Hybride Azure-workloads beheren met Windows Admin Center

Deze referentiearchitectuur laat zien hoe u een hybride Windows Beheer Center-oplossing ontwerpt voor het beheren van workloads die on-premises en in Microsoft Azure worden gehost. Deze architectuur bevat twee scenario's:

• Windows Beheer Center geïmplementeerd op een virtuele machine (VM) in Azure.
• Windows Beheer Center geïmplementeerd op een server (fysiek of virtueel) on-premises.

Architectuur

Het eerste diagram illustreert Windows Beheer Center dat is geïmplementeerd op een VIRTUELE machine in Azure.

Het tweede diagram illustreert Windows Beheer Center dat on-premises is geïmplementeerd.

Download een Visio-bestand met alle architecturendiagrammen in dit artikel.

Workflow

De architectuur bestaat uit het volgende:

• Zakelijk on-premises netwerk. Een particulier local area-netwerk dat binnen een organisatie wordt uitgevoerd.
• On-premises bedrijfsfirewall. Een organisatiefirewall die is geconfigureerd om gebruikers toegang te geven tot de Windows Beheer Center-gateway wanneer de gateway on-premises wordt geïmplementeerd.
• Windows-VM. Een Windows-VM die is geïnstalleerd met de Windows Beheer Center-gateway die als host fungeert voor webservices waarmee gebruikers verbinding kunnen maken.
• Microsoft Entra-app. Een app die wordt gebruikt voor alle punten van Azure-integratie in Windows Beheer Center, met inbegrip van Microsoft Entra-verificatie voor de gateway.
• Beheerde knooppunten. Knooppunten die worden beheerd door Windows Beheer Center, waaronder fysieke servers met Azure Stack, Windows Server of virtuele machines met Windows Server.
• VPN of ExpressRoute. Een site-naar-site-VPN (S2S) of ExpressRoute om knooppunten on-premises te beheren wanneer Windows Beheer Center wordt geïmplementeerd in Azure.
• Azure-netwerkadapter. Een adapter voor een punt-naar-site-VPN (P2S) naar Azure wanneer Windows Beheer Center on-premises wordt geïmplementeerd. Windows Beheer Center kan de adapter automatisch implementeren en ook een Azure-gateway maken.
• Domain Name System (DNS). Een DNS-record waarnaar gebruikers verwijzen om verbinding te maken met de Windows Beheer Center-gateway.

Onderdelen

• Windows Beheer Center is een op browsers gebaseerde beheerprogrammaset waarmee u volledige controle hebt over alle aspecten van uw serverinfrastructuur en dat met name handig is voor het beheren van servers op privénetwerken die niet zijn verbonden met internet. Het heeft toegang tot servers via de Windows Beheer Center-gateway die is geïnstalleerd op Windows Server of op windows 10 die lid is van een domein. De gateway kan on-premises of op een Azure-VM met Windows worden geïnstalleerd.
• Azure ExpressRoute maakt privéverbindingen tussen Azure-datacenters en infrastructuur on-premises of in een colocatieomgeving.
• Azure Virtual Network biedt een beveiligde netwerkinfrastructuur in de cloud.
• Azure Virtual Machines biedt virtuele Linux- en Windows-machines. In deze oplossing kunt u deze gebruiken om een Windows-VM te bieden voor het uitvoeren van Windows Beheer Center.

Scenariodetails

Potentiële gebruikscases

Deze architectuur wordt doorgaans gebruikt voor:

• Organisaties die afzonderlijke Windows Server-exemplaren, Hypergeconvergeerde infrastructuur of Hyper-V-VM's willen beheren die on-premises en in Microsoft Azure worden uitgevoerd.
• Organisaties die Windows Server-exemplaren willen beheren die worden gehost door andere cloudproviders.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Installatietypen

U hebt meerdere opties bij het implementeren van Windows Beheer Center, waaronder installatie op een Windows 10-pc, een Windows-server of een Virtuele Azure-machine. Het implementatietype dat u kiest, is afhankelijk van uw bedrijfsvereisten.

