Was ist Azure Arc für Server?What is Azure Arc for servers

Azure Arc für Server ermöglicht Ihnen die Verwaltung von Computern, die sich außerhalb von Azure befinden.Azure Arc for servers allows you to manage machines which are outside of Azure. Wenn für einen nicht zu Azure gehörenden Computer eine Verbindung mit Azure besteht, wird er zu einem verbundenen Computer und in Azure wie eine Ressource behandelt.When a non-Azure machine is connected to Azure, it becomes a Connected Machine and is treated as a resource in Azure. Jeder verbundene Computer verfügt über eine Ressourcen-ID, wird als Teil einer Ressourcengruppe unter einem Abonnement verwaltet und profitiert von Azure-Standardkonstrukten, z. B. Azure Policy und Tagging.Each Connected Machine has a Resource ID, is managed as part of a Resource Group inside a subscription, and benefits from standard Azure constructs such as Azure Policy and tagging.

Auf jedem Computer muss für die Verbindung mit Azure ein Agent-Paket installiert werden.An agent package needs to be installed on each machine to connect it to Azure. In diesem Dokument wird dieser Prozess ausführlicher beschrieben.The rest of this document explains the process in more detail.

Je nachdem, wie lange das Einchecken des Agents zurückliegt, befinden sich die Computer im Status Verbunden oder Getrennt.Machines will have a status of Connected or Disconnected based on how recently the agent has checked in. Jedes Einchecken wird als Heartbeat bezeichnet.Each check-in is called a heartbeat. Wenn für einen Computer nicht innerhalb der letzten fünf Minuten der Eincheckvorgang durchgeführt wurde, wird er als „Offline“ angezeigt, bis die Konnektivität wiederhergestellt ist.If a machine has not checked-in within the past 5 minutes, it will show as offline until connectivity is restored.

Verbundene Server

ClientsClients

Unterstützte BetriebssystemeSupported Operating Systems

In der öffentlichen Vorschauphase (Public Preview) wird Folgendes unterstützt:In Public Preview, we support:

  • Windows Server 2012 R2 und höherWindows Server 2012 R2 and above
  • Ubuntu 16.04 und 18.04Ubuntu 16.04 and 18.04

Das Public Preview-Release ist für Evaluierungszwecke bestimmt und sollte nicht verwendet werden, um kritische Produktionsressourcen zu verwalten.The Public Preview release is designed for evaluation purposes and should not be used to manage critical production resources.

Einschränkungen von Azure-Abonnements und -DienstenAzure Subscription and Service Limits

Sie sollten sich über die Azure Resource Manager-Einschränkungen informieren und die Anzahl von zu verbindenden Computern planen, indem Sie sich an die Hinweise zum Abonnement und zu den Ressourcengruppen halten.Please make sure you read the Azure Resource Manager limits, and plan for the number of the machines to be connected according to the guideline listed for the subscription, and for the resource groups. Standardmäßig gilt ein Grenzwert von 800 Servern pro Ressourcengruppe.In particular, by default there is a limit of 800 servers per resource group.

NetzwerkkonfigurationNetworking Configuration

Während der Installation und zur Laufzeit ist für den Agent die Konnektivität mit Azure Arc-Dienstendpunkten erforderlich.During installation and runtime, the agent requires connectivity to Azure Arc service endpoints. Falls ausgehende Verbindungen durch Firewalls blockiert werden, müssen Sie sicherstellen, dass die folgenden URLs nicht standardmäßig gesperrt sind.If outbound connectivity is blocked by Firewalls, make sure that the following URLs are not blocked by default. Alle Verbindungen bestehen in ausgehender Richtung vom Agent zu Azure und sind per SSL geschützt.All connections are outbound from the agent to Azure, and are secured with SSL. Der gesamte Datenverkehr kann über einen HTTPS-Proxy geleitet werden.All traffic can be routed via an HTTPS proxy. Wenn Sie die IP-Adressbereiche oder Domänennamen zulassen, für die für Server die Verbindungsherstellung zulässig ist, müssen Sie für Port 443 den Zugriff auf die folgenden Diensttags und DNS-Namen erlauben.If you allow the IP ranges or domain names that the servers are allowed to connect to, you must allow port 443 access to the following Service Tags and DNS Names.

