编辑

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Windows Admin Center 管理混合 Azure 工作负载

Microsoft Entra ID
Azure Key Vault
Azure 门户
Azure 虚拟机

此参考体系结构演示如何设计混合 Windows Admin Center 解决方案,以管理托管在本地和 Microsoft Azure 中的工作负载。 此体系结构包括两种方案:

  • Windows Admin Center 部署到 Azure 中的虚拟机 (VM)。
  • Windows Admin Center 部署到本地(物理或虚拟)服务器。

体系结构

第一个示意图演示了部署到 Azure 中的 VM 的 Windows Admin Center。

Deploy Windows Admin Center to a VM in Azure. Use VPN or ExpressRoute to manage on-premises VMs.

第二个示意图演示了部署在本地的 Windows Admin Center。

Deploy Windows Admin Center to a VM on-premises. Use Azure network adapter to integrate with resources in Azure.

下载包含本文中所有体系结构图的 Visio 文件

工作流

该体系结构包括以下部分:

  • 本地公司网络。 组织中运行的专用局域网。
  • 本地公司网络。 当网关部署在本地时,配置为允许用户访问 Windows Admin Center 网关的组织防火墙。
  • Windows VM。 安装有 Windows Admin Center 网关的 Windows VM,用于托管用户可以连接的 Web 服务。
  • Microsoft Entra 应用。 用于 Windows Admin Center 中所有 Azure 集成点的应用程序,包括对网关的 Microsoft Entra 身份验证。
  • 托管节点。 由 Windows Admin Center 管理的节点,可能包括运行 Azure Stack 的物理服务器、Windows Server 或运行 Windows Server 的虚拟机。
  • VPN 或 ExpressRoute。 Windows Admin Center 部署在 Azure 中时,用于管理本地节点的站点到站点 (S2S) VPN 或 ExpressRoute。
  • Azure 网络适配器。 Windows Admin Center 部署在本地时,用于通过点到站点 (P2S) VPN 连接到 Azure 的适配器。 Windows Admin Center 可以自动部署适配器并创建 Azure 网关。
  • 域名系统 (DNS)。 用户为连接到 Windows Admin Center 网关而引用的 DNS 记录。

组件

  • Windows Admin Center 是基于浏览器的管理工具集,可让你完全控制服务器基础结构的各个方面,对于在未连接到 Internet 的专用网络上管理服务器特别有用。 可通过安装在 Windows Server 或加入域的 Windows 10 上的 Windows Admin Center 网关访问服务器。 网关可以安装在本地或运行 Windows 的 Azure VM 上。
  • Azure ExpressRoute 可在 Azure 数据中心与本地或共同租用环境中的基础结构之间建立专用连接。
  • Azure 虚拟网络可在云中提供安全的专用网络。
  • Azure 虚拟机提供 Linux 和 Windows 虚拟机。 在此解决方案中,可以使用它来提供运行 Windows Admin Center 的 Windows VM。

方案详细信息

可能的用例

此体系结构的典型用途包括:

  • 希望管理在本地和 Microsoft Azure 中运行的单个 Windows Server 实例、超融合基础结构或 Hyper-V VM 的组织。
  • 想要管理由其他云服务提供商托管的 Windows Server 实例的组织。

建议

以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。

安装类型

部署 Windows Admin Center 时有多种选择,包括安装在 Windows 10 电脑、Windows 服务器或 Azure VM 上。 所选部署类型将取决于业务要求。

本地安装类型是指:

Installation types when deploying Windows Admin Center on-premises. Deployment options depend on your business requirements.

  • 选项 1:本地客户端。 在 Windows 10 客户端上部署 Windows Admin Center。 这非常适合快速部署、测试以及临时方案或小规模方案。
  • 选项 2:网关服务器。 安装在运行 Windows Server 2016、Windows Server 2019 或更高版本的指定网关服务器上,并从任何连接到网关服务器的客户端浏览器进行访问。
  • 选项 3:托管服务器。 直接安装在运行 Windows Server 2016、Windows Server 2019 或更高版本的托管服务器上,以使服务器能够管理自身或包含托管服务器作为成员节点的群集。 此选项非常适合分布式分支机构方案。
  • 选项 4:故障转移群集。 在故障转移群集中部署以实现网关服务的高可用性。 此选项非常适合生产环境,可确保管理服务复原能力。

由于 Windows Admin Center 没有云服务依赖项,因此某些组织可以选择将 Windows Admin Center 部署到本地系统,以便管理本地计算机,然后随着时间的推移启用混合服务。 但是,许多组织更喜欢利用 Azure 和与 Windows Admin Center 集成的其他云平台中的服务产品。

在 Azure VM 上部署 Windows Admin Center 可提供与 Windows Server 2016 和 Windows Server 2019 类似的网关功能。 但是,Azure 还为 Azure VM 启用了其他功能。 若要详细了解将 Windows Admin Center 部署到 Azure VM 的好处,请参阅可靠性

自动化部署

Microsoft 提供了一个 .msi 文件,用于将 Windows Admin Center 部署到本地 VM。 .msi 文件安装 Windows Admin Center,并根据你的偏好自动生成自签名证书或关联现有证书。

提示

有关使用 .msi 文件部署 Windows Admin Center 的详细信息,请参阅安装 Windows Admin Center

在 Azure VM 上实现 Windows Admin Center 时,Microsoft 提供 Deploy-Windows Admin CenterAzVM.ps1 脚本来自动部署所有必需的资源。 在此方案中,该脚本部署安装了 Windows Admin Center 的新 Azure VM,并在公共 IP 地址上打开端口 443。 该脚本还可以将 Windows Admin Center 部署到现有 Azure VM。 运行脚本时,可以使用变量来指定资源组、虚拟网络名称、VM 名称、位置和许多其他选项。

重要

在部署之前,请将证书上传到 Azure Key Vault。 或者,可以使用 Azure 门户生成证书。

提示

有关使用 Deploy-Windows Admin CenterAzVM.ps1 脚本将 Windows Admin Center 部署到 Azure VM 的详细信息,请参阅在 Azure 中部署 Windows Admin Center

提示

有关将 Windows Admin Center 部署到 Azure VM 所需的手动步骤的详细信息,请参阅在现有 Azure 虚拟机上手动部署

拓扑建议

虽然可以在本地或托管在 Azure 中的任何现有或新 VM 上实现 Windows Admin Center,但 Microsoft 建议在 Windows Server 2019 Azure VM 上部署 Windows Admin Center 网关。 通过前面讨论的自动化部署选项,可以在 Azure VM 上更快地实现 Windows Admin Center,同时仍然保护环境。 可以最大程度地减少本地防火墙和网络所需的配置更改,而无需在本地 VM 上部署 Windows Admin Center。

重要

在本地管理节点需要从 Azure 到本地的连接(例如 S2S VPN 或 ExpressRoute)。

在本地部署时,可以使用 Windows Admin Center 生成与 Azure 的混合连接。 混合连接(称为 Azure 网络适配器)是到 Azure 的 P2S VPN,可让 Windows Admin Center 访问混合云功能。 此过程还会自动为 VPN 连接创建 Azure 网关。 有关详细信息,请参阅关于点到站点 VPN

重要

在创建 Azure 网络适配器之前,必须在 Azure 中拥有 Azure 虚拟网络。

还应配置 Windows Admin Center 网关以实现高可用性。 这有助于确保系统和服务的管理在意外故障期间保持可用。 无论 Windows Admin Center 网关是部署在本地还是 Azure VM 中,Azure 都为这些方案提供了多个服务产品。 有关详细信息,请参阅“可用性注意事项”。

证书建议

Windows Admin Center 网关是基于 Web 的工具,它使用安全套接字层 (SSL) 证书为使用网关的管理员加密 Web 流量。 通过 Windows Admin Center,可使用受信任的第三方证书颁发机构 (CA) 从自签名证书创建的 SSL 证书。 如果选择后一个选项,则尝试从浏览器进行连接时会收到警告。 因此,建议仅对测试环境使用自签名证书。

提示

若要了解其他 Microsoft 客户如何使用 Windows Admin Center 来提高工作效率并降低成本,请参阅 Windows Admin Center 案例研究

管理建议

在本地 Windows 10 客户端上部署 Windows Admin Center 非常适合快速启动测试和临时/小规模方案。 但是,对于具有多个管理员的生产方案,我们建议使用 Windows Server。 在 Windows Server 上部署时,Windows Admin Center 为服务器环境提供集中式管理中心,并提供智能卡身份验证、条件访问和多重身份验证等其他功能。 有关控制对 Windows Admin Center 的访问的详细信息,请参阅 Windows Admin Center 的用户访问选项

