l'archiviazione, gli indirizzi IP statici o pubblici (se abilitati) e gli eventuali componenti di rete necessari per l'integrazione con ambienti locali. Inoltre, potrebbe essere necessario pianificare il costo dell'acquisto di certificati CA non Microsoft.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

Gestione

• L'accesso al set di strumenti di gestione di Windows Amministrazione Center dipende dal tipo di installazione. In uno scenario client locale, ad esempio, aprire Windows Amministrazione Center dal menu Start e connetterlo da un Web browser client accedendo a https://localhost:6516. In altri scenari in cui si distribuisce il gateway Windows Amministrazione Center in un server Windows, è possibile connettersi al gateway windows Amministrazione Center da un Web browser client accedendo all'URL del nome del server, ad esempio https://servername.contoso.como all'URL del nome del cluster.
• Se distribuito in Windows Server, Windows Admin Center offre un punto di gestione centralizzato per l'ambiente server. Windows Amministrazione Center offre strumenti di gestione per molti scenari e strumenti comuni, tra cui:
  • Gestione dei certificati
  • Visualizzatore eventi
  • Esplora file
  • Impostazioni di rete
  • Connessione Desktop remoto
  • Windows PowerShell
  • Gestione del firewall
  • Modifica del Registro di sistema
  • Abilitazione e disabilitazione di ruoli e funzionalità
  • Gestione di app e dispositivi installati
  • Gestione delle attività pianificate
  • Configurazione di utenti e gruppi locali
  • Gestione dei servizi Windows
  • Gestione dell'archiviazione
  • Gestione di Windows Update

Per un elenco completo delle funzionalità di gestione dei server, vedere Gestire i server con Windows Amministrazione Center.

• Windows Amministrazione Center offre supporto per la gestione di cluster di failover e risorse del cluster, la gestione di macchine virtuali Hyper-V e commutatori virtuali e la gestione di Windows Server Archiviazione Replica. Oltre a usare Windows Amministrazione Center per gestire e monitorare un'infrastruttura iperconvergente esistente, è anche possibile usare Windows Amministrazione Center per distribuire una nuova infrastruttura iperconvergente. Usando un flusso di lavoro a più passaggi, Windows Amministrazione Center illustra l'installazione di funzionalità, la configurazione della rete, la creazione di un cluster e la distribuzione di Spazi di archiviazione diretta e la rete software-defined. Per altre informazioni, vedere Gestire l'infrastruttura iperconvergente con Windows Amministrazione Center.

  Nota

  È possibile usare Windows Amministrazione Center per gestire Microsoft Hyper-V Server 2016 o Microsoft Hyper-V Server 2019 (il prodotto di virtualizzazione Microsoft gratuito).

• Lo strumento servizi ibridi di Azure in Windows Amministrazione Center offre una posizione centralizzata per tutti i servizi di Azure integrati. È possibile usare i servizi ibridi di Azure per proteggere le macchine virtuali in Azure e in locale con backup e ripristino di emergenza basati sul cloud. È anche possibile estendere la capacità locale con l'archiviazione e il calcolo in Azure ed è possibile semplificare la connettività di rete ad Azure. Grazie ai servizi di gestione di Azure intelligenti dal cloud, è possibile centralizzare il monitoraggio, la governance, la configurazione e la sicurezza nelle applicazioni, nella rete e nell'infrastruttura.

DevOps

• Windows Amministrazione Center è stato creato per l'estendibilità in modo che Microsoft e altri sviluppatori possano creare strumenti e soluzioni oltre le offerte correnti. Windows Amministrazione Center offre una piattaforma estendibile in cui ogni tipo di connessione e strumento è un'estensione che è possibile installare, disinstallare e aggiornare singolarmente. Microsoft offre un software development kit (SDK) che consente agli sviluppatori di creare strumenti personalizzati per Windows Amministrazione Center.
• È possibile compilare estensioni di Windows Amministrazione Center usando tecnologie Web moderne, tra cui HTML5, CSS, Angular, TypeScript e jQuery, per gestire i server di destinazione tramite Windows PowerShell o Strumentazione gestione Windows. È anche possibile gestire server, servizi e dispositivi di destinazione su protocolli diversi, ad esempio Rest (Representational State Transfer) creando un plug-in gateway windows Amministrazione Center.

  Suggerimento

  Per altre informazioni sull'uso dell'SDK per sviluppare estensioni per Windows Amministrazione Center, vedere Estensioni per Windows Amministrazione Center.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Mike Martin | Senior Cloud Solution Architect

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Altre informazioni su Automazione di Azure:

• Installare Windows Admin Center
• Anteprima: usare Windows Amministrazione Center nel portale di Azure per gestire una macchina virtuale Windows Server
• Distribuire manualmente Windows Amministrazione Center in Azure per la gestione di più server
• Connessione computer ibridi ad Azure da Windows Amministrazione Center

Risorse correlate

• Connessione server autonomi usando la scheda di rete di Azure
• Usare cluster estesi di Azure Stack HCI per il ripristino di emergenza
• Gestire le configurazioni per i server abilitati per Azure Arc
• Usare l'interconnessione senza commutatore e il quorum leggero di Azure Stack HCI per uffici remoti o succursali