De on-premises installatietypen zijn:

• Optie 1: Lokale client. Windows Beheer Center implementeren op een Windows 10-client. Dit is ideaal voor snelle implementaties, testen en geïmproviseerde of kleinschalige scenario's.
• Optie 2: Gatewayserver. Installeer op een aangewezen gatewayserver met Windows Server 2016, Windows Server 2019 of hoger en toegang vanuit elke clientbrowser met connectiviteit met de gatewayserver.
• Optie 3: Beheerde server. Installeer rechtstreeks op een beheerde server met Windows Server 2016, Windows Server 2019 of hoger om de server in staat te stellen zichzelf of een cluster te beheren waarin de beheerde server een lidknooppunt is. Dit is ideaal voor gedistribueerde filiaalscenario's.
• Optie 4: Failovercluster. Implementeer in een failovercluster om hoge beschikbaarheid van de gatewayservice mogelijk te maken. Dit is ideaal voor productieomgevingen om de tolerantie van de beheerservice te garanderen.

Omdat Windows Beheer Center geen afhankelijkheden van de cloudservice heeft, kunnen sommige organisaties ervoor kiezen Om Windows Beheer Center te implementeren op een on-premises systeem voor het beheren van on-premises computers en vervolgens hybride services in de loop van de tijd in te schakelen. Veel organisaties maken echter liever gebruik van serviceaanbiedingen in Azure en andere cloudplatforms die zijn geïntegreerd met Windows Beheer Center.

Het implementeren van Windows Beheer Center op een Azure-VM biedt gatewayfunctionaliteit die vergelijkbaar is met Windows Server 2016 en Windows Server 2019. Azure maakt echter ook aanvullende functies voor Virtuele Azure-machines mogelijk. Raadpleeg betrouwbaarheid voor meer informatie over de voordelen van het implementeren van Windows Beheer Center op Azure-VM's.

Geautomatiseerde implementatie

Microsoft biedt een MSI-bestand dat u gebruikt om Windows Beheer Center te implementeren op een on-premises VM. Het MSI-bestand installeert Windows Beheer Center en genereert automatisch een zelfondertekend certificaat of koppelt een bestaand certificaat aan uw voorkeur.

Bij het implementeren van Windows Beheer Center op een virtuele Azure-machine biedt Microsoft het script Deploy-Windows Beheer CenterAzVM.ps1 om automatisch alle vereiste resources te implementeren. In dit scenario implementeert het script een nieuwe Virtuele Azure-machine waarop Windows Beheer Center is geïnstalleerd en wordt poort 443 geopend op het openbare IP-adres. Het script kan Windows Beheer Center ook implementeren op een bestaande Azure-VM. Wanneer u het script uitvoert, kunt u variabelen gebruiken om de resourcegroep, de naam van het virtuele netwerk, de VM-naam, de locatie en vele andere opties op te geven.

Aanbevelingen voor topologie

Hoewel u Windows Beheer Center kunt implementeren op een bestaande of nieuwe VIRTUELE machine die on-premises of wordt gehost in Azure, raadt Microsoft aan windows Beheer Center-gateway te implementeren op een Azure-VM met Windows Server 2019. Met de optie voor geautomatiseerde implementatie die eerder is besproken, kunt u Windows Beheer Center sneller implementeren op een Azure-VM terwijl u uw omgeving nog steeds beveiligt. In plaats van Windows Beheer Center te implementeren op een on-premises VM, kunt u de configuratiewijzigingen minimaliseren die nodig zijn voor een on-premises firewall en netwerk.

Wanneer u on-premises bent geïmplementeerd, kunt u Windows Beheer Center gebruiken om de hybride verbinding met Azure te bouwen. De hybride verbinding, een Azure-netwerkadapter genoemd, is een P2S VPN naar Azure waarmee Windows Beheer Center toegang heeft tot hybride cloudfuncties. Met dit proces wordt ook automatisch een Azure-gateway voor de VPN-verbinding gemaakt. Raadpleeg Over punt-naar-site-VPN voor meer informatie.

U moet ook de Windows Beheer Center-gateway configureren voor hoge beschikbaarheid. Dit helpt ervoor te zorgen dat het beheer van systemen en services beschikbaar blijft tijdens onverwachte fouten. Azure biedt meerdere serviceaanbiedingen voor deze scenario's, ongeacht of de Windows Beheer Center-gateway is geïmplementeerd op een on-premises of Azure-VM. Raadpleeg beschikbaarheidsoverwegingen voor meer informatie.

