Phase 1: Erforderliche Planung für Azure-Serververwaltungsdienste
In dieser Phase lernen Sie die Suite mit Diensten für die Azure-Serververwaltung kennen und planen die Bereitstellung der für die Implementierung dieser Verwaltungslösungen erforderlichen Ressourcen.
Grundlegendes zu den Tools und Diensten
Lesen Sie Azure-Serververwaltungstools und -dienste für eine detaillierte Übersicht über:
- Die Verwaltungsbereiche, die an fortlaufenden Azure-Vorgängen beteiligt sind.
- Die Azure-Dienste und -Tools, die Sie in diesen Bereichen unterstützen.
Sie werden mehrere dieser Dienste zusammen verwenden, um Ihre Verwaltungsanforderungen zu erfüllen. Auf diese Tools wird in diesem Leitfaden häufig verwiesen.
In den folgenden Abschnitten wird die erforderliche Planung und Vorbereitung der Verwendung dieser Tools und Dienste erläutert.
Planung des Log Analytics-Arbeitsbereichs und Automation-Kontos
Viele der Dienste, die Sie für das Onboarding der Azure-Verwaltungsdienste nutzen werden, erfordern einen Log Analytics-Arbeitsbereich und ein verknüpftes Azure Automation-Konto.
Ein Log Analytics-Arbeitsbereich ist eine spezifische Umgebung für das Speichern von Azure Monitor-Protokolldaten. Jeder Arbeitsbereich verfügt über ein eigenes Datenrepository und eine eigene Konfiguration. Datenquellen und Lösungen sind so konfiguriert, dass sie ihre Daten in bestimmten Arbeitsbereichen speichern. Azure-Überwachungslösungen erfordern, dass alle Server mit einem Arbeitsbereich verbunden sind, damit ihre Protokolldaten gespeichert und abgerufen werden können.
Einige der Verwaltungsdienste erfordern ein Azure Automation-Konto. Mit diesem Konto und den Funktionen von Azure Automation können Sie Azure-Dienste und andere öffentliche Systeme integrieren, um Ihre Serververwaltungsprozesse bereitzustellen, zu konfigurieren und zu verwalten.
Die folgenden Azure-Serververwaltungsdienste erfordern einen verknüpften Log Analytics-Arbeitsbereich und ein Automation-Konto:
- Updateverwaltung
- Änderungsnachverfolgung und Bestand
- Hybrid-Runbook-Worker
- Desired State Configuration
Die zweite Phase dieses Leitfadens konzentriert sich auf die Bereitstellung von Diensten und Automatisierungsskripten. Es zeigt Ihnen, wie Sie einen Log Analytics-Arbeitsbereich und ein Automation-Konto erstellen. In diesem Leitfaden erfahren Sie auch, wie Sie mithilfe von Azure Policy sicherstellen, dass neue virtuelle Computer mit dem richtigen Arbeitsbereich verbunden sind.
Bei den in diesem Leitfaden behandelten Beispiele wird von einer Bereitstellung ausgegangen, bei der noch keine Server in der Cloud bereitgestellt sind. Weitere Informationen zu den Prinzipien und Überlegungen bei der Planung Ihrer Arbeitsbereiche finden Sie unter Verwalten von Protokolldaten und Arbeitsbereichen in Azure Monitor.
Überlegungen zur Planung
Beachten Sie bei der Vorbereitung der Arbeitsbereiche und Konten, die Sie für das Onboarding von Verwaltungsdiensten benötigen, die folgenden Probleme:
- Azure-Geografien und Einhaltung gesetzlicher Bestimmungen: Azure-Regionen sind in Geografien unterteilt. Eine Azure-Geografie sorgt dafür, dass Anforderungen an Datenresidenz, Datenhoheit, Compliance und Ausfallsicherheit innerhalb geografischer Grenzen erfüllt werden. Wenn Ihre Workloads der Datenhoheit oder anderen Compliance-Anforderungen unterliegen, müssen der Arbeitsbereich und die Automation-Konten in Regionen innerhalb derselben Azure-Geografie wie die Workloadressourcen bereitgestellt werden, die sie unterstützen.
- Anzahl von Arbeitsbereichen: Als ein Leitprinzip erstellen Sie die minimale Anzahl von Arbeitsbereichen, die pro Azure-Geografie erforderlich sind. Es wird mindestens ein Arbeitsbereich für jede Azure-Geographie empfohlen, in der sich Ihre Compute- oder Speicherressourcen befinden. Diese erste Ausrichtung trägt dazu bei, künftige regulatorische Probleme bei der Migration von Daten in verschiedene Geografien zu vermeiden.
- Datenaufbewahrung und Obergrenzen: Möglicherweise müssen Sie beim Erstellen von Arbeitsbereichen oder Azure Automation-Konten auch Datenaufbewahrungsrichtlinien oder Anforderungen an die Datenobergrenze berücksichtigen. Weitere Informationen zu diesen Prinzipien und zusätzliche Überlegungen bei der Planung Ihrer Arbeitsbereiche finden Sie unter Verwalten von Protokolldaten und Arbeitsbereichen in Azure Monitor.
- Regionszuordnung: Das Verknüpfen eines Log Analytics-Arbeitsbereich und eines Azure Automation-Kontos wird nur zwischen bestimmten Azure-Regionen unterstützt. Wenn beispielsweise der Log Analytics-Arbeitsbereich in der Region
East USgehostet wird, muss das verknüpfte Automation-Konto in der RegionEast US 2erstellt werden, um mit Verwaltungsdiensten verwendet zu werden. Wenn Sie über ein Automation-Konto verfügen, das in einer anderen Regionen erstellt wurde, kann dafür keine Verknüpfung mit einem Arbeitsbereich inEast USerstellt werden. Die Wahl der Bereitstellungsregion kann die Anforderungen an die Azure-Geografie erheblich beeinflussen. Entscheiden Sie mithilfe der Regionszuordnungstabelle, welche Region Ihre Arbeitsbereiche und Automation-Konten hosten soll. - Multihoming für Arbeitsbereiche: Der Azure Log Analytics-Agent unterstützt Multihoming in einigen Szenarien, für den Agent gelten jedoch mehrere Einschränkungen und Herausforderungen, wenn er in dieser Konfiguration ausgeführt wird. Sofern Microsoft es nicht für Ihr bestimmtes Szenario empfohlen hat, konfigurieren Sie Multihoming nicht für den Log Analytics-Agent.
Beispiele für die Platzierung von Ressourcen
Es gibt mehrere verschiedene Modelle für die Auswahl des Abonnements, in dem Sie den Log Analytics-Arbeitsbereich und das Automation-Konto platzieren. Kurz gesagt: Platzieren Sie den Arbeitsbereichs und die Automation-Konten in einem Abonnement, das dem Team gehört, das für die Implementierung der Lösung „Updateverwaltung“ und des Diensts „Änderungsnachverfolgung und Bestand“ verantwortlich ist.
Im Folgenden finden Sie Beispiele für einige Möglichkeiten zur Bereitstellung von Arbeitsbereichen und Automation-Konten.
Platzierung nach Geografie
Kleine und mittlere Umgebungen verfügen über ein Einzelabonnement und mehrere hundert Ressourcen, die sich über mehrere Azure-Geografien erstrecken. Erstellen Sie für diese Umgebungen in jeder Geografie einen Log Analytics-Arbeitsbereich und ein Azure Automation-Konto.
Sie können in jeder Ressourcengruppe einen Arbeitsbereich und ein Azure Automation-Konto als Paar erstellen. Stellen Sie dann das Paar in der entsprechenden Geografie auf den virtuellen Computern bereit.
Wenn Ihre Richtlinien zur Datenkonformität nicht vorschreiben, dass sich die Ressourcen in bestimmten Regionen befinden, können Sie alternativ ein Paar zur Verwaltung aller virtuellen Computer erstellen. Es wird außerdem empfohlen, die Paare aus Arbeitsbereich und Automation-Konto in getrennten Ressourcengruppen zu platzieren, um eine präzisere rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) zu ermöglichen.
Das Beispiel im folgenden Diagramm enthält ein Abonnement mit zwei Ressourcengruppen, die sich jeweils in einer anderen Geografie befinden:
Platzierung in einem Verwaltungsabonnement
Größere Umgebungen erstrecken sich über mehrere Abonnements und verfügen über ein zentrales IT-Team, das für Überwachung und Compliance zuständig ist. Erstellen Sie für diese Umgebungen Paare von Arbeitsbereichen und Automation-Konten in einem IT-Verwaltungsabonnement. In diesem Modell speichern VM-Ressourcen in einer Geografie ihre Daten im Arbeitsbereich der entsprechenden Geografie im IT-Verwaltungsabonnement. Wenn Anwendungsteams Automatisierungsaufgaben ausführen müssen, aber keine Verknüpfung von Arbeitsbereich und Automation-Konto benötigen, können sie ein separates Automation-Konto in ihren eigenen Anwendungsabonnements erstellen.
Dezentralisierte Platzierung
In einem alternativen Modell für große Umgebungen kann das Anwendungsentwicklungsteam für die Anwendung von Patches und die Verwaltung verantwortlich sein. In diesem Fall platzieren Sie die Arbeitsbereich- und Automation-Konto-Paare in den Abonnements des Anwendungsteams neben den anderen Ressourcen.
Erstellen eines Arbeitsbereichs und Automation-Kontos
Nachdem Sie die beste Methode zum Platzieren und Organisieren von Arbeitsbereich-Konto-Paaren gewählt haben, stellen Sie sicher, dass Sie diese Ressourcen erstellt haben, bevor Sie mit dem Onboardingprozess beginnen. In den Automation-Beispielen weiter unten in diesem Leitfaden wird ein Paar aus einem Arbeitsbereich und einem Automation-Konto für Sie erstellt. Wenn Sie jedoch das Onboarding über das Portal durchführen möchten und nicht über ein vorhandenes Paar aus Arbeitsbereich und Automation-Konto verfügen, müssen Sie eines erstellen.
Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs über das Azure-Portal finden Sie unter Erstellen eines Arbeitsbereichs. Erstellen Sie anschließend ein entsprechendes Automation-Konto für jeden Arbeitsbereich, indem Sie die Schritte in Erstellen eines Azure Automation-Kontos ausführen.
Hinweis
Wenn Sie ein Automation-Konto über das Azure-Portal erstellen, versucht das Portal standardmäßig, „Ausführen als“-Konten sowohl für Ressourcen des Azure Resource Manager-Bereitstellungsmodells als auch des klassischen Bereitstellungsmodells zu erstellen. Wenn Sie keine klassischen virtuellen Computer in Ihrer Umgebung verwenden und nicht der Co-Admin im Abonnement sind, erstellt das Portal ein Konto vom Typ „Ausführen als“ für Resource Manager, generiert bei der Bereitstellung des klassischen „Ausführen als“-Kontos jedoch einen Fehler. Wenn Sie nicht beabsichtigen, klassische Ressourcen zu unterstützen, können Sie diesen Fehler ignorieren.
„Ausführen als“-Konten können auch mithilfe von PowerShell erstellt werden.
Nächste Schritte
Erfahren Sie, wie das Onboarding Ihrer Server zu Azure-Serververwaltungsdiensten durchgeführt wird.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für