Was sind Server mit Azure Arc-Unterstützung?

  • Artikel

Server mit Azure Arc-Unterstützung bieten die Möglichkeit, physische Server und virtuelle Computer unter Windows und Linux zu verwalten, die außerhalb von Azure, in Ihrem Unternehmensnetzwerk oder bei einem anderen Cloudanbieter gehostet werden. Im Zusammenhang mit Azure Arc werden diese Computer, die außerhalb von Azure gehostet werden, als Hybridcomputer betrachtet. Hybridcomputer in Azure Arc werden auf die gleiche Weise verwaltet wie native virtuelle Azure-Computer: mithilfe von Azure-Standardkonstrukten wie Azure Policy und durch Anwenden von Tags. (Weitere Informationen zu Hybridumgebungen finden Sie unter Was ist eine Hybrid Cloud?.)

Wenn ein Hybridcomputer mit Azure verbunden wird, wird er zu einem verbundenen Computer und in Azure wie eine Ressource behandelt. Jeder verbundene Computer verfügt über eine Ressourcen-ID, mit der der Computer in eine Ressourcengruppe aufgenommen werden kann.

Für die Verbindung von Hybridcomputern mit Azure installieren Sie den Azure Connected Machine-Agent auf jedem Computer. Dieser Agent ersetzt nicht den Azure Log Analytics-Agent / Azure Monitor-Agent. Der Log Analytics-Agent oder Azure Monitor Agent für Windows und Linux ist in folgenden Fällen erforderlich:

  • Sie möchten das Betriebssystem und die Workloads, die auf dem Computer ausgeführt werden, proaktiv überwachen
  • Sie möchten es mithilfe von Automation-Runbooks oder Lösungen wie der Updateverwaltung verwalten
  • Sie verwenden andere Azure-Dienste wie Microsoft Defender für Cloud.

Sie können den Connected Machine-Agent manuell oder auf mehreren Computern im großen Stil installieren, indem Sie die Bereitstellungsmethode verwenden, die für Ihr Szenario am besten geeignet ist.

Hinweis

Dieser Dienst unterstützt Azure Lighthouse. Dies ermöglicht es Dienstanbietern, sich bei ihrem eigenen Mandanten anzumelden, um von Kunden delegierte Abonnements und Ressourcengruppen zu verwalten.

Hinweis

Weitere Anleitungen zu den verschiedenen Azure Arc-Diensten finden Sie unter Auswählen des richtigen Azure Arc-Diensts für Computer.

Unterstützte Cloudvorgänge

Wenn Sie Ihren Computer mit Azure Arc-fähigen Servern verbinden, können Sie viele Betriebsfunktionen ausführen, genau wie bei nativen virtuellen Azure-Computern. Im Folgenden finden Sie einige der wichtigsten unterstützten Aktionen für verbundene Computer.

  • Steuern:
    • Zuweisen von Azure-Computerkonfigurationen zu Überwachungseinstellungen innerhalb des Computers. Informationen zu den Kosten der Nutzung von Azure-Computerkonfigurationsrichtlinien mit Servern mit Azure-Arc-Unterstützung finden Sie in der Azure Policy-Preisübersicht.
  • Schützen:
    • Schützen Sie Azure-fremde Server mit Microsoft Defender für Endpunkt, das über Microsoft Defender für Cloud enthalten ist, um auch auf diese die Bedrohungserkennung, das Sicherheitsrisikomanagement und die proaktive Überwachung auf potenzielle Sicherheitsbedrohungen anzuwenden. Microsoft Defender für Cloud zeigt die Warnungen und Korrekturvorschläge aus den erkannten Bedrohungen an.
    • Verwenden Sie Microsoft Sentinel, um sicherheitsrelevante Ereignisse zu erfassen und sie mit anderen Datenquellen zu korrelieren.
  • Konfigurieren:
    • Nutzen Sie Azure Automation, um häufig auftretende und zeitaufwändige Verwaltungsaufgaben mithilfe von PowerShell und Python-Runbooks zu erledigen. Bewerten Sie die Konfigurationsänderungen bei installierter Software, Microsoft-Diensten, Windows-Registrierung und -Dateien und Linux-Daemons mithilfe von Änderungsnachverfolgung und Bestand.
    • Verwalten Sie für die Verwaltung von Betriebssystemupdates für Ihre Windows- und Linux-Server die Updateverwaltung. Automatisieren Sie das Onboarding und die Konfiguration einer Reihe von Azure-Diensten, wenn Sie Automanage (Vorschauversion) verwenden.
    • Führen Sie Konfigurations- und Automatisierungsaufgaben nach der Bereitstellung mittels unterstützter VM-Erweiterungen von Servern mit Arc-Unterstützung für Ihren Nicht-Azure-Windows- oder Nicht-Linux-Computer aus.
  • Überwachung:
    • Überwachen Sie die Betriebssystemleistung, und ermitteln Sie Anwendungskomponenten, um Prozesse und Abhängigkeiten mit anderen Ressourcen über Azure Insights zu überwachen.
    • Sammeln Sie andere Protokolldaten, z. B. Leistungsdaten und Ereignisse, vom Betriebssystem oder von Workloads, die auf dem Computer mit dem Log Analytics-Agent ausgeführt werden. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert.

Hinweis

Zum aktuellen Zeitpunkt wird das Aktivieren der Updateverwaltung von Azure Automation direkt von einem Server mit Azure Arc-Unterstützung aus nicht unterstützt. Informationen zu den Anforderungen und zum Aktivieren der Updateverwaltung für Nicht-Azure-VMs finden Sie unter Aktivieren der Updateverwaltung aus Ihrem Automation-Konto.