Aanbevelingen voor certificaten

Windows Beheer Center-gateway is een webhulpprogramma dat gebruikmaakt van een SSL-certificaat (Secure Sockets Layer) om webverkeer te versleutelen voor beheerders die de gateway gebruiken. Met Windows Beheer Center kunt u een SSL-certificaat gebruiken dat een vertrouwde externe certificeringsinstantie (CA) heeft gemaakt op basis van een zelfondertekend certificaat. U ontvangt een waarschuwing wanneer u verbinding probeert te maken vanuit een browser als u de laatste optie kiest. Daarom raden we u aan alleen zelfondertekende certificaten te gebruiken voor testomgevingen.

Beheer istische aanbevelingen

Het implementeren van Windows Beheer Center op een lokale Windows 10-client is ideaal voor snelstarttests en ad-hoc- of kleinschalige scenario's. Voor productiescenario's met meerdere beheerders raden we Echter Windows Server aan. Wanneer windows server is geïmplementeerd, biedt Windows Beheer Center een gecentraliseerde beheerhub voor uw serveromgeving met extra mogelijkheden, zoals smartcardverificatie, voorwaardelijke toegang en meervoudige verificatie. Raadpleeg Opties voor gebruikerstoegang met Windows Beheer Center voor meer informatie over het beheren van de toegang tot Windows Beheer Center.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

• U kunt zorgen voor hoge beschikbaarheid van de Windows Beheer Center-gatewayservice door deze te implementeren in een actief/passief model op een failovercluster. In dit scenario is slechts één exemplaar van de Windows Beheer Center-gatewayservice actief. Als een van de knooppunten in het cluster mislukt, voert de Windows Beheer Center-gatewayservice naadloos een failover uit naar een ander knooppunt.

  Let op

  Het implementeren van Windows Beheer Center op een Windows 10-clientcomputer biedt geen hoge beschikbaarheid omdat de gatewayfunctionaliteit niet is opgenomen in de Windows 10-implementatie. Implementeer de Windows Beheer Center-gateway naar Windows Server 2016 of Windows Server 2019.

• Als u wilt zorgen voor hoge beschikbaarheid van Windows Beheer Center-gegevens in het geval van een knooppuntfout, configureert u een CSV -cluster (Shared Volume) waarin Windows Beheer Center permanente gegevens opslaat die alle knooppunten in het cluster openen. U kunt het failovercluster voor Windows Beheer Center-gateway implementeren met behulp van een geautomatiseerd implementatiescript. Het script Install-Windows Beheer CenterHA.ps1 implementeert automatisch het failovercluster, configureert IP-adressen voor de clusterservice, installeert Windows Beheer Center-gateway, configureert het poortnummer voor de gatewayservice en configureert de webservice met het juiste certificaat.

  Fooi

  Raadpleeg Windows Beheer Center implementeren met hoge beschikbaarheid voor meer informatie over het gebruik van het geautomatiseerde implementatiescript.

• Het implementeren van windows Beheer Center-gateway naar een Azure-VM biedt extra opties voor hoge beschikbaarheid. Met behulp van beschikbaarheidssets kunt u bijvoorbeeld VM-redundantie en beschikbaarheid binnen een Azure-datacenter bieden door de VM's over meerdere hardwareknooppunten te distribueren. U kunt ook beschikbaarheidszones in Azure gebruiken, die fouttolerantie bieden voor datacenters. Beschikbaarheidszones zijn unieke fysieke locaties die datacenters binnen een Azure-regio omvatten. Dit helpt ervoor te zorgen dat azure-VM's onafhankelijke voeding, koeling en netwerken hebben. Raadpleeg beschikbaarheidsopties voor virtuele machines in Azure en hoge beschikbaarheid en herstel na noodgevallen voor IaaS-apps voor meer informatie over hoge beschikbaarheid.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

