تحرير

مشاركة عبر

إدارة التكوينات للخوادم التي تدعم Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

توضح هذه البنية المرجعية كيف تُمكنك Azure Arc من إدارة الخوادم والتحكم فيها وتأمينها عبر السيناريوهات المحلية ومتعددة السحابات والحافة، ويستند إلى Azure Arc Jumpstart ArcBox لتنفيذ محترفي تكنولوجيا المعلومات. ArcBox هو حل يوفر بيئة الاختبار المعزولة سهلة النشر لجميع الأشياء Azure Arc. ArcBox لمحترفي تكنولوجيا المعلومات هو إصدار من ArcBox مُخصص للمستخدمين الذين يرغبون في تجربة قدرات خوادم Azure Arc المُمكنة في بيئة الاختبار المعزولة.

البنية

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

قم بتنزيل ملف PowerPoint لهذا التصميم.

المكونات

تتكون البنية من المكونات التالية:

  • تُعد Azure Resource Group عبارة عن حاوية تضم موارد ذات صلة بحل Azure. يمكن أن تتضمن مجموعة الموارد كافة الموارد للحل أو الموارد التي تريد إدارتها كمجموعة فقط.
  • مصنف ArcBox هو مصنف Azure Monitor، والذي يوفر جزءًا واحدًا من الزجاج للمراقبة والإبلاغ عن موارد ArcBox. يعمل المصنف كلوحة مرنة لتحليل البيانات والتصور في مدخل Microsoft Azure، وجمع المعلومات من عـدة مصادر بيانات من عبر ArcBox ودمجها في تجربة تفاعلية متكاملة.
  • Azure Monitor يُمكنك من تعقب الأداء والأحداث للأنظمة التي تعمل في Azure أو في أماكن العمل أو في السحب الأخرى.
  • تكوين ضيف Azure Policy يمكنك من تدقيق أنظمة التشغيل وتكوين الجهاز لكل من الأجهزة التي تعمل في خوادم Azure و Arc الممكنة التي تعمل محليًا أو في السحب الأخرى.
  • Azure Log Analytics هـي أداة في مدخل Microsoft Azure لتحرير وتشغيل استعلامات السجل من البيانات التي تم جمعها بواسطة Azure Monitor Logs وتحليل نتائجها بشكل تفاعلي. يمكنك استخدام استعلامات Log Analytics لاسترداد السجلات التي تطابق معايير معينة وتحديد الاتجاهات وتحليل الأنماط وتقديم رؤى متنوعة لبياناتك.
  • Microsoft Defender for Cloud هـو حل إدارة وضع أمان السحابة (CSPM) وحماية حمل العمل السحابي (CWP). يعثر Microsoft Defender for Cloud على نقاط ضعف عبر تكوين السحابة، ويساعد على تعزيز الوضع الأمني العام للبيئة الخاصة بك، ويمكنه حماية أحمال العمل عبر البيئات متعددة السحابة والهجينة مـن التهديدات المتطورة.
  • Microsoft Azure Sentinel هو حل قابل للتطوير، وسحابة أصلي ومعلومات الأمان وإدارة الأحداث (SIEM) وتنظيم الأمان والتنفيذ التلقائي والاستجابة (SOAR). يوفر Microsoft Azure Sentinel تحليلات أمان ذكية وذكاءً عن التهديدات عبر المؤسسة، مما يوفر حلاً منفردًا لاكتشاف الهجمات وإمكانية رؤية التهديدات والصيد الاستباقي والاستجابة للتهديدات.
  • الخوادم المُمكّنة بواسطة Azure Arc تمكنك من إدارة خوادم Windows وLinux الفعلية والأجهزة الظاهرية المُستضافة خارج Azure أو على شبكة شركتك أو مُوفر سحابة آخر. عندما يكون الخادم متصلا بـ Azure، يصبح خادما يدعم Arc ويتم التعامل معه كمورد في Azure. يحتوي كل خادم مُمكّن على Arc على معرف مورد وهوية نظام مدارة، ويدار كجزء من مجموعة موارد داخل اشتراك. تستفيد الخوادم المُمكّنة بواسطة Arc من بنيات Azure القياسية مثل المخزون والنهج والعلامات وAzure Lighthouse.
  • الظاهرية المتداخلة Hyper-V يتم استخدامها بواسطة Jumpstart ArcBox لمحترفي تكنولوجيا المعلومات لاستضافة الأجهزة الظاهرية Windows Server داخل جهاز Azure الظاهري. يوفر هـذا نفس تجربة استخدام أجهزة خادم Windows الفعلية، ولكن دون متطلبات الأجهزة.
  • شبكة Azure الظاهرية توفر شبكة خاصة تمكن المكونات داخل مجموعة موارد Azure من الاتصال، مثل الأجهزة الظاهرية.