Erfasste und in einem Log Analytics-Arbeitsbereich gespeicherte Protokolldaten des Hybridcomputers enthalten computerspezifische Eigenschaften wie etwa eine Ressourcen-ID, um den Protokollzugriff mit resource-context (Ressourcenkontext) zuzulassen.

Sehen Sie sich dieses Video an, um mehr über Überwachungs-, Sicherheits- und Updatedienste von Azure in Hybrid- und Multicloudumgebungen zu erfahren.

Unterstützte Regionen

Eine Liste der unterstützten Regionen mit Servern mit Azure Arc-Unterstützung finden Sie auf der Seite Verfügbare Produkte nach Region.

In den meisten Fällen sollte der Standort, den Sie beim Erstellen des Installationsskripts auswählen, die Azure-Region sein, die dem Standort Ihres Computers geografisch am nächsten ist. Ruhende Daten werden innerhalb der geografischen Azure-Region gespeichert, in der sich die von Ihnen angegebene Region befindet, was ggf. auch Auswirkungen auf die Wahl der Region hat, wenn Data Residency-Anforderungen erfüllt werden müssen. Wenn die Azure-Region, mit der Ihr Computer eine Verbindung herstellt, ausfällt, wird der verbundene Computer zwar nicht beeinträchtigt, es kann jedoch sein, dass Verwaltungsvorgänge mit Azure nicht abgeschlossen werden können. Wenn Sie über mehrere Standorte verfügen, die einen geografisch redundanten Dienst unterstützen, empfiehlt es sich im Falle eines regionalen Ausfalls, die Computer an den einzelnen Standorten jeweils mit einer anderen Azure-Region zu verbinden.

Die folgenden Metadateninformationen zum verbundenen Computer werden gesammelt und in der Region gespeichert, in der die Azure Arc-Computerressource konfiguriert ist:

  • Betriebssystemname und -version
  • Computername
  • Vollqualifizierter Domänenname (FQDN) des Computers
  • Version des Connected Machine-Agents

Wenn der Computer beispielsweise mit Azure Arc in der Region „USA, Osten“ registriert ist, werden diese Metadaten in der Region „USA“ gespeichert.

Unterstützte Umgebungen

Server mit Azure Arc-Unterstützung unterstützen die Verwaltung physischer Server und virtueller Computer, die außerhalb von Azure gehostet werden. Spezifische Informationen zu den unterstützten Hybrid Cloud-Umgebungen, die virtuelle Computer hosten, finden Sie unter Voraussetzungen für den Connected Machine-Agent.

Hinweis

Server mit Azure Arc-Unterstützung sind nicht für die Verwaltung in Azure ausgeführter virtueller Computer vorgesehen, und dies wird auch nicht unterstützt.

Agent-Status

Der Status für einen verbundenen Computer kann im Azure-Portal unter Azure Arc > Server angezeigt werden.

Der Connected Machine-Agent sendet alle fünf Minuten eine reguläre Heartbeatnachricht an den Dienst. Wenn der Dienst keine solchen Heartbeatnachrichten mehr von einem Computer empfängt, wird dieser Computer als offline betrachtet, und sein Status wird innerhalb von 15 bis 30 Minuten automatisch in Getrennt geändert. Wenn wieder eine Heartbeatnachricht des Connected Machine-Agents empfangen wird, ändert sich der Status automatisch wieder in Verbunden.

Wenn ein Computer für 45 Tage getrennt bleibt, kann sich sein Status in Abgelaufen ändern. Ein abgelaufener Computer kann keine Verbindung mit Azure mehr herstellen. Stattdessen muss ein*e Serveradministrator*in seine Verbindung mit Azure trennen und erneut herstellen, damit er weiter mit Azure Arc verwaltet werden kann. Das genaue Datum, an dem ein Computer abläuft, wird durch das Ablaufdatum der Anmeldeinformationen der verwalteten Identität bestimmt, die bis zu 90 Tage gültig ist und alle 45 Tage verlängert wird.

Diensteinschränkungen

Es gibt keine Begrenzung für die Anzahl von Arc-fähigen Servern und VM-Erweiterungen, die Sie in einer Ressourcengruppe oder einem Abonnement bereitstellen können. Das Standardressourcenlimit von 800 pro Ressourcengruppe gilt für den Ressourcentyp Azure Arc Private Link-Bereich.

Informationen zu den Grenzwerten für Ressourcentypen finden Sie im Artikel Grenzwerte für Ressourceninstanzen.

Datenresidenz

Server mit Azure Arc-Unterstützung speichern Kundendaten. Standardmäßig bleiben Kundendaten in der Region, in der der Kunde die Dienstinstanz bereitstellt. Bei Regionen mit Anforderungen an die Datenresidenz werden Kundendaten immer in derselben Region aufbewahrt.

Notfallwiederherstellung

Es gibt keine vom Kunden aktivierten Optionen für die Notfallwiederherstellung von Arc-fähigen Servern. Bei einem Ausfall in einer Azure-Region führt das System ein Failover in eine andere Region in derselben Azure-Geografie (sofern vorhanden) aus. Dieses Failoververfahren erfolgt zwar automatisch, dauert jedoch einige Zeit. Der Agent für verbundene Computer wird in diesem Zeitraum getrennt und zeigt den Status Getrennt an, bis das Failover abgeschlossen ist. Das System führt ein Failback in seine ursprüngliche Region aus, sobald der Ausfall behoben wurde.

Ein Ausfall von Azure Arc wirkt sich nicht auf die Kundenworkload selbst aus. nur die Verwaltung der entsprechenden Server über Arc wird beeinträchtigt.

Nächste Schritte