Beschreiben der Azure Arc-Integration in Azure Policy und Azure Monitor

  • 5 Minuten

Mit Azure Arc können Organisationen wie Contoso einige Azure-Funktionen auf Computerbetriebssysteme erweitern, die sich in lokalen Rechenzentren befinden oder von einem anderen Cloudanbieter gehostet werden. Beispielsweise können Azure-Richtlinien verwendet werden, um die Einhaltung von Einstellungen für das Betriebssystem, die Anwendungen und die Umgebung zu überwachen. Das IT-Personal von Contoso kann außerdem Azure Policy verwenden, um die Compliance von für Azure Arc aktivieren Kubernetes-Clustern zu verwalten und zu bewerten.

Ebenso könnte Contoso Azure Monitor verwenden, um ihre vorhandenen lokalen Serverressourcen zu überwachen und zu verwalten, die über Azure Arc verbunden sind. Azure Monitor-Container Insights können Contoso helfen, Integritäts- und Ressourcenverwendungsdaten für ihre Kubernetes-Cluster mit Azure Arc-Unterstützung zu erfassen.

Screenshot that depicts the Map tab on the Insights page for a VM in Azure. ContosoVM1 is displayed with details of open TCP ports. A VM summary is also displayed.

Wie können Sie Azure Policy verwenden?

Azure Policy ist ein Dienst, der Organisationen bei der Verwaltung und Bewertung der Compliance für die Organisationsstandards ihrer Azure-Umgebungen unterstützen kann. Azure Policy verwendet deklarative Regeln, basierend auf den Eigenschaften von Azure-Zielressourcentypen. Diese Regeln bilden Richtliniendefinitionen, die Administratoren mittels Richtlinienzuweisung auf eine Ressourcengruppe oder ein Abonnement anwenden können.

Zu den Azure-Richtlinienfunktionen für Arc-fähige Server gehören:

  • Erzwingen der Compliance beim Bereitstellen neuer Azure-Ressourcen
  • Überprüfen der Compliance vorhandener Azure-Ressourcen
  • Überprüfen der Compliance des Betriebssystems, der Anwendungskonfiguration und der Umgebungseinstellungen in Azure-VMs

Um Azure Arc-Richtlinien für einen Computer zu verwalten und zuzuweisen, navigieren Sie im Azure-Portal zu Azure Arc. Wählen Sie in der zurückgegebenen Liste der verwalteten Server den entsprechenden Server aus, und weisen Sie ihm dann eine Richtlinie zu. Sie müssen die folgenden Einstellungen konfigurieren:

  • Geltungsbereich der Richtlinie und alle Ausnahmen von diesem
  • Richtliniendefinition
  • Zuweisungsname
  • BESCHREIBUNG
  • Richtlinienerzwingung (aktiviert oder deaktiviert).

The screenshot depicts the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

Nachdem Sie Richtlinien zugewiesen haben, können Sie die Richtlinieneinstellungen auf dem ausgewählten Server aus Azure Arc überprüfen.

The screenshot depicts the applied policies on ContosoVM1. Two policies are applied, and the VM is compliant with one but not the other.

Wie können Sie Azure Monitor verwenden?

Mithilfe von Monitor können Sie die Verwaltung Ihrer vorhandenen Bereitstellungen optimieren und Kapazitätsanforderungen für zukünftige Bereitstellungen prognostizieren. Monitor bietet fokussierte, umfassende Überwachungsfunktionen durch:

  • Überwachung und Metrikvisualisierung:
  • Abfragen und Analysieren von Protokollen.
  • Warnungen und Wartung.

Sie können Metriken, Aktivitäts- und Diagnoseprotokolle sowie Ereignisse für Arc-fähige Server sammeln und überwachen. Azure Monitor kann Daten direkt von Ihren verbundenen Computern zur detaillierten Analyse und Korrelation in einem Log Analytics-Arbeitsbereich sammeln.

Wenn Sie den Azure Monitor-Agent auf Ihren Arc-fähigen Servern bereitstellen, können Sie die folgenden Aktionen ausführen:

  • Überwachen des Betriebssystems und aller Workloads, die auf dem Computer oder Server ausgeführt werden, mithilfe von VM-Erkenntnissen
  • Analysieren und Benachrichtigen mithilfe von Azure Monitor
  • Durchführen der Sicherheitsüberwachung in Azure mithilfe von Microsoft Defender für Cloud oder Microsoft Sentinel
  • Sammeln von Bestand und Nachverfolgen von Änderungen mithilfe von Azure Automation Change Tracking und Inventory

Für Azure Arc-fähige Kubernetes können Sie Containereinblicke verwenden, ein Feature von Azure Monitor, das die Leistung und Integrität von Containerworkloads überwacht. Containereinblicke helfen beim Sammeln von Speicher- und Prozessormetriken von Controllern, Knoten und Containern sowie beim Sammeln von Containerprotokollen. Sie können die gesammelten Daten für die verschiedenen Komponenten in Ihren Kubernetes-Clustern mit einer Sammlung von Ansichten und vordefinierten Arbeitsmappen analysieren.

Sie können gesammelte Überwachungsdaten in Azure Storage für langfristige Analyse- oder Compliancezwecke archivieren. Sie können diese Daten auch zur weiteren Analyse an Azure Stream Analytics oder an andere Dienste weiterleiten.