تفاصيل السيناريو

حالات الاستخدام المحتملة

تتضمن الاستخدامات النموذجية لهذه البنية الأساسية هذه الحَالات:

  • تنظيم مجموعات كبيرة من الأجهزة الظاهرية (VMs) والخوادم وإدارتها ومخزونها عـبر بيئات متعددة.
  • فرض معايير المؤسسة وتقييم التوافق على نطاق واسع لجميع مواردك فـي أي مكان باستخدام Azure Policy.
  • توزيع ملحقات الجهاز الظاهري المدعومة بسهولة إلى خوادم Arc الممكنة.
  • تكوين وفرض Azure Policy للأجهزة الظاهرية والخوادم المستضافة عبر بيئات متعددة.

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

تكوين عـامل Azure Arc Connected Machine

يُمكنك توصيل أي جهاز فعلي أو ظاهري آخر يعمل Windows أو Linux بـ Azure Arc. قبل إلحاق الأجهزة، تأكد مـن إكمال متطلبات عامل الجهاز المتصل، والتي تتضمن تسجيل موفري موارد Azure للخوادم التي تدعم Azure Arc. لاستخدام Azure Arc لتوصيل الجهاز بـ Azure، تحتاج إلى تثبيت وكيل Azure Connected Machine على كل جهاز تخطط للاتصال به باستخدام Azure Arc. لمزيد من المعلومات، راجع نظرة عامة على وكيل الخوادم الممكّنة في Azure Arc.

بمجرد التكوين، يرسل عامل Connected Machine رسالة كشف أخطاء الاتصال العادية كل خمس دقائق إلـى Azure. عند عدم تلقي رسالة كشف أخطاء الاتصال، يقوم Azure بتعيين حالة الجهاز دون اتصال، والتي تنعكس في الـمدخل في غضون 15 إلى 30 دقيقة. عند تلقي رسالة كشف أخطاء الاتصال لاحقاً من عامل Connected Machine، ستتغير حالته تلقائياً إلى Connected.

هناك العديد من الخيارات المتاحة في Azure لتوصيل أجهزة Windows و Linux:

  • التثبيت اليدوي: يُمكن تمكين خوادم Azure Arc المُمكّنة لجهاز واحد أو عدد قليل من أجهزة Windows أو Linux في بيئتك باستخدام مجموعة أدوات Windows مسؤول Center أو عن طريق تنفيذ مجموعة من الخطوات يدويًا.
  • التثبيت المستند إلى البرنامج النصي: يُمكنك إجراء تثبيت عامل تلقائي عن طريق تشغيل برنامج نصي للقالب تقوم بتنزيله مـن مدخل Microsoft Azure.
  • الاتصال الأجهزة على نطاق واسع باستخدام كيان الخدمة: للإلحاق على نطاق واسع، استخدم كيان الخدمة والتوزيع عبر الأتمتة الحالية لمؤسستك.
  • التثبيت باستخدام Windows PowerShell DSC

راجع خيارات توزيع عامل Azure Connected Machine للحصول على وثائق شاملة حول خيارات التوزيع المختلفة المتاحة.