Diensttags:Service Tags:

  • AzureActiveDirectoryAzureActiveDirectory
  • AzureTrafficManagerAzureTrafficManager

Eine Liste der IP-Adressen für die einzelnen Diensttags/Regionen finden Sie in der JSON-Datei unter Azure-IP-Bereiche und -Diensttags – öffentliche Cloud.For a list of IP addresses for each service tag/region, see the JSON file - Azure IP Ranges and Service Tags – Public Cloud. Microsoft veröffentlicht wöchentliche Updates zu den einzelnen Azure-Diensten und den dafür genutzten IP-Adressbereichen.Microsoft publishes weekly updates containing each Azure Service and the IP ranges it uses. Ausführlichere Informationen finden Sie unter Diensttags.See Service tags, for more details.

Diese DNS-Namen werden zusätzlich zu den Informationen zum Diensttag-IP-Adressbereich bereitgestellt, weil die meisten Dienste derzeit nicht über eine Diensttag-Registrierung verfügen und die IP-Adressen somit Änderungen unterliegen.These DNS Names are provided in addition to the Service Tag IP range information because the majority of services do not currently have a Service Tag registration and, as such, the IPs are subject to change. Falls IP-Adressbereiche für Ihre Firewallkonfiguration erforderlich sind, sollte das AzureCloud-Diensttag verwendet werden, um den Zugriff auf alle Azure-Dienste zuzulassen.If IP ranges are required for your firewall configuration, then the AzureCloud Service Tag should be used to allow access to all Azure services. Deaktivieren Sie nicht die Sicherheitsüberwachung oder Überprüfung für diese URLs, aber erlauben Sie den Internetverkehr wie üblich.Do not disable security monitoring or inspection of these URLs, but allow them as you would other internet traffic.

DomänenumgebungDomain Environment Erforderliche Azure-DienstendpunkteRequired Azure service endpoints
management.azure.commanagement.azure.com Azure Resource ManagerAzure Resource Manager
login.windows.netlogin.windows.net Azure Active DirectoryAzure Active Directory
dc.services.visualstudio.comdc.services.visualstudio.com Application InsightsApplication Insights
agentserviceapi.azure-automation.netagentserviceapi.azure-automation.net GastkonfigurationGuest Configuration
*-agentservice-prod-1.azure-automation.net*-agentservice-prod-1.azure-automation.net GastkonfigurationGuest Configuration
*.his.hybridcompute.azure-automation.net*.his.hybridcompute.azure-automation.net HybrididentitätsdienstHybrid Identity Service

Netzwerkanforderungen für die InstallationInstallation Network Requirements

Laden Sie das Paket mit dem Azure Connected Machine-Agent von unseren offiziellen Servern herunter. Hierfür müssen die unten angegebenen Sites von Ihrer Umgebung aus zugänglich sein.Download the Azure Connected Machine Agent package from our official distribution servers the below sites must be accessible from your environment. Sie können angeben, dass das Paket auf eine Dateifreigabe heruntergeladen werden soll, und den Agent von dort aus installieren.You may choose to download the package to a file share and have the agent installed from there. In diesem Fall muss das über das Azure-Portal generierte Onboardingskript ggf. geändert werden.In this case, the onboarding script generated from the Azure portal may need to be modified.

Windows:Windows:

  • aka.ms
  • download.microsoft.com

Linux:Linux:

  • aka.ms
  • packages.microsoft.com

Informationen zum Konfigurieren des Agents für die Verwendung Ihres Proxys finden Sie im Abschnitt Proxyserverkonfiguration.See the section Proxy server configuration, for information on how to configure the agent to use your proxy.

Registrieren der erforderlichen RessourcenanbieterRegister the required Resource Providers

Nachdem die „Featureflag“-Registrierung genehmigt wurde, müssen Sie die erforderlichen Ressourcenanbieter registrieren.Once the 'Feature Flag' registration has been approved, you must register the required Resource Providers.

  • Microsoft.HybridComputeMicrosoft.HybridCompute
  • Microsoft.GuestConfigurationMicrosoft.GuestConfiguration

Sie können die Ressourcenanbieter mit den folgenden Befehlen registrieren:You can register the resource providers with the following commands:

Azure PowerShell:Azure PowerShell:

Login-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration

Azure-Befehlszeilenschnittstelle:Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'

Sie können die Ressourcenanbieter auch über das Portal registrieren, indem Sie die Schritte unter Azure-Portal ausführen.You can also register the Resource Providers using the portal by following the steps under Azure portal.

Unterstützte SzenarienSupported Scenarios

Nach dem Registrieren eines Knotens können Sie damit beginnen, Ihre Knoten mit anderen Azure-Diensten zu verwalten.After you register a node you can start managing your nodes using other Azure services.

In der öffentlichen Vorschauversion (Public Preview) werden die folgenden Szenarien für verbundene Computer unterstützt.In Public Preview, the following scenarios are supported for Connected Machines.

GastkonfigurationGuest Configuration

Nachdem Sie Computer mit Azure verbunden haben, können Sie verbundenen Computern Azure-Richtlinien zuweisen, indem Sie genauso wie bei der Richtlinienzuweisung zu virtuellen Azure-Computern vorgehen.After connect the machine to Azure, you can assign Azure policies to Connected Machines using the same experience as policy assignment to Azure virtual machines.

Weitere Informationen finden Sie unter Informationen zu Guest Configuration von Azure Policy.For more information, see Understand Azure Policy's Guest Configuration.

Die Protokolle des Gastkonfigurations-Agents für einen verbundenen Computer befinden sich an den folgenden Speicherorten:The Guest Configuration Agent logs for a Connected Machine are in the following locations:

  • Windows – %ProgramFiles%\AzureConnectedMachineAgent\logs\dsc.logWindows - %ProgramFiles%\AzureConnectedMachineAgent\logs\dsc.log
  • Linux: /opt/logs/dsc.logLinux: - /opt/logs/dsc.log

Log AnalyticsLog Analytics

Mit dem Microsoft Monitoring Agent (MMA) erfasste Protokolldaten, die im Log Analytics-Arbeitsbereich gespeichert sind, enthalten jetzt spezifische Eigenschaften des Computers, z. B. ResourceId für den Zugriff auf ressourcenbezogene Protokolle.Log data collected by the Microsoft Monitoring Agent (MMA) and stored in Log Analytics workspace will now contain properties specific to the machine such as ResourceId, which can be used for the Resource centric log access.

  • Für Computer, auf denen der MMA-Agent bereits installiert ist, wird die Azure Arc-Funktionalität über aktualisierte Management Packs aktiviert.Machines that already have the MMA agent installed, will have Azure Arc functionality enabled via updated Management Packs.
  • MMA-Agent-Version 10.20.18011 oder höher ist für die Integration von Azure Arc für Server erforderlich.MMA agent version 10.20.18011 or above is required for Azure Arc for servers integration.
  • Beim Abfragen von Protokolldaten in Azure Monitor enthält das zurückgegebene Datenschema die Hybrid-ResourceId im Format /subscriptions/<SubscriptionId/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridCompute/machines/<MachineName>.When querying for log data in Azure Monitor, the returned data schema will contain the Hybrid ResourceId in the form /subscriptions/<SubscriptionId/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridCompute/machines/<MachineName>.

Weitere Informationen finden Sie unter Erste Schritte mit Log Analytics in Azure Monitor.For more information, see Get started with Log Analytics in Azure Monitor.

Nächste SchritteNext Steps

Es gibt zwei Methoden, um Computer mit Azure Arc für Server zu verbinden.There are two methods to connect machines using Azure Arc for servers.

  • Interaktiv: Befolgen Sie die Schnellstartanleitung im Portal, um über das Portal ein Skript zu generieren und auf dem Computer auszuführen.Interactively - Follow the Portal Quickstart to generate a script from the portal and execute it on the machine. Dies ist die beste Option, wenn Sie die Computer einzeln nacheinander verbinden möchten.This is the best option if you are connecting one machine at a time.
  • Bedarfsgesteuert: Befolgen Sie die PowerShell-Schnellstartanleitung, um einen Dienstprinzipal zum nicht interaktiven Verbinden von Computern zu erstellen.At Scale - Follow the PowerShell Quickstart to create a Service Principal to connect machines non-interactively.