Управление гибридными рабочими нагрузками Azure с помощью Windows Admin Center

Эта эталонная архитектура иллюстрирует создание гибридного решения Windows Администратор Center для управления рабочими нагрузками, размещенными в локальной среде и в Microsoft Azure. Эта архитектура включает два сценария:

• Центр Администратор Windows, развернутый на виртуальной машине в Azure.
• Центр Windows Администратор развернут на сервере (физическом или виртуальном) локальном сервере.

Архитектура

На первой схеме показан центр windows Администратор, развернутый на виртуальной машине в Azure.

На второй схеме показана среда Windows Администратор Center, развернутая локально.

Скачайте файл Visio всех схем архитектур в этой статье.

Workflow

Архитектура состоит из следующих элементов:

• Локальная корпоративная сеть. Частная локальная сеть, которая выполняется в организации.
• Локальный корпоративный брандмауэр. Брандмауэр организации, настроенный для предоставления пользователям доступа к шлюзу Центра Администратор Windows при развертывании шлюза в локальной среде.
• Виртуальная машина Windows. Виртуальная машина Windows, установленная с шлюзом Центра Windows Администратор, на котором размещаются веб-службы, к которым пользователи могут подключаться.
• Приложение Microsoft Entra. Приложение, используемое для всех точек интеграции Azure в Центре Администратор Windows, включая проверку подлинности Microsoft Entra в шлюзе.
• Управляемые узлы. Узлы, управляемые Центром Администратор Windows, которые могут включать физические серверы под управлением Azure Stack, Windows Server или виртуальные машины под управлением Windows Server.
• VPN или ExpressRoute. VPN-подключение типа "сеть — сеть" или ExpressRoute для управления узлами в локальной среде при развертывании Центра windows Администратор в Azure.
• Сетевой адаптер Azure. Адаптер для VPN типа "точка — сеть" (P2S) в Azure при развертывании Центра Администратор Windows в локальной среде. Центр windows Администратор может автоматически развернуть адаптер, а также создать шлюз Azure.
• Система доменных имен (DNS). Запись DNS, на которую пользователи ссылаются для подключения к шлюзу Центра Администратор Windows.

Компоненты

• Windows Администратор Center — это набор средств управления на основе браузера, который обеспечивает полный контроль над всеми аспектами инфраструктуры сервера и особенно полезен для управления серверами в частных сетях, которые не подключены к Интернету. Он обращается к серверам через шлюз Центра Windows Администратор, установленный на Windows Server или присоединенном к домену Windows 10. Шлюз можно установить локально или на виртуальной машине Azure под управлением Windows.
• Azure ExpressRoute создает частные подключения между центрами обработки данных Azure и инфраструктурой в локальной среде или в среде совместного размещения.
• Azure виртуальная сеть обеспечивает безопасную сетевую инфраструктуру в облаке.
• Azure Виртуальные машины предоставляет виртуальные машины Linux и Windows. В этом решении вы можете использовать ее для предоставления виртуальной машины Windows для запуска Центра Администратор Windows.

Подробности сценария

Потенциальные варианты использования

Типичные способы использования этой архитектуры:

• Организации, которые хотят управлять отдельными экземплярами Windows Server, гиперконвергентной инфраструктурой или виртуальными машинами Hyper-V, работающими локально и в Microsoft Azure.
• Организации, которые хотят управлять экземплярами Windows Server, размещенными другими поставщиками облачных служб.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Типы установки

При развертывании Центра Администратор Windows существует несколько вариантов, включая установку на компьютере с Windows 10, сервере Windows или виртуальной машине Azure. Выбранный тип развертывания зависит от бизнес-требований.

Локальные типы установки:

• Вариант 1. Локальный клиент. Развертывание Центра Администратор Windows на клиенте Windows 10. Это идеально подходит для быстрых развертываний, тестирования и импровизированных или небольших сценариев.
• Вариант 2. Сервер шлюза. Установите на назначенный сервер шлюза под управлением Windows Server 2016, Windows Server 2019 или более поздней версии и получите доступ из любого клиентского браузера с подключением к серверу шлюза.
• Вариант 3. Управляемый сервер. Установите непосредственно на управляемый сервер под управлением Windows Server 2016, Windows Server 2019 или более поздней версии, чтобы разрешить серверу управлять собой или кластером, в котором управляемый сервер является узлом-членом. Это отлично подходит для сценариев распределенного филиала.
• Вариант 4. Отказоустойчивый кластер. Развертывание в отказоустойчивом кластере, которое обеспечит высокий уровень доступности службы шлюза. Это отлично подходит для рабочих сред, чтобы обеспечить устойчивость службы управления.

Так как Центр Администратор Windows не имеет зависимостей облачной службы, некоторые организации могут выбрать развертывание Центра Администратор Windows в локальной системе для управления локальными компьютерами, а затем включить гибридные службы со временем. Однако многие организации предпочитают использовать преимущества предложений служб в Azure и других облачных платформах, интегрированных с Windows Администратор Center.

Развертывание Центра Администратор Windows на виртуальной машине Azure предоставляет функции шлюза, аналогичные Windows Server 2016 и Windows Server 2019. Однако Azure также включает дополнительные функции для виртуальных машин Azure. Дополнительные сведения о преимуществах развертывания Центра Администратор Windows на виртуальных машинах Azure см. в статье "Надежность".

Автоматизированное развертывание

Корпорация Майкрософт предоставляет MSI-файл, используемый для развертывания Центра Администратор Windows на локальной виртуальной машине. MSI-файл устанавливает Центр Администратор Windows и автоматически создает самозаверяющий сертификат или связывает существующий сертификат на основе вашего предпочтения.

При реализации Центра Администратор Windows на виртуальной машине Azure корпорация Майкрософт предоставляет скрипт Deploy-Windows Администратор CenterAzVM.ps1 для автоматического развертывания всех необходимых ресурсов. В этом сценарии скрипт развертывает новую виртуальную машину Azure с установленным Центром Администратор Windows и открывает порт 443 на общедоступном IP-адресе. Скрипт также может развернуть Центр Администратор Windows на существующей виртуальной машине Azure. При запуске скрипта можно использовать переменные для указания группы ресурсов, имени виртуальной сети, имени виртуальной машины, расположения и многих других параметров.

Рекомендации по топологии

Хотя вы можете реализовать Центр Администратор Windows на любой существующей или новой виртуальной машине, локальной или размещенной в Azure, корпорация Майкрософт рекомендует развернуть шлюз Windows Администратор Center на виртуальной машине Windows Server 2019 Azure. Вариант автоматического развертывания, рассмотренный ранее, позволяет реализовать Центр Администратор Windows на виртуальной машине Azure быстрее, сохраняя защиту среды. Вместо развертывания Центра Администратор Windows на локальной виртуальной машине можно свести к минимуму изменения конфигурации, необходимые для локального брандмауэра и сети.

При развертывании в локальной среде можно использовать Центр windows Администратор для создания гибридного подключения к Azure. Гибридное подключение, называемое сетевым адаптером Azure, — это VPN-подключение P2S в Azure, позволяющее Центру Windows Администратор получать доступ к гибридным облачным функциям. Этот процесс также автоматически создает шлюз Azure для VPN-подключения. Дополнительные сведения см. в разделе "О VPN типа "точка — сеть".

Кроме того, необходимо настроить шлюз Центра Windows Администратор для обеспечения высокой доступности. Это поможет гарантировать, что управление системами и службами остается доступным во время непредвиденных сбоев. Azure предоставляет несколько предложений служб для этих сценариев независимо от того, развертывается ли шлюз Центра Администратор Windows на локальной или виртуальной машине Azure. Дополнительные сведения см. в рекомендациях по доступности.

Рекомендации по сертификатам

Шлюз Центра Windows Администратор — это веб-средство, использующее сертификат SSL для шифрования веб-трафика для администраторов, использующих шлюз. Центр Администратор Windows позволяет использовать SSL-сертификат, созданный доверенным сторонним центром сертификации (ЦС), созданным на основе самозаверяющего сертификата. При попытке подключиться из браузера вы получите предупреждение, если вы выберете последний вариант. В результате мы рекомендуем использовать только самозаверяющие сертификаты для тестовых сред.

рекомендации Администратор istrative

Развертывание Центра Администратор Windows на локальном клиенте Windows 10 отлично подходит для быстрых тестов и нерегламентированных или небольших сценариев. Однако для рабочих сценариев с несколькими администраторами рекомендуется Windows Server. При развертывании в Windows Server Windows Администратор Center предоставляет централизованный центр управления для серверной среды с дополнительными возможностями, такими как интеллектуальная проверка подлинности карта, условный доступ и многофакторная проверка подлинности. Дополнительные сведения об управлении доступом к Центру Администратор Windows см. в разделе "Параметры доступа пользователей" с помощью Центра windows Администратор.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете вашим клиентам. Дополнительные сведения см. в разделе "Обзор основы надежности".

• Вы можете обеспечить высокий уровень доступности службы шлюза Windows Администратор Center, развернув ее в активной или пассивной модели в отказоустойчивом кластере. В этом сценарии активен только один экземпляр службы шлюза Центра Windows Администратор. Если один из узлов в кластере завершается сбоем, служба шлюза Центра Windows Администратор легко выполняет отработку отказа на другой узел.

  Внимание

  Развертывание Центра windows Администратор на клиентском компьютере Windows 10 не обеспечивает высокий уровень доступности, так как функции шлюза не включены в развертывание Windows 10. Разверните шлюз Центра Windows Администратор в Windows Server 2016 или Windows Server 2019.

• Чтобы обеспечить высокий уровень доступности данных Центра windows Администратор в случае сбоя узла, настройте общий том кластера (CSV), в котором Центр Windows Администратор будет хранить постоянные данные, которые все узлы в доступе к кластеру. Вы можете развернуть отказоустойчивый кластер для шлюза Центра windows Администратор с помощью скрипта автоматического развертывания. Скрипт Install-Windows Администратор CenterHA.ps1 автоматически развертывает отказоустойчивый кластер, настраивает IP-адреса для службы кластера, устанавливает шлюз Windows Администратор Center, настраивает номер порта для службы шлюза и настраивает веб-службу с соответствующим сертификатом.

  Совет

  Дополнительные сведения об использовании скрипта автоматического развертывания см. в статье "Развертывание Центра Администратор Windows с высоким уровнем доступности".

• Развертывание шлюза Windows Администратор Center на виртуальной машине Azure предоставляет дополнительные возможности высокого уровня доступности. Например, с помощью групп доступности можно обеспечить избыточность виртуальных машин и доступность в центре обработки данных Azure, распределяя виртуальные машины по нескольким аппаратным узлам. Вы также можете использовать зоны доступности в Azure, которые обеспечивают отказоустойчивость центра обработки данных. Зоны доступности — это уникальные физические расположения, охватывающие центры обработки данных в регионе Azure. Это помогает обеспечить независимое питание, охлаждение и сеть виртуальных машин Azure. Дополнительные сведения о высокой доступности см . в параметрах доступности виртуальных машин в Azure и высокой доступности и аварийном восстановлении для приложений IaaS.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

• Развертывание Центра Администратор Windows предоставляет организации централизованный интерфейс управления для серверной среды. Контролируя доступ к Windows Admin Center, вы можете повысить безопасность своего пространства управления.
• Центр windows Администратор предоставляет несколько функций для защиты платформы управления. Для начала проверка подлинности шлюза Windows Администратор Center может использовать локальные группы, службы домен Active Directory (AD DS) и облачный идентификатор Microsoft Entra. Кроме того, можно применить интеллектуальную проверку подлинности карта, указав дополнительную необходимую группу для смарт-групп безопасности на основе карта. И, требуя проверки подлинности Microsoft Entra для шлюза, вы можете использовать другие функции безопасности Microsoft Entra, такие как условный доступ и многофакторная проверка подлинности Microsoft Entra.
• Доступ к шлюзу Центра Windows Администратор не означает доступ к целевым серверам, видимым шлюзом. Чтобы управлять целевым сервером, пользователи должны подключаться с учетными данными, предоставляющими права администратора на серверах, которыми они хотят управлять. Однако некоторым пользователям может не потребоваться административный доступ для выполнения своих обязанностей. В этом сценарии можно использовать управление доступом на основе ролей (RBAC) в Центре Администратор Windows, чтобы предоставить этим пользователям ограниченный доступ к серверам, а не предоставить им полный административный доступ.

  Примечание.

  Если в вашей среде развернуто локальное решение Администратор istrator Password Solution (LAPS), используйте учетные данные LAPS через Центр Администратор Windows для проверки подлинности с помощью целевого сервера.

• В Центре Администратор Windows RBAC работает путем настройки каждого управляемого сервера с помощью конечной точки Windows PowerShell Just Enough Администратор istration. Эта конечная точка определяет роли, включая те части системы, которые каждая роль может управлять и какие пользователи назначаются ролям. Когда пользователь подключается к конечной точке, RBAC создает временную учетную запись локального администратора для управления системой от их имени и автоматически удаляет учетную запись, когда пользователь перестает управлять сервером через Центр windows Администратор. Дополнительные сведения см. в статье Just Enough Администратор istration.
• Центр windows Администратор также обеспечивает видимость действий управления, выполняемых в вашей среде. Windows Администратор Center записывает события путем ведения журнала действий в канал событий Microsoft-ServerManagementExperience в журнале событий управляемого сервера. Это позволяет выполнять аудит действий, выполняемых администраторами, и помогает устранять проблемы с Windows Администратор Center и просматривать метрики использования. Дополнительные сведения об аудите см. в разделе "Использование ведения журнала событий в Центре Администратор Windows" для получения сведений о действиях управления и отслеживании использования шлюза.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

• Для локальных развертываний Windows Администратор Center не стоит ничего, кроме стоимости операционной системы Windows, которая требует допустимых лицензий Windows Server или Windows 10.
• Для развертываний Azure запланируйте затраты, связанные с развертыванием Центра Администратор Windows на виртуальной машине Azure. Некоторые из этих затрат могут включать виртуальные машины, хранилище, статические или общедоступные IP-адреса (при включении), а также все сетевые компоненты, необходимые для интеграции с локальными средами. Кроме того, может потребоваться запланировать затраты на приобретение сертификатов, отличных от Майкрософт.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

Управляемость

• Доступ к набору средств управления Windows Администратор Center зависит от типа установки. Например, в локальном сценарии клиента вы откроете Центр Windows Администратор из меню "Пуск" и подключитесь к нему из клиентского веб-браузера, используя доступhttps://localhost:6516. В других сценариях при развертывании шлюза Центра Администратор Windows на сервере Окон можно подключиться к шлюзу Центра Windows Администратор из клиентского веб-браузера, используя URL-адрес имени сервера, например https://servername.contoso.comURL-адрес имени кластера.
• При развертывании в Windows Server Windows Admin Center предоставляет централизованную точку управления для серверной среды. Windows Администратор Center предоставляет средства управления для многих распространенных сценариев и средств, включая следующие:
  • Управление сертификатами
  • Просмотр событий
  • Проводник
  • Параметры сети
  • Подключение к удаленному рабочему столу
  • Windows PowerShell
  • Управление брандмауэром
  • Редактирование реестра
  • Включение и отключение ролей и функций
  • Управление установленными приложениями и устройствами
  • Управление запланированными задачами
  • Настройка локальных пользователей и групп
  • Управление службами Windows
  • Управление хранилищем
  • Управление Обновл. Windows

Полный список возможностей управления серверами см. в разделе "Управление серверами с помощью Центра Администратор Windows".

• Центр windows Администратор обеспечивает поддержку управления отказоустойчивыми кластерами и ресурсами кластера, управлением виртуальными машинами Hyper-V и виртуальными коммутаторами и управлением репликой Windows Server служба хранилища. Помимо использования Центра Администратор Windows для управления существующей гиперконвергентной инфраструктурой, можно также использовать Центр windows Администратор для развертывания новой гиперконвергентной инфраструктуры. Используя многоэтапный рабочий процесс, Центр Windows Администратор поможет вам установить компоненты, настроить сеть, создать кластер и развернуть Локальные дисковые пространства и программно-определяемую сеть. Дополнительные сведения см. в статье "Управление гиперконвергентной инфраструктурой с помощью Центра Администратор Windows".

  Примечание.

  Центр Администратор Windows можно использовать для управления Microsoft Hyper-V Server 2016 или Microsoft Hyper-V Server 2019 (бесплатный продукт виртуализации Майкрософт).

• Средство гибридных служб Azure в Центре Администратор Windows предоставляет централизованное расположение для всех интегрированных служб Azure. Гибридные службы Azure можно использовать для защиты виртуальных машин в Azure и локальной среде с помощью облачного резервного копирования и аварийного восстановления. Вы также можете расширить локальную емкость с помощью хранилища и вычислений в Azure, а также упростить сетевое подключение к Azure. С помощью облачных служб управления Azure можно централизованно выполнять мониторинг, управление, настройку и безопасность в приложениях, сети и инфраструктуре.

DevOps

• Центр Администратор Windows был создан для расширения, чтобы корпорация Майкрософт и другие разработчики могли создавать средства и решения за пределами текущих предложений. Центр Windows Администратор предоставляет расширяемую платформу, в которой каждый тип подключения и средство — это расширение, которое можно установить, удалить и обновить по отдельности. Корпорация Майкрософт предлагает пакет средств разработки программного обеспечения (SDK), который позволяет разработчикам создавать собственные средства для Центра Администратор Windows.
• Вы можете создавать расширения Windows Администратор Center с помощью современных веб-технологий, включая HTML5, CSS, Angular, TypeScript и jQuery, для управления целевыми серверами с помощью Windows PowerShell или инструментирования управления Windows. Вы также можете управлять целевыми серверами, службами и устройствами по разным протоколам, таким как передача репрезентативного состояния (REST), путем создания подключаемого модуля шлюза Windows Администратор Center.

  Совет

  Дополнительные сведения об использовании пакета SDK для разработки расширений для Центра Администратор Windows см. в разделе "Расширения для Центра Администратор Windows".

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Автор субъекта:

• Майк Мартин | Старший архитектор облачных решений

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о служба автоматизации Azure:

• Установка Windows Admin Center
• Предварительная версия. Использование Центра Администратор Windows в портал Azure для управления виртуальной машиной Windows Server
• Развертывание Windows Администратор Center вручную в Azure для управления несколькими серверами
• Подключение гибридные компьютеры в Azure из Центра Администратор Windows

Связанные ресурсы

• Подключение автономные серверы с помощью сетевого адаптера Azure
• Использование растянутых кластеров Azure Stack HCI для аварийного восстановления
• Управление конфигурациями для серверов с поддержкой Azure Arc
• Использование бессерверного взаимодействия Azure Stack HCI и упрощенного кворума для удаленного офиса или филиала