استخدام تكوين ضيف Azure Policy

تدعم الخوادم التي تدعم Azure Arc Azure Policy في طبقة إدارة موارد Azure، وأيضًا داخل جهاز الخادم الفردي باستخدام نهج تكوين الضيف. يُمكن لتكوين ضيف نهج Azure تدقيق الإعدادات داخل الجهاز، سواء للأجهزة التي تعمل في خوادم Azure و Arc المُمكّنة. على سبيل المثال، يُمكنك تدقيق الإعدادات مثل:

  • تكوين نظام التشغيل
  • تكوين التطبيق أو حالـة الحضور
  • إعدادات البيئة

هناك العديد من تعريفات Azure Policy المضمنة لـ Azure Arc. توفر هذه النهج إعدادات التدقيق والتكوين لكل من الأجهزة المستندة إلى Windows وLinux.

تمـكين Azure Update Management

إدارة التحديثات. يُمكنك تنفيذ إدارة التحديث للخوادم المُمكّنة بواسطة Arc. تُمكنك إدارة التحديث في Azure Automation من إدارة تحديثات نظام التشغيل وتقييم حالة التحديثات المتوفرة على جميع أجهزة العامل بسرعة. يمكنك أيضًا إدارة عملية تثبيت التحديثات المطلوبة للخوادم.

تغيير التتبع والمخزون. يتيح لك Azure Automation Change Tracking and Inventory للخوادم التي تدعم Arc تحـديد البرامج المثبتة في بيئتك. يمكنك جمع ومراقبة مخزون البرامج والملفات وعناصر Linux وخدمات Windows ومفاتيح تسجيل Windows. يمكن أن يساعدك تتبع تكوينات الأجهزة على تحديد المشكلات التشغيلية عبر بيئتك، وفهم حالة أجهزتك بشكل أفضل.

مراقبة الخوادم التـي تدعم Azure Arc

يمكنك استخدام Azure Monitor لمراقبة الأجهزة الظاهرية ومجموعات مقياس الآلة الافتراضية وأجهزة Azure Arc على نطاق واسع. تقوم Azure Monitor بتحليل أداء وصحة الأجهزة الظاهرية الخاصة بنظامي التشغيل Windows و Linux، وتراقب عملياتها وتبعياتها على الموارد الأخرى والعمليات الخارجية. ويشمل الدعم لمراقبة الأداء وتبعيات التطبيقات للأجهزة الظاهرية المُستضافة محلياً أو في موفر سحابة آخر.

يجب توزيع عوامل Azure Monitor تلقائيا على خوادم Windows وLinux التي تدعم Azure Arc، من خلال Azure Policy. مراجعة وفهم كيفية عمل عامل Log Analytics وجمع البيانات قبل التوزيع.

تصميم وتخطيط توزيع مساحة عمل Log Analytics. سوف تكون الحاوية حيث يتم جمع البيانات وتجميعها وتحليلها لاحقا. تمثل مساحة عمل Log Analytics موقعًا جغرافيًا لبياناتك وعزل البيانات ونطاق تكوينات مثل استبقاء البيانات. استخدم مساحة عمل Azure Monitor Log Analytics واحدة كما هـو موضح في أفضل ممارسات إدارة ومراقبة Cloud Adoption Framework.

تأمين الخوادم التي تدعم Azure Arc

استخدم Azure RBAC للتحكم في الإذن للهويات المُدارة للخوادم التي تدعم Azure Arc وإدارتها وإجراء مراجعات وصول دورية لهذه الهويات. التحكم في أدوار المستخدم المتميزة لتجنب إساءة استخدام الهويات المدارة من قبل النظام للحصول على وصول غير مُصرح به إلى موارد Azure.

ضع في اعتبارك استخدام Azure Key Vault لإدارة الشهادات على خوادم Azure Arc المُمكّنة. يسمح لك ملحق Key vault VM بإدارة دورة حياة الشهادة على أجهزة Windows و Linux.

الاتصال الخوادم التي تدعم Azure Arc إلى Microsoft Defender for Cloud. يساعدك هذا في البدء في جمع التكوينات المتعلقة بالأمان وسجلات الأحداث حتى تتمكن من التوصية بالإجراءات وتحسين وضع أمان Azure العام.

قم بتوصيل الخوادم التي تدعم Azure Arc بـ Microsoft Sentinel. يمكنك هذا من البدء في جمع الأحداث المتعلقة بالأمان والبدء في ربطها بمصادر البيانات الأخرى.

التحقق مـن صحة تخطيط الشبكة

يتصل عامل الجهاز المتصل لينكس Windows الصادرة بشكل آمن إلى Azure Arc عبر منفذ TCP 443. يُمكن لعامل Connected Machine الاتصال بمستوى التحكم Azure باستخدام الطرق التالية:

راجع تخطيط الشبكة والاتصال للخوادم التـي تدعم Azure Arc للحصول على إرشادات شبكة شاملة لتنفيذ الخوادم التـي تدعم Arc.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الموثوقيه

  • في معظم الحالات، يجب أن يكون الموقع الذي تحدده عند إنشاء تثبيت البرنامج النصي هو منطقة Azure الأقرب جغرافياً إلى موقع جهازك. تُخزّن البيانات الباقية داخل جغرافيا Azure التي تحتوي على المنطقة التي تُحددها، والتي قد تؤثر أيضًا على اختيارك للمنطقة إذا كانت لديك متطلبات لموقع البيانات. إذا كان الانقطاع يؤثر على منطقة Azure التي يتصل بها جهازك، فلن يؤثر الانقطاع على الخادم الذي يدعم Arc. ومع ذلك، قـد لا تتوفر عمليات الإدارة باستخدام Azure.
  • إذا كانت لديك مواقع متعددة توفر خدمة زائدة عن الحاجة جغرافيًا، فمن الأفضل توصيل الأجهزة في كل موقع بمنطقة Azure مختلفة من أجل المرونة في حالة حدوث انقطاع إقليمي.
  • إذا توقف عامل الجهاز المتصل بـ Azure عن إرسال رسائل كشف أخطاء الاتصال إلى Azure، أو توقف عن الاتصال، فلن تتمكن من تنفيذ المهام التشغيلية عليه. ومن ثم، مـن الضروري وضع خطة للإعلامات والاستجابات.
  • قم بإعداد تنبيهات صحة الموارد للحصول على إشعار في الوقت الفعلي تقريبًا عندما يكون للموارد تغيير في حالتها الصحية. وحدد نهج المراقبة والتنبيه في Azure Policy الذي يحدد الخوادم غير الصحية التي تدعم Azure Arc.
  • قم بمد حل النسخ الاحتياطي الحالي إلى Azure، أو قم بسهولة بتكوين النسخ المتماثل المتوافق مع التطبيق والنسخ الاحتياطي المتوافق مع التطبيق الذي يتم قياسه استنادًا إلى احتياجات عملك. تجعل واجهة الإدارة المركزية لـ Azure Backup وAzure Site Recovery من السهل تحديد السياسات لحماية ومراقبة وإدارة خوادم Windows و Linux التي تدعم Arc.
  • راجع إرشادات استمرارية الأعمال الإصلاح بعد كارثة لتحديد ما إذا كانت متطلبات مؤسستك مستوفية أم لا.
  • يتم وصف اعتبارات الموثوقية الأخرى للحل الخاص بك في قسم مبادئ تصميم الموثوقية فـي Microsoft Azure Well-Architected Framework.

الأمان

  • يجب إدارة التحكم المناسب في الوصول المستند إلى دور Azure (Azure RBAC) للخوادم المُمكّنة بواسطة Arc. بالنسبة إلى الأجهزة المدمجة، يجب أن تكون عضوًا في دور Azure Connected Machine Onboarding. لقراءة جهاز وتعديله وإعادة إلحاقه وحذفه، يجب أن تكون عضوا في دور مسؤول istrator لمورد الجهاز الاتصال Azure.
  • يمكن لـ Microsoft Defender for Cloud مراقبة الأنظمة الداخلية، وأجهزة Azure الظاهرية، وموارد Azure Monitor، وحتى الأجهزة الظاهرية المُستضافة على موفري السحابة الآخرين. تَمكين Microsoft Defender للخوادم لجميع الاشتراكات التي تحتوي على خوادم مُمكّنة بواسطة Azure Arc لمراقبة أساس الأمان وإدارة وضع الأمان والحماية من التهديدات.
  • يمكن أن يساعد Microsoft Azure Sentinel في تبسيط عملية جمع البيانات عبر مصادر مختلفة، بما في ذلك Azure والحلول المحلية وعبر السحب باستخدام الموصلات المضمنة.
  • يُمكنك استخدام نهج Azure لإدارة نهج الأمان عبر الخوادم الممكنة بواسطة Arc، بما في ذلك تنفيذ نهج الأمان فـي Microsoft Defender for Cloud. يحدد نهج الأمان التكوين المطلوب لأحمال العمل الخاصة بك ويساعد على ضمان امتثالك لمتطلبات الأمـان لشركتك أو الجهات التنظيمية. تستند نهج Defender for Cloud إلى مبادرات النهج التي تم إنشاؤها في Azure Policy.
  • للحد من الملحقات التي يمكن تثبيتها على خادم Arc الممكن، يمكنك تكوين قوائم الملحقات التي ترغب فـي السماح بها وحظرها على الخادم. سوف يقوم مدير الملحق بتقييم جميع طلبات تثبيت الملحقات أو تحديثها أو ترقيتها مقابل قائمة السماح وقائمة الحظر لتحديد ما إذا كان يمكن تثبيت الملحق على الخادم.
  • يسمح لك Azure Private Link بربط خدمات Azure منصة العمل كخدمة بأمان بالشبكة الظاهرية باستخدام نقاط النهاية الخاصة. يمكنك توصيل الخوادم المحلية أو متعددة السحابات ب Azure Arc وإرسال جميع نسبة استخدام الشبكة عبر Azure ExpressRoute أو اتصال VPN من موقع إلى موقع بدلا من استخدام الشبكات العامة. يمكنك استخدام نموذج نطاق الارتباط الخاص للسماح لخوادم أو أجهزة متعددة بالاتصال بموارد Azure Arc الخاصة بهـم باستخدام نقطة نهاية خاصة واحدة.
  • راجع نظرة عامة على أمان الخوادم المُمكّنة في Azure Arc للحصول على نظرة عامة شاملة على ميزات الأمان في الخادم الذي يدعم Azure Arc.
  • يتم وصف اعتبارات الأمان الأخرى للحل الخاص بك في قسم مبادئ تصميم الأمان فـي Microsoft Azure Well-Architected Framework.

تحسين التكلفة

  • يتم توفير وظيفة مستوى التحكم في Azure Arc بدون تكلفة إضافية. يتضمن ذلك دعم تنظيم الموارد من خلال مجموعات وعلامات إدارة Azure والتحكم في الوصول من خلال التحكم في الوصول المستند إلى الدور (RBAC) فـي Azure. تتحمل خدمات Azure المستخدمة بالاقتران مـع خوادم Azure Arc الممكنة تكاليف وفقًا لاستخدامها.
  • راجع إدارة التكلفة للخوادم الممكنة في Azure Arc للحصول علـى إرشادات إضافية لتحسين تكلفة Azure Arc.
  • يتم وصف اعتبارات تحسين التكلفة الأخرى للحل الخاص بك في قسم مبادئ تحسين التكلفة في إطار عمل Microsoft Azure Well-Architected.
  • استخدم حاسبة تسعير Azure لتقدير التكاليف.
  • عند توزيع تطبيق مرجع Jumpstart ArcBox لمحترفي تكنولوجيا المعلومات لهذه البنية، ضع في اعتبارك أن موارد ArcBox تنشئ رسوم استهلاك Azure مـن موارد Azure الأساسية. وتشمل هذه الموارد الحوسبة الأساسية والتخزين والشبكات والـخدمات المساعدة.

التميز التشغيلي

  • أتمتة توزيع بيئة الخوادم الممكنة بواسطة Arc. التنفيذ المرجعيلهذه البنية مؤتمت بالكامل باستخدام مجموعة من قوالب Azure Resource Manager وامتدادات الأجهزة الظاهرية وتكوينات Azure Policy والبرامج النصية PowerShell. يمكنك أيضا إعادة استخدام هذه البيانات الاصطناعية في عمليات التوزيع الخاصة بك. راجع تخصصات التنفيذ التلقائي للخوادم المُمكّنة في Azure Arc للحصول على إرشادات أتمتة إضافية للخوادم الممكنة بواسطة Arc في إطار عمل اعتماد السحابة (CAF).
  • هناك العديد من الخيارات المتوفرة في Azure لأتمتة إلحاق الخوادم المُمكّنة بواسطة Arc. للإلحاق على نطاق واسع، استخدم كيان الخدمة وقم بالتوزيع عبر النظام الأساسي الحالي للأتمتة في مؤسستك.
  • يمكن توزيع ملحقات الجهاز الظاهري إلى الخوادم الممكنة بواسطة Arc لتبسيط إدارة الخوادم المختلطة طوال دورة حياتها. ضع في اعتبارك أتمتة توزيع ملحقات الجهاز الظاهري عبر نهج Azure عند إدارة الخوادم علـى نطاق واسع.
  • قم بتمكين التصحيح وإدارة التحديث فـي الخوادم المفعلة بواسطة Azure Arc لتسهيل إدارة دورة حياة نظام التشغيل.
  • راجع حالات استخدام العمليات الموحدة لـ Azure Arc Jumpstart للتعرف علـى سيناريوهات التميز التشغيلي الإضافية للخوادم التي تدعم Azure Arc.
  • يتم وصف اعتبارات التميز التشغيلي الأخرى للحل الخاص بك في قسم مبادئ تصميم التميز التشغيلي في Microsoft Azure Well-Architected NET Framework.

كفاءة الأداء

  • قبل تكوين أجهزتك باستخدام خوادم Azure Arc الممكنة، يجب عليك مراجعة حدود اشتراك Azure Resource Manager وحدود مجموعة الموارد للتخطيط لعدد الأجهزة التي سوف يتم توصيلها.
  • يُمكن أن يساعدك نهج التوزيع المرحلي كما هو موضح في دليل التوزيع في تحديد متطلبات سعة الموارد لتنفيذك.
  • استخدم Azure Monitor لتجميع البيانات مباشرة من الخوادم الممكّنة لـ Azure Arc في مساحة عمل Log Analytics للتحليل المفصل والارتباط. راجع خيارات التوزيع لوكلاء Azure Monitor.
  • يتم وصف اعتبارات كفاءة الأداء الإضافية للحل الخاص بك في قسم مبادئ كفاءة الأداء في Microsoft Azure Well-Architected NET Framework.

نشر هذا السيناريو

يُمكن العثور على التنفيذ المرجعي لهذه البنية في Jumpstart ArcBox لمحترفي تكنولوجيا المعلومات، المضمن كجزء من مشروع Arc Jumpstart. تم تصميم ArcBox ليكون مكتفي ذاتيًا تمامًا داخل اشتراك Azure واحد ومجموعة موارد. يسهل ArcBox على المستخدم الحصول على تجربة عملية مع جميع تقنيات Azure Arc المتوفرة دون أي شيء أكثر مـن اشتراك Azure المتوفر.

لتوزيع التنفيذ المرجعي، اتبع الخطوات الواردة في GitHub repo عن طريق تحديد زر Jumpstart ArcBox لمُحترفي تكنولوجيا المعلومات أدناه.

Jumpstart ArcBox لمحترفي تكنولوجيا المعلومات

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

استكشاف البنى ذات الصلة: