Správa hybridních úloh Azure s využitím platformy Windows Admin Center

Tato referenční architektura ukazuje, jak navrhnout hybridní řešení windows Správa Center pro správu úloh hostovaných místně a v Microsoft Azure. Tato architektura zahrnuje dva scénáře:

• Windows Správa Center nasazené na virtuální počítač v Azure.
• Windows Správa Center nasazené na místní server (fyzický nebo virtuální).

Architektura

První diagram znázorňuje Windows Správa Center nasazený na virtuální počítač v Azure.

Druhý diagram znázorňuje místní nasazení služby Windows Správa Center.

Stáhněte si soubor Visia se všemi diagramy architektur v tomto článku.

Workflow

Architektura se skládá z následujících:

• Místní podniková síť. Privátní místní síť, která běží v rámci organizace.
• Místní podniková brána firewall. Brána firewall organizace nakonfigurovaná tak, aby uživatelům umožňovala přístup k bráně Windows Správa Center, když je brána nasazená místně.
• Virtuální počítač s Windows Virtuální počítač s Windows nainstalovaný s bránou Centra windows Správa, která hostuje webové služby, ke kterým se uživatelé můžou připojit.
• Aplikace Microsoft Entra Aplikace používaná pro všechny body integrace Azure ve Windows Správa Center, včetně ověřování Microsoft Entra pro bránu.
• Spravované uzly. Uzly spravované systémem Windows Správa Center, které můžou zahrnovat fyzické servery se službou Azure Stack nebo Windows Server nebo virtuální počítače se systémem Windows Server.
• VPN nebo ExpressRoute. Síť VPN typu Site-to-Site (S2S) nebo ExpressRoute pro správu uzlů místně při nasazení centra Windows Správa Center v Azure
• Síťový adaptér Azure. Adaptér vpn typu Point-to-Site (P2S) do Azure při místním nasazení služby Windows Správa Center. Windows Správa Center může adaptér automaticky nasadit a také vytvořit bránu Azure.
• DNS (Domain Name System). Záznam DNS, který uživatelé odkazují na připojení k bráně windows Správa Center.

Součásti

• Windows Správa Center je sada nástrojů pro správu založená na prohlížeči, která poskytuje úplnou kontrolu nad všemi aspekty infrastruktury serveru a je zvlášť užitečná pro správu serverů v privátních sítích, které nejsou připojené k internetu. Přistupuje k serverům přes bránu Windows Správa Center nainstalovanou na Windows Serveru nebo v systému Windows 10 připojeném k doméně. Bránu je možné nainstalovat místně nebo na virtuální počítač Azure, na kterém běží Windows.
• Azure ExpressRoute vytváří privátní připojení mezi datacentry Azure a infrastrukturou místně nebo v kolokačním prostředí.
• Azure Virtual Network poskytuje zabezpečenou síťovou infrastrukturu v cloudu.
• Azure Virtual Machines poskytuje virtuální počítače s Linuxem a Windows. V tomto řešení ho můžete použít k poskytnutí virtuálního počítače s Windows pro spuštění windows Správa Center.

Podrobnosti scénáře

Potenciální případy použití

Obvyklá využití pro tuto architekturu:

• Organizace, které chtějí spravovat jednotlivé instance Windows Serveru, hyperkonvergovanou infrastrukturu nebo virtuální počítače Hyper-V, které běží místně a v Microsoft Azure.
• Organizace, které chtějí spravovat instance Windows Serveru hostované jinými poskytovateli cloudu.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Typy instalace

Při nasazování Windows Správa Center máte několik možností, včetně instalace na počítač s Windows 10, na Windows server nebo na virtuální počítač Azure. Typ nasazení, který zvolíte, bude záviset na vašich obchodních požadavcích.