• Het implementeren van Windows Beheer Center biedt uw organisatie een gecentraliseerde beheerinterface voor uw serveromgeving. Door de toegang tot Windows Beheer Center te beheren, kunt u de beveiliging van uw beheerlandschap verbeteren.
• Windows Beheer Center biedt meerdere functies om uw beheerplatform te beveiligen. Om te beginnen kan Windows Beheer Center-gatewayverificatie lokale groepen, Active Directory-domein Services (AD DS) en cloudgebaseerde Microsoft Entra-id gebruiken. U kunt ook smartcardverificatie afdwingen door een extra vereiste groep op te geven voor beveiligingsgroepen op basis van smartcards. En door Microsoft Entra-verificatie voor de gateway te vereisen, kunt u andere Microsoft Entra-beveiligingsfuncties gebruiken, zoals voorwaardelijke toegang en Meervoudige Verificatie van Microsoft Entra.
• Toegang tot de Windows Beheer Center-gateway impliceert geen toegang tot de doelservers die zichtbaar worden gemaakt door de gateway. Als u een doelserver wilt beheren, moeten gebruikers verbinding maken met referenties die beheerdersbevoegdheden verlenen op de servers die ze willen beheren. Sommige gebruikers hebben echter mogelijk geen beheerderstoegang nodig om hun verantwoordelijkheden uit te voeren. In dit scenario kunt u op rollen gebaseerd toegangsbeheer (RBAC) in Windows Beheer Center gebruiken om deze gebruikers beperkte toegang te bieden tot servers in plaats van hen volledige beheerderstoegang te verlenen.

  Notitie

  Als u LAPS (Local Beheer istrator Password Solution) in uw omgeving hebt geïmplementeerd, gebruikt u LAPS-referenties via Windows Beheer Center om te verifiëren met een doelserver.

• In Windows Beheer Center werkt RBAC door elke beheerde server te configureren met een Windows PowerShell Just Enough Beheer istration-eindpunt. Dit eindpunt definieert de rollen, inclusief welke onderdelen van het systeem elke rol kan beheren en welke gebruikers aan de rollen zijn toegewezen. Wanneer een gebruiker verbinding maakt met het eindpunt, maakt RBAC een tijdelijk lokaal beheerdersaccount om het systeem namens hen te beheren en wordt het account automatisch verwijderd wanneer de gebruiker stopt met het beheren van de server via het Windows Beheer Center. Raadpleeg Just Enough Beheer istration voor meer informatie.
• Windows Beheer Center biedt ook inzicht in de beheeracties die in uw omgeving worden uitgevoerd. Windows Beheer Center registreert gebeurtenissen door acties vast te leggen in het gebeurteniskanaal Microsoft-ServerManagementExperience in het gebeurtenislogboek van de beheerde server. Hiermee kunt u controleren welke acties beheerders uitvoeren en kunt u problemen met Windows Beheer Center oplossen en metrische gegevens over gebruik controleren. Raadpleeg gebeurtenislogboekregistratie gebruiken in Windows Beheer Center voor meer informatie over controleactiviteiten en het bijhouden van gatewaygebruik.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

• Voor on-premises implementaties kost Windows Beheer Center niets dan de kosten van het Windows-besturingssysteem, waarvoor geldige Windows Server- of Windows 10-licenties zijn vereist.
• Voor Azure-implementaties plant u de kosten die zijn gekoppeld aan het implementeren van Windows Beheer Center op een Azure-VM. Sommige van deze kosten omvatten mogelijk de VM, opslag, statische of openbare IP-adressen (indien ingeschakeld) en netwerkonderdelen die nodig zijn voor integratie met on-premises omgevingen. Bovendien moet u mogelijk plannen voor de kosten van het aanschaffen van niet-Microsoft-CA-certificaten.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Beheerbaarheid

• Toegang tot de windows Beheer Center-beheerprogrammaset is afhankelijk van het installatietype. In een lokaal clientscenario opent u bijvoorbeeld het Windows Beheer Center vanuit het menu Start en maakt u er verbinding mee vanuit een clientwebbrowser door toegang te krijgen https://localhost:6516tot . In andere scenario's waarin u de Windows Beheer Center-gateway implementeert op een vensterserver, kunt u verbinding maken met de Windows Beheer Center-gateway vanuit een clientwebbrowser door toegang te krijgen tot de URL van de servernaam, zoals https://servername.contoso.comof de URL van de clusternaam.
• Wanneer windows server wordt geïmplementeerd, biedt Windows Beheer Center een gecentraliseerd beheerpunt voor uw serveromgeving. Windows Beheer Center biedt beheerhulpprogramma's voor veel algemene scenario's en hulpprogramma's, waaronder:
  • Certificaatbeheer
  • Logboeken
  • Bestandsverkenner
  • Netwerkinstellingen
  • Verbinding met extern bureaublad
  • Windows PowerShell
  • Firewallbeheer
  • Registerbewerking
  • Rollen en onderdelen in- en uitschakelen
  • Geïnstalleerde apps en apparaten beheren
  • Geplande taken beheren
  • Lokale gebruikers en groepen configureren
  • Windows-services beheren
  • Opslag beheren
  • Windows Update beheren

Raadpleeg Servers beheren met Windows Beheer Center voor een volledige lijst met serverbeheermogelijkheden.

• Windows Beheer Center biedt ondersteuning voor het beheren van failoverclusters en clusterresources, het beheren van Virtuele Hyper-V-machines en virtuele switches en het beheren van Windows Server Storage Replica. Naast het gebruik van Windows Beheer Center voor het beheren en bewaken van een bestaande Hypergeconvergeerde infrastructuur, kunt u ook Windows Beheer Center gebruiken om een nieuwe Hypergeconvergeerde infrastructuur te implementeren. Met behulp van een werkstroom met meerdere fases begeleidt Windows Beheer Center u bij het installeren van functies, het configureren van netwerken, het maken van een cluster en het implementeren van Opslagruimten Direct- en Software-Defined Networking. Raadpleeg Hypergeconvergeerde infrastructuur beheren met Windows Beheer Center voor meer informatie.

  Notitie

  U kunt Windows Beheer Center gebruiken om Microsoft Hyper-V Server 2016 of Microsoft Hyper-V Server 2019 (het gratis Microsoft-virtualisatieproduct) te beheren.

• Het azure-hulpprogramma voor hybride services in Windows Beheer Center biedt een centrale locatie voor alle geïntegreerde Azure-services. U kunt hybride Azure-services gebruiken om VM's in Azure en on-premises te beveiligen met back-ups in de cloud en herstel na noodgevallen. U kunt ook on-premises capaciteit uitbreiden met opslag en rekenkracht in Azure en u kunt de netwerkconnectiviteit met Azure vereenvoudigen. Met behulp van cloud-intelligente Azure-beheerservices kunt u bewaking, governance, configuratie en beveiliging centraliseren in uw toepassingen, netwerk en infrastructuur.

DevOps

• Windows Beheer Center is gebouwd voor uitbreidbaarheid, zodat Microsoft en andere ontwikkelaars hulpprogramma's en oplossingen kunnen bouwen buiten de huidige aanbiedingen. Windows Beheer Center biedt een uitbreidbaar platform waarin elk verbindingstype en hulpprogramma een extensie is die u afzonderlijk kunt installeren, verwijderen en bijwerken. Microsoft biedt een software development kit (SDK) waarmee ontwikkelaars hun eigen hulpprogramma's kunnen bouwen voor Windows Beheer Center.
• U kunt Windows Beheer Center-extensies bouwen met behulp van moderne webtechnologieën, waaronder HTML5, CSS, Angular, TypeScript en jQuery, om doelservers te beheren via Windows PowerShell of Windows Management Instrumentation. U kunt ook doelservers, services en apparaten beheren via verschillende protocollen, zoals Representational State Transfer (REST) door een Windows Beheer Center-gatewayinvoegtoepassing te bouwen.

  Fooi

  Raadpleeg Extensies voor Windows Beheer Center voor meer informatie over het gebruik van de SDK voor het ontwikkelen van extensies voor Windows Beheer Center.

Inzenders

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Mike Martin | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie over Azure Automation:

• Windows Beheer Center installeren
• Preview: Windows Beheer Center gebruiken in Azure Portal om een Windows Server-VM te beheren
• Windows Beheer Center handmatig implementeren in Azure voor het beheren van meerdere servers
• Verbinding maken hybride machines naar Azure vanuit Windows Beheer Center

Verwante resources

• Verbinding maken zelfstandige servers met behulp van Azure Network Adapter
• Stretched clusters van Azure Stack HCI gebruiken voor herstel na noodgevallen
• Configuraties beheren voor servers met Azure Arc
• Azure Stack HCI switchless interconnect en lichtgewicht quorum gebruiken voor extern kantoor of filiaal