Mengelola beban kerja Azure hibrid menggunakan Windows Admin Center

Arsitektur referensi ini menggambarkan cara merancang solusi Windows Admin Center hibrid untuk mengelola beban kerja yang di-host di lokal dan di Microsoft Azure. Arsitektur ini mencakup dua skenario:

• Windows Admin Center yang disebarkan ke mesin virtual (VM) di Azure.
• Windows Admin Center yang disebarkan ke server (fisik atau virtual) di lokal.

Arsitektur

Diagram pertama menggambarkan Windows Admin Center yang disebarkan ke VM di Azure.

Diagram kedua menggambarkan Windows Admin Center yang disebarkan di lokal.

Unduh file Visio dari semua diagram arsitektur dalam artikel ini.

Alur kerja

Arsitektur terdiri dari yang berikut:

• Jaringan perusahaan lokal. Jaringan area lokal privat yang berjalan dalam organisasi.
• Firewall perusahaan lokal. Firewall organisasi dikonfigurasi agar pengguna dapat mengakses gateway Windows Admin Center saat gateway disebarkan di lokal.
• VM Windows. VM Windows diinstal dengan gateway Pusat Admin Windows yang menghosting layanan web yang dapat disambungkan pengguna.
• Aplikasi Microsoft Entra. Aplikasi yang digunakan untuk semua titik integrasi Azure di Pusat Admin Windows, termasuk autentikasi Microsoft Entra ke gateway.
• Simpul terkelola. Simpul yang dikelola Windows Admin Center, yang mungkin termasuk server fisik yang menjalankan Azure Stack, atau Windows Server atau mesin virtual yang menjalankan Windows Server.
• VPN atau ExpressRoute. VPN Situs-ke-Situs (S2S) atau ExpressRoute untuk mengelola simpul di lokal saat Windows Admin Center disebarkan di Azure.
• Adapter jaringan Azure. Adapter untuk VPN Titik-ke-Situs (P2S) ke Azure saat Windows Admin Center disebarkan secara lokal. Windows Admin Center dapat menyebarkan adapter secara otomatis dan juga membuat gateway Azure.
• Sistem Nama Domain (DNS). Data DNS yang dirujuk pengguna untuk terhubung ke gateway Windows Admin Center.

Komponen

• Pusat Admin Windows adalah set alat manajemen berbasis browser yang memberi Anda kontrol penuh atas semua aspek infrastruktur server Anda dan sangat berguna untuk mengelola server di jaringan privat yang tidak terhubung ke Internet. Ini mengakses server melalui gateway Pusat Admin Windows yang diinstal di Windows Server atau pada Windows 10 yang bergabung dengan domain. Gateway dapat diinstal secara lokal atau di Azure VM yang menjalankan Windows.
• Azure ExpressRoute membuat koneksi privat antara pusat data Azure dan infrastruktur lokal atau di lingkungan kolokasi.
• Azure Virtual Network menyediakan infrastruktur jaringan yang aman di cloud.
• Azure Virtual Machines menyediakan komputer virtual Linux dan Windows. Dalam solusi ini, Anda dapat menggunakannya untuk menyediakan VM Windows untuk menjalankan Pusat Admin Windows.

Detail skenario

Kemungkinan kasus penggunaan

Penggunaan umum untuk arsitektur ini meliputi:

• Organisasi yang ingin mengelola instans Windows Server individu, Infrastruktur Hyper Konvergen, atau VM Hyper-V yang berjalan di lokal dan di Microsoft Azure.
• Organisasi yang ingin mengelola instans Windows Server yang di-host oleh penyedia cloud lainnya.

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Jenis penginstalan

Anda memiliki beberapa opsi saat menyebarkan Windows Admin Center, termasuk menginstal di PC Windows 10, server Windows, atau Azure VM. Jenis penyebaran yang Anda pilih bergantung pada kebutuhan bisnis Anda.

Jenis penginstalan lokal meliputi:

• Opsi 1: Klien Lokal. Sebarkan Windows Admin Center di klien Windows 10. Ini sangat ideal untuk penyebaran cepat, pengujian, dan skenario improvisasi atau skala kecil.
• Opsi 2: Gateway Server. Instal di server gateway yang ditunjuk yang menjalankan Windows Server 2016, Windows Server 2019, atau yang lebih baru, dan akses dari browser klien mana pun dengan konektivitas ke server gateway.
• Opsi 3: Server Terkelola. Instal langsung di server terkelola yang menjalankan Windows Server 2016, Windows Server 2019, atau yang lebih baru agar server dapat mengelola dirinya sendiri atau kluster tempat server terkelola menjadi simpul anggota. Opsi ini sangat ideal untuk skenario kantor cabang terdistribusi.
• Opsi 4: Kluster Failover. Sebarkan dalam kluster failover agar layanan gateway sangat tersedia. Opsi ini cocok untuk lingkungan produksi untuk memastikan ketahanan layanan pengelolaan.

Karena Windows Admin Center tidak memiliki dependensi layanan cloud, beberapa organisasi mungkin memilih untuk menyebarkan Windows Admin Center ke sistem lokal untuk mengelola komputer lokal dan kemudian mengaktifkan layanan hibrid dari waktu ke waktu. Namun, banyak organisasi lebih memilih untuk memanfaatkan penawaran layanan di Azure dan platform cloud lainnya yang terintegrasi dengan Windows Admin Center.

Menyebarkan Windows Admin Center di Azure VM memberikan fungsionalitas gateway yang mirip dengan Windows Server 2016 dan Windows Server 2019. Namun, Azure juga mengaktifkan fitur tambahan untuk Azure VM. Lihat Keandalan untuk informasi selengkapnya tentang manfaat menyebarkan Pusat Admin Windows ke Azure VM.

Penyebaran otomatis

Microsoft menyediakan file .msi yang Anda gunakan untuk menyebarkan Windows Admin Center ke VM lokal. File .msi menginstal Windows Admin Center dan otomatis menghasilkan sertifikat yang ditandatangani sendiri atau mengaitkan sertifikat yang ada berdasarkan preferensi Anda.

Saat menerapkan Windows Admin Center di Azure VM, Microsoft menyediakan skrip Deploy-Windows Admin CenterAzVM.ps1 untuk menyebarkan semua sumber daya yang diperlukan secara otomatis. Dalam skenario ini, skrip menyebarkan Azure VM baru dengan Windows Admin Center diinstal dan membuka port 443 di alamat IP publik. Skrip juga dapat menyebarkan Windows Admin Center ke Azure VM yang ada. Saat menjalankan skrip, Anda dapat menggunakan variabel untuk menentukan grup sumber daya, nama jaringan virtual, nama VM, lokasi, dan berbagai opsi lainnya.

Rekomendasi topologi

Meskipun Anda dapat menerapkan Windows Admin Center di VM lama atau baru yang ada di lokal atau yang di-host di Azure, Microsoft merekomendasikan untuk menyebarkan gateway Windows Admin Center di Windows Server 2019 Azure VM. Opsi penerapan otomatis yang dibahas sebelumnya memungkinkan Anda menerapkan Windows Admin Center di Azure VM lebih cepat sekaligus tetap menjaga lingkungan Anda. Anda dapat meminimalisir perubahan konfigurasi yang diperlukan untuk firewall dan jaringan lokal, bukan menyebarkan Windows Admin Center di VM lokal.

Jika disebarkan secara lokal, Anda dapat menggunakan Windows Admin Center untuk membangun koneksi hibrid ke Azure. Koneksi hibrid, yang disebut Adapter jaringan Azure, adalah VPN P2S ke Azure yang memungkinkan Windows Admin Center mengakses fitur cloud hibrid. Proses ini juga otomatis membuat gateway Azure untuk koneksi VPN. Untuk informasi selengkapnya, lihat Tentang perutean VPN Titik-ke-Situs.

Anda juga harus mengonfigurasi gateway Windows Admin Center untuk ketersediaan tinggi. Tindakan ini akan membantu memastikan bahwa pengelolaan sistem dan layanan tetap tersedia selama kegagalan yang tidak terduga. Azure memberikan beberapa penawaran layanan untuk skenario ini terlepas dari apakah gateway Windows Admin Center disebarkan ke lokal atau Azure VM. Lihat Pertimbangan Ketersediaan untuk informasi selengkapnya.

Rekomendasi sertifikat

Gateway Windows Admin Center adalah alat berbasis web yang menggunakan sertifikat Secure Sockets Layer (SSL) untuk mengenkripsi lalu lintas web bagi administrator yang menggunakan gateway. Windows Admin Center memungkinkan Anda menggunakan sertifikat SSL yang dibuat oleh otoritas sertifikasi (CA) pihak ketiga tepercaya dari sertifikat yang ditandatangani sendiri. Anda akan menerima peringatan saat mencoba terhubung dari browser jika Anda memilih opsi terakhir. Oleh karena itu, sebaiknya Anda hanya menggunakan sertifikat yang ditandatangani sendiri untuk lingkungan pengujian.

Rekomendasi administratif

Menyebarkan Windows Admin Center di klien Windows 10 lokal sangat cocok untuk pengujian mulai cepat, dan skenario ad-hoc atau skala kecil. Namun, untuk skenario produksi dengan beberapa administrator, kami sarankan Windows Server. Saat disebarkan di Windows Server, Pusat Admin Windows menyediakan hub manajemen terpusat untuk lingkungan server Anda dengan kemampuan tambahan seperti autentikasi kartu pintar, akses kondisional, dan autentikasi multifaktor. Untuk informasi selengkapnya tentang mengontrol akses ke Windows Admin Center, lihat Opsi Akses Pengguna dengan Windows Admin Center.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Keandalan memastikan bahwa aplikasi Anda dapat memenuhi komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keandalan.

• Anda dapat membantu memastikan ketersediaan tinggi layanan gateway Windows Admin Center dengan menyebarkannya dalam model aktif/pasif di kluster failover. Dalam skenario ini, hanya satu instans layanan gateway Windows Admin Center yang aktif. Jika salah satu simpul dalam kluster gagal, layanan gateway Windows Admin Center gagal dengan lancar melalui simpul lain.

  Perhatian

  Menyebarkan Windows Admin Center di komputer klien Windows 10 tidak akan menyediakan ketersediaan tinggi karena fungsi gateway tidak disertakan dengan penyebaran Windows 10. Sebarkan gateway Windows Admin Center ke Windows Server 2016 atau Windows Server 2019.

• Untuk membantu memastikan ketersediaan tinggi data Windows Admin Center saat terjadi kegagalan simpul, konfigurasikan Volume Bersama Kluster (CSV) tempat Windows Admin Center akan menyimpan data persisten yang akan diakses oleh semua simpul dalam kluster. Anda dapat menyebarkan kluster failover untuk gateway Windows Admin Center dengan menggunakan skrip penyebaran otomatis. Skrip Install-WindowsAdminCenterHA.ps1 secara otomatis menyebarkan kluster failover, mengonfigurasi alamat IP untuk layanan kluster, menginstal gateway Windows Admin Center, mengonfigurasi nomor port untuk layanan gateway, dan mengonfigurasi layanan web dengan sertifikat yang sesuai.

  Tip

  Untuk informasi selengkapnya tentang menggunakan skrip penyebaran otomatis, lihat Menyebarkan Windows Admin Center dengan ketersediaan tinggi.

• Menyebarkan gateway Windows Admin Center ke Azure VM menyediakan opsi ketersediaan tinggi tambahan. Misalnya, dengan menggunakan kumpulan ketersediaan, Anda dapat menyediakan redundansi dan ketersediaan VM dalam pusat data Azure dengan mendistribusikan VM di beberapa simpul perangkat keras. Anda juga dapat menggunakan zona ketersediaan di Azure, yang menyediakan toleransi kegagalan pusat data. Zona ketersediaan adalah lokasi fisik unik yang mencakup pusat data dalam wilayah Azure. Ini membantu memastikan bahwa Azure VM memiliki daya, pendinginan, dan jaringan independen. Untuk informasi selengkapnya tentang ketersediaan tinggi, lihat Opsi ketersediaan untuk mesin virtual di Azure dan Ketersediaan tinggi serta pemulihan bencana untuk aplikasi IaaS.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

• Menyebarkan Windows Admin Center memberi organisasi antarmuka pengelolaan terpusat untuk lingkungan server Anda. Dengan mengontrol akses ke Windows Admin Center, Anda dapat meningkatkan keamanan lanskap pengelolaan Anda.
• Windows Admin Center menyediakan beberapa fitur untuk membantu mengamankan platform pengelolaan Anda. Sebagai permulaan, autentikasi gateway Pusat Admin Windows dapat menggunakan grup lokal, Active Directory Domain Services (AD DS), dan ID Microsoft Entra berbasis cloud. Anda juga dapat menerapkan autentikasi kartu pintar dengan menentukan grup tambahan yang diperlukan untuk grup keamanan berbasis kartu pintar. Dan, dengan memerlukan autentikasi Microsoft Entra untuk gateway, Anda dapat menggunakan fitur keamanan Microsoft Entra lainnya seperti akses bersyarat dan autentikasi multifaktor Microsoft Entra.
• Akses ke gateway Windows Admin Center tidak menyiratkan akses ke server target yang dibuat terlihat oleh gateway. Untuk mengelola server target, pengguna harus terhubung dengan info masuk yang memberikan hak administrator pada server yang ingin mereka kelola. Namun, beberapa pengguna mungkin tidak memerlukan akses administratif untuk melakukan tanggung jawab mereka. Dalam skenario ini, Anda dapat menggunakan kontrol akses berbasis peran (RBAC) di Windows Admin Center untuk memberi pengguna ini akses terbatas ke server, bukan memberi mereka akses administratif penuh.

  Catatan

  Jika Anda menyebarkan Solusi Kata Sandi Administrator Lokal (LAPS) di lingkungan Anda, gunakan info masuk LAPS melalui Windows Admin Center untuk melakukan autentikasi dengan server target.

• Di Windows Admin Center, RBAC bekerja dengan mengonfigurasi setiap server terkelola dengan titik akhir Just Enough Administration di Windows PowerShell. Titik akhir ini menentukan peran, termasuk bagian sistem yang dapat dikelola oleh setiap peran dan pengguna yang diberi peran. Saat pengguna terhubung ke titik akhir, RBAC membuat akun administrator lokal sementara untuk mengelola sistem atas nama mereka dan secara otomatis menghapus akun saat pengguna berhenti mengelola server melalui Windows Admin Center. Untuk informasi selengkapnya, lihat Just Enough Administration.
• Windows Admin Center juga memberikan visibilitas ke dalam tindakan pengelolaan yang dilakukan di lingkungan Anda. Windows Admin Center merekam peristiwa dengan mencatat tindakan ke saluran peristiwa Microsoft-ServerManagementExperience di log peristiwa server terkelola. Tindakan ini memungkinkan Anda mengaudit tindakan yang dilakukan administrator, dan membantu Anda memecahkan masalah Windows Admin Center dan meninjau metrik penggunaan. Untuk informasi selengkapnya tentang audit, lihat Menggunakan pengelogan peristiwa di Windows Admin Center untuk mendapatkan wawasan tentang aktivitas pengelolaan dan melacak penggunaan gateway.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

• Untuk penyebaran lokal, Windows Admin Center tidak memungut biaya apa pun di luar biaya sistem operasi Windows, yang memerlukan lisensi Windows Server atau Windows 10 yang valid.
• Untuk penyebaran Azure, rencanakan biaya yang terkait dengan penyebaran Windows Admin Center ke Azure VM. Beberapa biaya ini mungkin sudah termasuk VM, penyimpanan, alamat IP statik atau publik (jika diaktifkan), dan komponen jaringan apa pun yang diperlukan untuk integrasi dengan lingkungan lokal. Selain itu, Anda mungkin perlu merencanakan biaya pembelian sertifikat CA non-Microsoft.

Keunggulan operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

Keterkelolaan

• Akses ke kumpulan alat pengelolaan Windows Admin Center bergantung pada jenis penginstalan. Misalnya, dalam skenario klien lokal, Anda akan membuka Windows Admin Center dari menu Mulai dan menghubungkannya dari browser web klien dengan mengakses https://localhost:6516. Dalam skenario lain di mana Anda menyebarkan gateway Windows Admin Center ke Window Server, Anda dapat terhubung ke gateway Windows Admin Center dari browser web klien dengan mengakses URL nama server, seperti https://servername.contoso.com, atau URL nama kluster.
• Jika disebarkan di Windows Server, Windows Admin Center menyediakan titik pengelolaan terpusat untuk lingkungan server Anda. Pusat Admin Windows menyediakan alat manajemen untuk banyak skenario dan alat umum, termasuk:
  • Manajemen sertifikat
  • Penampil Aktivitas
  • File Explorer
  • Pengaturan jaringan
  • Koneksi Desktop Jarak Jauh
  • Windows PowerShell
  • Manajemen firewall
  • Pengeditan registri
  • Mengaktifkan dan menonaktifkan peran dan fitur
  • Mengelola aplikasi terinstal dan perangkat
  • Mengelola tugas terjadwal
  • Mengonfigurasi pengguna dan grup lokal
  • Mengelola layanan Windows
  • Mengelola penyimpanan
  • Mengelola Windows Update

Untuk daftar lengkap kemampuan pengelolaan server, lihat Mengelola Server dengan Windows Admin Center.

• Windows Admin Center menyediakan dukungan untuk mengelola kluster failover dan sumber daya kluster, mengelola VM Hyper-V dan sakelar virtual, serta mengelola Windows Server Storage Replica. Selain menggunakan Windows Admin Center untuk mengelola dan memantau Infrastruktur Hyper Konvergen yang sudah ada, Anda juga dapat menggunakan Windows Admin Center untuk menyebarkan Infrastruktur Hyper Konvergen baru. Dengan menggunakan alur kerja multi-tahap, Windows Admin Center memandu Anda menginstal fitur, mengonfigurasi jaringan, membuat kluster, dan menyebarkan Storage Spaces Direct dan Jaringan yang Ditentukan Perangkat Lunak. Untuk informasi selengkapnya, lihat Mengelola Infrastruktur Hyper Konvergen dengan Windows Admin Center.

  Catatan

  Anda dapat menggunakan Windows Admin Center untuk mengelola Microsoft Hyper-V Server 2016 atau Microsoft Hyper-V Server 2019 (produk virtualisasi Microsoft gratis).

• Alat layanan hibrid Azure di Windows Admin Center menyediakan lokasi terpusat untuk semua layanan Azure terintegrasi. Anda dapat menggunakan layanan hibrid Azure untuk melindungi VM di Azure dan lokal dengan pencadangan berbasis cloud dan pemulihan bencana. Anda juga dapat memperluas kapasitas lokal dengan penyimpanan dan komputasi di Azure, dan Anda dapat menyederhanakan konektivitas jaringan ke Azure. Dengan bantuan layanan pengelolaan Azure cerdas cloud, Anda dapat memusatkan pemantauan, tata kelola, konfigurasi, dan keamanan di seluruh aplikasi, jaringan, dan infrastruktur Anda.

DevOps

• Windows Admin Center dibangun untuk ekstensibilitas sehingga Microsoft dan pengembang lain dapat membangun alat dan solusi di luar penawaran saat ini. Windows Admin Center menyediakan platform yang dapat diperluas di mana setiap alat dan jenis koneksi menjadi ekstensi yang dapat diinstal, di-uninstal, dan diperbarui secara individual. Microsoft menawarkan kit pengembangan perangkat lunak (SDK) yang memungkinkan pengembang membangun alat mereka sendiri untuk Windows Admin Center.
• Anda dapat membuat ekstensi Windows Admin Center menggunakan teknologi web modern—termasuk HTML5, CSS, Angular, TypeScript, dan jQuery—untuk mengelola server target melalui Windows PowerShell atau Windows Management Instrumentation. Anda juga dapat mengelola server target, layanan, dan perangkat melalui protokol yang berbeda seperti Representational State Transfer (REST) dengan membuat plugin gateway Windows Admin Center.

  Tip

  Untuk informasi selengkapnya tentang menggunakan SDK untuk mengembangkan ekstensi untuk Windows Admin Center, lihat Ekstensi untuk Windows Admin Center.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Mike Martin | Arsitek Solusi Cloud Senior

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

Selengkapnya tentang Azure Automation:

• Menginstal Windows Admin Center
• Pratinjau: Menggunakan Windows Admin Center di portal Azure untuk mengelola VM Windows Server
• Menyebarkan Windows Admin Center secara manual di Azure untuk mengelola beberapa server
• Koneksi komputer hibrid ke Azure dari Pusat Admin Windows

Sumber daya terkait

• Menyambungkan server mandiri dengan menggunakan Azure Network Adapter
• Menggunakan kluster yang direntangkan Azure Stack HCI untuk pemulihan bencana
• Mengelola konfigurasi untuk server dengan dukungan Azure Arc
• Menggunakan interkoneksi tanpa switchless Azure Stack HCI dan kuorum ringan untuk kantor jarak jauh atau kantor cabang