Typy místní instalace:

• Možnost 1: Místní klient Nasaďte Windows Správa Center na klienta s Windows 10. To je ideální pro rychlá nasazení, testování a improvizované scénáře nebo scénáře v malém měřítku.
• Možnost 2: Server brány Nainstalujte se na určený server brány s Windows Serverem 2016, Windows Serverem 2019 nebo novějším a přístupem z libovolného klientského prohlížeče s připojením k serveru brány.
• Možnost 3: Spravovaný server. Nainstalujte se přímo na spravovaný server se systémem Windows Server 2016, Windows Server 2019 nebo novějším, aby server mohl spravovat sám sebe nebo cluster, ve kterém je spravovaný server členem uzlu. To je skvělé pro scénáře distribuovaných poboček.
• Možnost 4: Cluster s podporou převzetí služeb při selhání Nasazení v clusteru s podporou převzetí služeb při selhání za účelem zajištění vysoké dostupnosti služby brány To je skvělé pro produkční prostředí, aby se zajistila odolnost služby pro správu.

Vzhledem k tomu, že služba Windows Správa Center nemá žádné závislosti cloudové služby, můžou se některé organizace rozhodnout nasadit centrum Windows Správa Center do místního systému pro správu místních počítačů a potom v průběhu času povolit hybridní služby. Mnoho organizací ale dává přednost využívání nabídek služeb v Azure a dalších cloudových platformách integrovaných s Windows Správa Center.

Nasazení Centra windows Správa na virtuálním počítači Azure poskytuje funkce brány podobné Windows Serveru 2016 a Windows Serveru 2019. Azure ale také umožňuje další funkce pro virtuální počítače Azure. Další informace o výhodách nasazení služby Windows Správa Center do virtuálních počítačů Azure najdete v tématu Spolehlivost.

Automatizované nasazení

Společnost Microsoft poskytuje soubor .msi, který používáte k nasazení služby Windows Správa Center do místního virtuálního počítače. Soubor .msi nainstaluje windows Správa Center a automaticky vygeneruje certifikát podepsaný svým držitelem nebo přidruží existující certifikát podle vašich preferencí.

Při implementaci Windows Správa Center na virtuálním počítači Azure poskytuje Microsoft skript Deploy-Windows Správa CenterAzVM.ps1, který automaticky nasadí všechny požadované prostředky. V tomto scénáři skript nasadí nový virtuální počítač Azure s nainstalovaným centrem Windows Správa Center a otevře port 443 na veřejné IP adrese. Skript může také nasadit Windows Správa Center na existující virtuální počítač Azure. Při spuštění skriptu můžete pomocí proměnných zadat skupinu prostředků, název virtuální sítě, název virtuálního počítače, umístění a řadu dalších možností.

Doporučení pro topologii

I když můžete implementovat Windows Správa Center na jakémkoli existujícím nebo novém virtuálním počítači, který je místně nebo hostovaný v Azure, Microsoft doporučuje nasadit bránu Windows Správa Center na virtuální počítač Azure s Windows Serverem 2019. Možnost automatizovaného nasazení, kterou jsme probírali dříve, umožňuje implementovat Windows Správa Center na virtuálním počítači Azure rychleji a současně chránit vaše prostředí. Místo nasazení služby Windows Správa Center na místní virtuální počítač můžete minimalizovat změny konfigurace potřebné pro místní bránu firewall a síť.

Při nasazení místně můžete k vytvoření hybridního připojení k Azure použít Windows Správa Center. Hybridní připojení označované jako síťový adaptér Azure je síť VPN typu P2S k Azure, která umožňuje službě Windows Správa Center přístup k hybridním cloudovým funkcím. Tento proces také automaticky vytvoří bránu Azure pro připojení VPN. Další informace najdete v tématu Informace o síti VPN typu Point-to-Site.

Pro zajištění vysoké dostupnosti byste také měli nakonfigurovat bránu centra Windows Správa Center. To pomůže zajistit, aby správa systémů a služeb zůstala dostupná během neočekávaných selhání. Azure poskytuje pro tyto scénáře více nabídek služeb bez ohledu na to, jestli je brána Windows Správa Center nasazená na místní nebo virtuální počítač Azure. Další informace najdete v důležitých informacích o dostupnosti.

Doporučení k certifikátům

Brána Windows Správa Center je webový nástroj, který používá certifikát SSL (Secure Sockets Layer) k šifrování webového provozu pro správce, kteří bránu používají. Windows Správa Center umožňuje používat certifikát SSL, který důvěryhodná certifikační autorita (CA) třetí strany vytvořená z certifikátu podepsaného svým držitelem. Pokud zvolíte druhou možnost, zobrazí se při pokusu o připojení z prohlížeče upozornění. V důsledku toho doporučujeme používat pouze certifikáty podepsané svým držitelem pro testovací prostředí.

Správa istrativní doporučení

Nasazení centra Windows Správa Center na místním klientovi Windows 10 je skvělé pro testy rychlých startů a scénáře ad hoc nebo malého škálování. Pro produkční scénáře s více správci ale doporučujeme Windows Server. Při nasazení na Windows Server poskytuje Centrum windows Správa centrum pro správu pro vaše serverové prostředí s dalšími možnostmi, jako je ověřování pomocí čipových karet, podmíněný přístup a vícefaktorové ověřování. Další informace o řízení přístupu ke službě Windows Správa Center najdete v tématu Možnosti přístupu uživatelů pomocí centra Windows Správa Center.

Požadavky

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, aby vaše aplikace splňovala závazky, které jste udělali pro své zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

• Zajištění vysoké dostupnosti služby brány windows Správa Center můžete pomoct tak, že ji nasadíte v aktivním/pasivním modelu v clusteru s podporou převzetí služeb při selhání. V tomto scénáři je aktivní pouze jedna instance služby brány windows Správa Center. Pokud některý z uzlů v clusteru selže, služba brány windows Správa Center bezproblémově převezme služby při selhání na jiný uzel.

  Upozornění

  Nasazení centra Windows Správa Center na klientském počítači s Windows 10 neposkytuje vysokou dostupnost, protože funkce brány nejsou součástí nasazení Windows 10. Nasaďte bránu Windows Správa Center do Windows Serveru 2016 nebo Windows Serveru 2019.

• Pokud chcete zajistit vysokou dostupnost dat centra Windows Správa Center v případě selhání uzlu, nakonfigurujte sdílený svazek clusteru (CSV), do kterého bude Windows Správa Center ukládat trvalá data, která budou všechny uzly v clusteru přistupovat. Cluster s podporou převzetí služeb při selhání pro bránu windows Správa Center můžete nasadit pomocí skriptu automatizovaného nasazení. Skript Install-Windows Správa CenterHA.ps1 automaticky nasadí cluster s podporou převzetí služeb při selhání, nakonfiguruje IP adresy pro službu clusteru, nainstaluje bránu centra Windows Správa Center, nakonfiguruje číslo portu pro službu brány a nakonfiguruje webovou službu s odpovídajícím certifikátem.

  Tip

  Další informace o použití skriptu automatizovaného nasazení najdete v tématu Nasazení služby Windows Správa Center s vysokou dostupností.

• Nasazení brány Windows Správa Center na virtuální počítač Azure poskytuje další možnosti vysoké dostupnosti. Pomocí skupin dostupnosti můžete například zajistit redundanci a dostupnost virtuálních počítačů v rámci datacentra Azure tak, že virtuální počítače distribuujete do více hardwarových uzlů. Můžete také použít zóny dostupnosti v Azure, které poskytují odolnost proti chybám datacentra. Zóny dostupnosti jsou jedinečná fyzická umístění, která zahrnují datacentra v rámci oblasti Azure. To pomáhá zajistit, aby virtuální počítače Azure měly nezávislé napájení, chlazení a sítě. Další informace o vysoké dostupnosti najdete v tématu Možnosti dostupnosti pro virtuální počítače v Azure a Vysokou dostupnost a zotavení po havárii pro aplikace IaaS.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

• Nasazení služby Windows Správa Center poskytuje vaší organizaci centralizované rozhraní pro správu pro vaše serverové prostředí. Díky řízení přístupu ke službě Windows Správa Center můžete zlepšit zabezpečení prostředí správy.
• Windows Správa Center poskytuje několik funkcí, které pomáhají zabezpečit platformu pro správu. Pro začátek může ověřování brány windows Správa Center používat místní skupiny, Doména služby Active Directory Services (AD DS) a cloudové ID Microsoft Entra. Ověřování pomocí čipové karty můžete také vynutit zadáním další požadované skupiny zabezpečení pro skupiny zabezpečení založené na čipových kartách. A když pro bránu vyžadujete ověřování Microsoft Entra, můžete použít další funkce zabezpečení Microsoft Entra, jako je podmíněný přístup a vícefaktorové ověřování Microsoft Entra.
• Přístup k bráně windows Správa Center neznamená přístup k cílovým serverům, které brána zviditelní. Aby uživatelé mohli spravovat cílový server, musí se připojit pomocí přihlašovacích údajů, které udělují oprávnění správce na serverech, které chtějí spravovat. Někteří uživatelé ale nemusí potřebovat přístup správce, aby mohli plnit své povinnosti. V tomto scénáři můžete použít řízení přístupu na základě role (RBAC) ve Windows Správa Center k tomu, abyste těmto uživatelům poskytli omezený přístup k serverům a nedělili jim úplný přístup pro správu.

  Poznámka

  Pokud jste ve svém prostředí nasadili místní Správa istrator Password Solution (LAPS), použijte přihlašovací údaje LAPS prostřednictvím centra Windows Správa Center k ověření s cílovým serverem.

• Ve Windows Správa Center funguje řízení přístupu na základě role konfigurace každého spravovaného serveru pomocí koncového bodu justshellu Just Enough Správa istrace. Tento koncový bod definuje role, včetně toho, které části systému můžou jednotlivé role spravovat a kteří uživatelé jsou přiřazeni k rolím. Když se uživatel připojí ke koncovému bodu, RBAC vytvoří dočasný účet místního správce pro správu systému jeho jménem a automaticky odebere účet, když uživatel přestane spravovat server přes Windows Správa Center. Další informace najdete v tématu Just Enough Správa istrace.
• Windows Správa Center také poskytuje přehled o akcích správy provedených ve vašem prostředí. Centrum windows Správa zaznamenává události protokolováním akcí do kanálu událostí Microsoft-ServerManagementExperience v protokolu událostí spravovaného serveru. To vám umožní auditovat akce, které správci provádějí, a pomůže vám vyřešit problémy se službou Windows Správa Center a kontrolovat metriky využití. Další informace o auditování najdete v tématu Použití protokolování událostí ve Windows Správa Center k získání přehledu o aktivitách správy a sledování využití brány.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

• U místních nasazení stojí Windows Správa Center nic nad rámec nákladů na operační systém Windows, který vyžaduje platné licence Windows Serveru nebo Windows 10.
• V případě nasazení Azure naplánujte náklady spojené s nasazením služby Windows Správa Center na virtuální počítač Azure. Některé z těchto nákladů můžou zahrnovat virtuální počítač, úložiště, statické nebo veřejné IP adresy (pokud je povoleno) a všechny síťové komponenty vyžadované pro integraci s místními prostředími. Kromě toho možná budete muset naplánovat náklady na nákup certifikátů certifikační autority jiné společnosti než Microsoft.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Možnosti správy

• Přístup k sadě nástrojů pro správu centra Windows Správa Center závisí na typu instalace. Například ve scénáři místního klienta byste otevřeli Centrum windows Správa z nabídky Start a připojili se k němu z webového prohlížeče klienta tak, že k němu přistupujete https://localhost:6516. V jiných scénářích, ve kterých nasadíte bránu centra Windows Správa Center na Windows Server, se můžete připojit k bráně windows Správa Center z webového prohlížeče klienta tak, že se dostanete k adrese URL názvu serveru, jako https://servername.contoso.comje adresa URL nebo adresa URL názvu clusteru.
• Při nasazení na Windows Server poskytuje centrum Windows Správa Center centralizovaný bod správy pro vaše serverové prostředí. Windows Správa Center poskytuje nástroje pro správu pro mnoho běžných scénářů a nástrojů, mezi které patří:
  • Správa certifikátů
  • Prohlížeč událostí
  • Průzkumník souborů
  • Nastavení sítě
  • Připojení ke vzdálené ploše
  • Windows PowerShell
  • Správa brány firewall
  • Úpravy registru
  • Povolení a zakázání rolí a funkcí
  • Správa nainstalovaných aplikací a zařízení
  • Správa naplánovaných úkolů
  • Konfigurace místních uživatelů a skupin
  • Správa služeb systému Windows
  • Správa úložiště
  • Správa služba Windows Update

Úplný seznam možností správy serverů najdete v tématu Správa serverů pomocí centra Windows Správa Center.

• Windows Správa Center poskytuje podporu pro správu clusterů a prostředků clusteru s podporou převzetí služeb při selhání, správu virtuálních počítačů a virtuálních přepínačů Hyper-V a správu repliky úložiště Windows Serveru. Kromě použití windows Správa Center ke správě a monitorování stávající hyperkonvergované infrastruktury můžete také použít Windows Správa Center k nasazení nové hyperkonvergované infrastruktury. Pomocí pracovního postupu s více fázemi vás Windows Správa Center provede instalací funkcí, konfigurací sítí, vytvořením clusteru a nasazením Prostory úložiště s přímým přístupem a softwarově definovaných sítí. Další informace najdete v tématu Správa hyperkonvergované infrastruktury pomocí windows Správa Center.

  Poznámka

  Windows Správa Center můžete použít ke správě Microsoft Hyper-V Serveru 2016 nebo Microsoft Hyper-V Serveru 2019 (bezplatný produkt virtualizace Od Microsoftu).

• Nástroj Hybridní služby Azure ve Windows Správa Center poskytuje centralizované umístění pro všechny integrované služby Azure. Hybridní služby Azure můžete použít k ochraně virtuálních počítačů v Azure a v místním prostředí s využitím cloudového zálohování a zotavení po havárii. Můžete také rozšířit místní kapacitu s úložištěm a výpočetními prostředky v Azure a zjednodušit síťové připojení k Azure. Díky cloudovým inteligentním službám pro správu Azure můžete centralizovat monitorování, zásady správného řízení, konfiguraci a zabezpečení napříč vašimi aplikacemi, sítí a infrastrukturou.

DevOps

• Windows Správa Center byl vytvořen pro rozšiřitelnost, aby Microsoft a další vývojáři mohli vytvářet nástroje a řešení nad rámec aktuálních nabídek. Windows Správa Center poskytuje rozšiřitelnou platformu, ve které je každý typ připojení a nástroj rozšíření, které můžete nainstalovat, odinstalovat a aktualizovat jednotlivě. Microsoft nabízí sadu SDK (Software Development Kit), která vývojářům umožňuje vytvářet vlastní nástroje pro Windows Správa Center.
• Rozšíření Centra windows Správa můžete vytvářet pomocí moderních webových technologií, včetně HTML5, CSS, Angular, TypeScriptu a jQuery, a spravovat cílové servery přes Windows PowerShell nebo Windows Management Instrumentation. Cílové servery, služby a zařízení můžete spravovat také prostřednictvím různých protokolů, jako je například Representational State Transfer (REST), a to vytvořením modulu plug-in brány služby Windows Správa Center.

  Tip

  Další informace o použití sady SDK k vývoji rozšíření pro Windows Správa Center najdete v tématu Rozšíření pro Windows Správa Center.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Mike Martin | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o službě Azure Automation:

• Instalace centra windows Správa
• Preview: Použití Centra windows Správa na webu Azure Portal ke správě virtuálního počítače s Windows Serverem
• Ruční nasazení centra Windows Správa Center v Azure pro správu více serverů
• Připojení hybridních počítačů do Azure ze služby Windows Správa Center

Související prostředky

• Připojení samostatných serverů pomocí síťového adaptéru Azure
• Použití roztažených clusterů Azure Stack HCI pro zotavení po havárii
• Správa konfigurací pro servery s podporou Azure Arc
• Použití bezpínacího propojení a odlehčeného kvora Azure Stack HCI pro vzdálenou kancelář nebo pobočku