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

可靠性

可靠性可确保应用程序符合你对客户的承诺。 有关详细信息,请参阅可靠性支柱概述

  • 可以在故障转移群集上使用主动/被动模型部署 Windows Admin Center 网关服务,以帮助确保其高可用性。 在此方案中,只有一个 Windows Admin Center 网关服务实例处于活动状态。 如果群集中的某个节点发生故障,Windows Admin Center 网关服务会无缝故障转移到另一个节点。

    注意

    在 Windows 10 客户端计算机上部署 Windows Admin Center 不会提供高可用性,因为 Windows 10 部署中不包含网关功能。 将 Windows Admin Center 网关部署到 Windows Server 2016 或 Windows Server 2019。

  • 为了帮助确保发生节点故障时 Windows Admin Center 数据的高可用性,请配置群集共享卷 (CSV),Windows Admin Center 将在该卷中存储群集中所有节点访问的持久性数据。 可以使用自动化部署脚本为 Windows Admin Center 网关部署故障转移群集。 Install-WindowsAdminCenterHA.ps1 脚本会自动部署故障转移群集、为群集服务配置 IP 地址、安装 Windows Admin Center 网关、配置网关服务的端口号,并使用相应的证书配置 Web 服务。

    提示

    有关使用自动化部署脚本的详细信息,请参阅部署高可用性 Windows Admin Center

  • 将 Windows Admin Center 网关部署到 Azure VM 可提供额外的高可用性选项。 例如,通过使用可用性集,可以通过将 VM 分布到多个硬件节点,在 Azure 数据中心内提供 VM 冗余和可用性。 还可以在 Azure 中使用可用性区域,这些区域提供数据中心容错。 可用性区域是跨 Azure 区域内数据中心的独特物理位置。 这有助于确保 Azure VM 具有独立的电源、冷却和网络。 有关高可用性的详细信息,请参阅 Azure 中虚拟机的可用性选项IaaS 应用的高可用性和灾难恢复

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述

  • 通过部署 Windows Admin Center,可为组织提供服务器环境的集中式管理界面。 通过控制对 Windows Admin Center 的访问权限,可以提高管理环境的安全性。
  • Windows Admin Center 提供了多个功能来帮助保护管理平台。 对于初学者,Windows Admin Center 网关身份验证可以使用本地组、Active Directory 域服务 (AD DS) 和基于云的 Microsoft Entra ID。 还可以通过为基于智能卡的安全组指定额外的必需组来强制实施智能卡身份验证。 而且,通过要求对网关进行 Microsoft Entra 身份验证,可以使用其他 Microsoft Entra 安全功能,例如条件访问和 Microsoft Entra 多重身份验证。
  • 访问 Windows Admin Center 网关并不意味着访问通过网关可见的目标服务器。 要管理目标服务器,用户必须使用向其授予要管理的服务器的管理员权限的凭据进行连接。 但是,某些用户可能不需要管理权限来履行其职责。 在此方案中,可以在 Windows Admin Center 中使用基于角色的访问控制 (RBAC),为这些用户提供对服务器的有限访问权限,而不是授予其完全管理访问权限。

    注意

    如果在环境中部署了本地管理员密码解决方案 (LAPS),请通过 Windows Admin Center 使用 LAPS 凭据向目标服务器进行身份验证。

  • 在 Windows Admin Center 中,RBAC 的工作方式是通过使用 Windows PowerShell Just Enough Administration 终结点来配置每个托管服务器。 此终结点定义了角色,包括每个角色可以管理系统的哪些部分以及将哪些用户分配给这些角色。 当用户连接到终结点时,RBAC 会创建一个临时本地管理员帐户来代表他们管理系统,并在用户停止管理服务器时通过 Windows Admin Center 自动删除该帐户。 有关详细信息,请参阅 Just Enough Administration
  • Windows Admin Center 还提供对环境中执行的管理操作的可见性。 Windows Admin Center 通过将操作记录到托管服务器的事件日志中的 Microsoft-ServerManagementExperience 事件通道来记录事件。 这样,可以审核管理员执行的操作,帮助排查 Windows Admin Center 问题并查看使用指标。 有关审核的详细信息,请参阅使用 Windows Admin Center 中的事件日志记录来深入了解管理活动并跟踪网关使用情况

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述

  • 对于本地部署,Windows Admin Center 的成本不会超过 Windows 操作系统的成本,后者需要有效的 Windows Server 或 Windows 10 许可证。
  • 对于 Azure 部署,请计划与将 Windows Admin Center 部署到 Azure VM 相关的成本。 其中一些成本可能包括 VM、存储、静态或公共 IP 地址(如果已启用)以及与本地环境集成所需的任何网络组件。 此外,可能需要计划购买非 Microsoft CA 证书的成本。

卓越运营

卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述

可管理性

  • 对 Windows Admin Center 管理工具集的访问取决于安装类型。 例如,在本地客户端方案中,将从“开始”菜单打开 Windows Admin Center,并通过访问 https://localhost:6516 从客户端 Web 浏览器与其连接。 在将 Windows Admin Center 网关部署到 Window Server 的其他方案中,可以通过访问服务器名称 URL(例如 https://servername.contoso.com)或群集名称 URL,从客户端 Web 浏览器连接到 Windows Admin Center 网关。
  • 在 Windows Server 上部署时,Windows Admin Center 为服务器环境提供了集中管理点。 Windows Admin Center 为许多常见方案和工具提供管理工具,包括:
    • 证书管理
    • 事件查看器
    • 文件资源浏览器
    • 网络设置
    • 远程桌面连接
    • Windows PowerShell
    • 防火墙管理
    • 注册表编辑
    • 启用和禁用角色和功能
    • 管理已安装的应用和设备
    • 管理计划任务
    • 配置本地用户和组
    • 管理 Windows 服务
    • 管理存储
    • 管理 Windows 更新

有关服务器管理功能的完整列表,请参阅使用 Windows Admin Center 管理服务器

重要

Windows Admin Center 不会取代所有远程服务器管理工具 (RSAT)(例如 Internet Information Services (IIS)),因为 Windows Admin Center 中没有等效的管理功能。

注意

Windows Admin Center 提供了用于管理 Windows 10 客户端电脑的部分服务器管理器功能。

  • Windows Admin Center 支持管理故障转移群集和群集资源、Hyper-V VM 和虚拟交换机,以及 Windows Server 存储副本。 Windows Admin Center 除了可用于管理和监视现有超融合基础结构之外,还可用于部署新的超融合基础结构。 Windows Admin Center 通过使用多阶段工作流,指导你完成安装功能、配置网络、创建群集以及部署存储空间直通和软件定义的网络。 有关详细信息,请参阅使用 Windows Admin Center 管理超融合基础结构

    注意

    可以使用 Windows Admin Center 来管理 Microsoft Hyper-V Server 2016 或 Microsoft Hyper-V Server 2019(免费的 Microsoft 虚拟化产品)。

  • Windows Admin Center 中的 Azure 混合服务工具为所有集成 Azure 服务提供一个集中位置。 可以使用 Azure 混合服务,通过基于云的备份和灾难恢复来保护 Azure 中和本地的 VM。 还可利用 Azure 中的存储和计算功能扩展本地容量,并简化到 Azure 的网络连接。 借助云智能 Azure 管理服务,可以跨应用程序、网络和基础结构集中进行监视、治理、配置和保护。

Windows Admin Center provides a centralized location of all the integrated Azure services. You can use the Azure hybrid services tool to manage the hybrid features of VMs in Azure and on-premises.

提示

有关 Azure 集成的详细信息,请参阅将 Windows Server 连接到 Azure 混合服务

重要

Microsoft Entra 应用要求在 Windows Admin Center 中集成 Azure。

DevOps

  • Windows Admin Center 专为实现扩展性而构建,因此 Microsoft 和其他开发人员可以构建当前产品/服务之外的工具和解决方案。 Windows Admin Center 提供可扩展的平台,其中的每个连接类型和工具都是可以单独安装、卸载和更新的扩展。 Microsoft 提供允许开发人员构建自己的 Windows Admin Center 工具的软件开发工具包 (SDK)。
  • 可以使用新式 Web 技术(包括 HTML5、CSS、Angular、TypeScript 和 jQuery)生成 Windows Admin Center 扩展,以便通过 Windows PowerShell 或 Windows Management Instrumentation 管理目标服务器。 还可以通过构建 Windows Admin Center 网关插件,使用不同协议(如表述性状态转移 (REST))来管理目标服务器、服务和设备。

    提示

    有关使用 SDK 开发 Windows Admin Center 扩展的详细信息,请参阅 Windows Admin Center 扩展

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

首席作者:

若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤

Azure 自动化的详细信息: