Gérer les configurations pour les serveurs Azure Arc

Cette architecture de référence illustre la façon dont Azure Arc vous permet de gérer, de régir et de sécuriser des serveurs sur des scénarios locaux, multiclouds et edge, et est basé sur l’implémentation d’Azure Arc Jumpstart ArcBox pour les professionnels de l’informatique. ArcBox est une solution qui fournit un bac à sable facile à déployer pour tout ce qui concerne Azure Arc. ArcBox pour les professionnels de l’informatique est une version d'ArcBox destinée aux utilisateurs qui souhaitent expérimenter les capacités des serveurs Azure Arc dans un environnement de bac à sable.

Architecture

Téléchargez un fichier PowerPoint de cette architecture.

Composants

L’architecture est constituée des composants suivants :

• Un groupe de ressources Azure est un conteneur réunissant les ressources associées d’une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe.
• Le classeur ArcBox est un classeur Azure Monitor, qui fournit un seul volet pour la supervision et la création de rapports sur les ressources ArcBox. Le classeur agit comme un canevas flexible pour l’analyse et la visualisation des données dans le portail Azure, la collecte d’informations à partir de plusieurs sources de données à partir d’ArcBox et leur combinaison en une expérience interactive intégrée.
• Azure Monitor vous permet d’effectuer le suivi des performances et des événements pour les systèmes qui s’exécutent dans Azure, localement ou dans d’autres clouds.
• Azure Policy guest configuration peut auditer les systèmes d’exploitation et la configuration des machines, tant pour les machines qui s’exécutent dans Azure que pour les serveurs Azure Arc exécutés localement ou dans d’autres clouds.
• Azure Log Analytics est un outil du Portail Azure permettant de modifier et d’exécuter des requêtes de journal à partir de données collectées par Azure Monitor Logs et d’analyser les résultats de manière interactive. Vous pouvez utiliser des requêtes Log Analytics pour récupérer des enregistrements correspondant à des critères particuliers, identifier des tendances, analyser des modèles et fournir divers insights sur vos données.
• Microsoft Defender pour le Cloud est une solution de gestion de la posture de sécurité du cloud (CSPM) et de protection des charges de travail du cloud (CWP). Microsoft Defender pour le cloud trouve des points faibles dans votre configuration cloud, contribue à renforcer la posture de sécurité globale de votre environnement et peut protéger les charges de travail dans les environnements multiclouds et hybrides contre l’évolution des menaces.
• Microsoft Sentinel est une solution native Cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Microsoft Sentinel assure une analyse de sécurité intelligente et fournit des renseignements sur les menaces dans l’ensemble de l’entreprise. Elle constitue une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces.
• Les serveurs Azure ARC vous permettent de connecter Azure à vos machines Windows et Linux hébergées en dehors d’Azure sur votre réseau d’entreprise. Lorsqu’un serveur est connecté à Azure, il devient un serveur Azure Arc et est traité comme une ressource dans Azure. Chaque serveur Azure Arc possède un ID de ressource et une identité de système managée et est géré dans le cadre d’un groupe de ressources au sein d’un abonnement. Les serveurs Azure Arc bénéficient des constructions Azure standard, telles que l’inventaire, la stratégie, les balises et Azure Lighthouse.
• La virtualisation imbriquée Hyper-V est utilisée par Jumpstart ArcBox pour les professionnels de l’informatique pour héberger les machines virtuelles Windows Server à l’intérieur d’une machine virtuelle Azure. Cela offre la même expérience que l’utilisation des machines physiques Windows Server, mais sans la configuration matérielle requise.
• Le Réseau virtuel Azure fournit un réseau privé qui permet aux composants du groupe de ressources Azure de communiquer, tels que les machines virtuelles.

Détails du scénario

Cas d’usage potentiels

Utilisations courantes de cette architecture :

• Organiser, gouverner et inventorier de grands groupes de machines virtuelles et de serveurs dans plusieurs environnements.
• Appliquer les normes de l’entreprise et évaluer la conformité à grande échelle pour toutes vos ressources partout dans le monde grâce à Azure Policy.
• Déployer facilement des extensions de machines virtuelles et des serveurs compatibles avec Arc pris en charge.
• Configurer et appliquer Azure Policy pour les machines virtuelles et les serveurs hébergés dans plusieurs environnements.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Configurer l’agent Azure Arc Connected Machine

Vous pouvez connecter n’importe quelle autre machine physique ou virtuelle exécutant Windows ou Linux à Azure Arc. Avant d’intégrer des machines, veillez à remplir les prérequis de l’agent d’ordinateur connecté, notamment l’inscription des fournisseurs de ressources Azure pour les serveurs avec Azure Arc. Pour utiliser Azure Arc pour connecter la machine à Azure, vous devez installer l’agent Azure Connected Machine sur chaque machine que vous envisagez de connecter à l’aide d’Azure Arc. Pour plus d’informations, consultez Vue d’ensemble de l’agent serveurs avec Azure Arc.

Une fois configuré, l’agent Connected Machine envoie un message de pulsation standard toutes les cinq minutes à Azure. Lorsque la pulsation n’est pas reçue, Azure attribue à l’ordinateur l’état Hors connexion, qui est reflété dans le portail dans les 15 à 30 minutes. À la prochaine réception d’un message de pulsation de l’agent Connected Machine, son état devient automatiquement Connecté.

Plusieurs options sont disponibles dans Azure pour connecter vos machines Windows et Linux :

• Installation manuelle : Azure Arc pour serveurs peut être activé pour une ou plusieurs machines Windows ou Linux dans votre environnement à l’aide du jeu d’outils de Windows Admin Center ou en effectuant un ensemble d’étapes manuellement.
• Installation avec script : Vous pouvez effectuer une installation automatisée de l’agent en exécutant un modèle de script que vous téléchargez sur le portail Azure.
• Connecter les machines à l'échelle à l'aide d'un principal de service : Pour embarquer à l'échelle, utilisez un principal de service et déployez via l'automatisation existante de votre organisation.
• Installation à l’aide de Windows PowerShell DSC

Consultez les options de déploiement de l’agent Azure Connected Machine pour obtenir une documentation complète sur les différentes options de déploiement disponibles.

Activer la configuration d’invité d’Azure Policy

Les serveurs avec Azure Arc prennent en charge Azure Policy au niveau de la couche de gestion des ressources Azure, ainsi qu’au sein du serveur individuel à l’aide de stratégies de configuration Invité. Azure Policy Guest Configuration peut vérifier les paramètres à l’intérieur d’une machine, tant pour les machines s’exécutant dans Azure que pour les serveurs Azure Arc. Par exemple, vous pouvez auditer des paramètres tels que :

• Configuration du système d’exploitation
• La configuration ou la présence de l’application
• Paramètres d'environnement

Il existe plusieurs définitions intégrées Azure Policy pour Azure Arc. Ces stratégies fournissent des paramètres d’audit et de configuration pour les ordinateurs Windows et Linux.

Activer Azure Update Management

Gestion des mises à jour. Vous pouvez effectuer la gestion des mises à jour pour les serveurs Azure Arc. La gestion des mises à jour dans Azure Automation vous permet de gérer les mises à jour du système d’exploitation et d’évaluer rapidement l’état des mises à jour disponibles sur tous les ordinateurs des agents. Vous pouvez également gérer le processus d’installation des mises à jour requises pour les serveurs.

Suivi des modifications et inventaire. Les solutions Change Tracking et Inventory d’Azure Automation sur les serveurs Azure Arc vous permet de déterminer quels logiciels sont installés dans votre environnement. Vous pouvez collecter et observer l’inventaire des logiciels, fichiers, démons Linux, services Windows et clés de Registre Windows présents. Le suivi des configurations de vos machines peut vous aider à identifier les problèmes opérationnels au sein de votre environnement et à mieux comprendre l’état de vos machines.

Surveiller les serveurs avec Azure Arc

Vous pouvez utiliser Azure Monitor pour surveiller vos machines virtuelles, groupes de machines virtuelles identiques et machines Azure Arc à grande échelle. Azure Monitor analyse les performances et l’intégrité des machines virtuelles Windows et Linux et supervise leurs processus et dépendances vis-à-vis d’autres ressources et processus externes. Il prend en charge la supervision des performances et des dépendances d’applications des machines virtuelles qui sont hébergées localement ou auprès d’un autre fournisseur de cloud.

Les agents Azure Monitor doivent être déployés automatiquement sur des serveurs Windows et Linux avec Azure Arc, via Azure Policy. Examinez et comprenez comment l’agent Log Analytics fonctionne et collecte des données avant le déploiement.

Concevez et planifiez votre déploiement d’espace de travail Log Analytics. Il s’agit du conteneur dans lequel les données sont collectées, agrégées et analysées ultérieurement. Un espace de travail Log Analytics représente un emplacement géographique de vos données, de l’isolation des données et de l’étendue pour les configurations, comme la rétention des données. Utilisez un seul espace de travail Azure Monitor Log Analytics comme décrit dans les bonnes pratiques de gestion et de surveillance de Cloud Adoption Framework.

Sécuriser les serveurs activés pour Azure Arc

Utilisez Azure RBAC pour contrôler et gérer l’autorisation pour les identités managées des serveurs avec Azure Arc et effectuer des révisions d’accès périodiques pour ces identités. Contrôlez les rôles d’utilisateur privilégiés afin d’éviter que les identités managées par le système ne soient mal utilisées pour obtenir un accès non autorisé aux ressources Azure.

Envisagez d’utiliser Azure Key Vault pour gérer les certificats sur vos serveurs avec Azure Arc. L’extension de machine virtuelle Key Vault vous permet de gérer le cycle de vie des certificats sur les machines Windows et Linux.

Connecter les serveurs compatibles avec Azure Arc à Microsoft Defender pour Cloud.Cela vous permet de commencer à collecter des configurations liées à la sécurité et des journaux d’événements afin de pouvoir recommander des actions et améliorer l’ensemble de votre posture de sécurité Azure.

Connecter des serveurs activés pour Azure Arc à Microsoft Sentinel. Cela vous permet de commencer à collecter des événements liés à la sécurité et à les mettre en corrélation avec d’autres sources de données.

Valider la topologie de réseau

L’agent Connected Machine pour Linux et Windows communique de manière sécurisée vers Azure Arc sur le port TCP 443. L’agent Connected Machine peut se connecter au plan de contrôle Azure à l’aide des méthodes suivantes :

• Connexion directe aux points d'extrémité publics Azure, éventuellement derrière un pare-feu ou un serveur proxy.
• Azure Private Link utilise un modèle d’étendue de liaison privée pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc en utilisant un seul point de terminaison privé.

Consultez la topologie réseau et la connectivité pour les serveurs avec Azure Arc pour obtenir des conseils de mise en réseau complets pour l’implémentation de vos serveurs avec Arc.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

• Dans la plupart des cas, l’emplacement que vous sélectionnez au moment de créer le script d’installation doit être la région Azure géographiquement la plus proche de l’emplacement de votre ordinateur. Le reste des données sera stocké dans la zone géographique Azure englobant la région que vous spécifiez, ce qui peut aussi influencer votre choix de région si vous avez des contraintes en matière de résidence des données. Si une panne affecte la région Azure à laquelle votre machine est connectée, la panne n'affectera pas le serveur compatible avec Arc. Toutefois, les opérations de gestion utilisant Azure peuvent ne pas être disponibles.
• Si vous avez plusieurs emplacements qui assurent un service géographiquement redondant, il est préférable de connecter les ordinateurs de chaque emplacement à une autre région Azure pour bénéficier d’une résilience en cas de panne régionale.
• Si Azure Connected Machine Agent cesse d’envoyer des pulsations à Azure ou est mis hors connexion, vous ne pourrez pas effectuer de tâches opérationnelles dessus. Par conséquent, il est nécessaire de développer un plan pour les notifications et les réponses.
• Configurez des alertes d’intégrité des ressources pour recevoir une notification en quasi temps réel lorsque les ressources ont un changement dans leur état d’intégrité. Définissez une stratégie de surveillance et d’alerte dans Azure Policy qui identifie les serveurs avec Azure Arc non sains.
• Étendez votre solution de sauvegarde actuelle à Azure, ou configurez facilement notre réplication compatible avec les applications et la sauvegarde cohérente des applications qui évolue en fonction des besoins de votre entreprise. L'interface de gestion centralisée pour Azure Backup et Azure Site Recovery permet de définir facilement des politiques pour protéger, surveiller et gérer de manière native vos serveurs Windows et Linux compatibles avec Arc.
• Examinez les directives relatives à la continuité des activités et à la reprise après sinistre pour déterminer si les exigences de votre entreprise sont satisfaites.
• D’autres considérations relatives à la fiabilité de votre solution sont décrites dans la section principes de conception de fiabilité de l’infrastructure Microsoft Azure Well-Architected.

Sécurité

• L’accès RBAC Azure approprié doit être géré pour les serveurs Azure Arc. Pour intégrer des ordinateurs, vous devez être membre du rôle Intégration Azure Connected Machine. Pour lire, modifier, réintégrer et supprimer un ordinateur, vous devez être membre du rôle Administrateur des ressources Azure Connected Machine.
• Microsoft Defender pour le cloud peut surveiller les systèmes locaux, les machines virtuelles Azure, les ressources Azure Monitor, et même les machines virtuelles hébergées par d’autres fournisseurs de cloud. Activez Microsoft Defender pour les serveurs pour tous les abonnements contenant des serveurs avec Azure Arc pour la surveillance de base de la sécurité, la gestion de la posture de sécurité et la protection contre les menaces.
• Microsoft Sentinel simplifie la collecte de données à partir de différentes sources (Azure, solutions locales, clouds, etc.) à l’aide de connecteurs intégrés.
• Vous pouvez utiliser Azure Policy pour gérer les stratégies de sécurité sur vos serveurs compatibles avec Azure Arc, notamment l’implémentation de stratégies de sécurité dans Microsoft Defender pour le cloud. Une stratégie de sécurité définit la configuration souhaitée de vos charges de travail, et vous permet de vous assurer que vous êtes en conformité avec les exigences de sécurité de votre organisation ou des régulateurs. Les stratégies de Microsoft Defender pour le cloud sont basées sur des initiatives de stratégie créées dans Azure Policy.
• Pour limiter les extensions qui peuvent être installées sur votre serveur Arc, vous pouvez configurer des listes des extensions que vous souhaitez autoriser et bloquer sur le serveur. Le gestionnaire d’extensions va évaluer toutes les demandes d’installation, de mise à jour ou de mise à niveau d’extensions en consultant les listes d’autorisation et de refus pour déterminer si une extension donnée peut être installée sur le serveur.
• Azure Private Link vous permet de lier en toute sécurité les services PaaS Azure à votre réseau virtuel à l’aide de points de terminaison privés. Vous pouvez ainsi connecter vos serveurs locaux ou multiclouds à Azure Arc et envoyer tout le trafic via Azure ExpressRoute ou une connexion VPN de site à site au lieu d'utiliser des réseaux publics. Vous pouvez utiliser un modèle Private Link Scope pour permettre à plusieurs serveurs ou machines de communiquer avec leurs ressources Azure Arc en utilisant un seul point de terminaison privé.
• Consultez la vue d’ensemble de la sécurité des serveurs avec Azure Arc pour obtenir une vue d’ensemble complète des fonctionnalités de sécurité du serveur avec Azure Arc.
• D’autres considérations relatives à la sécurité de votre solution sont décrites dans la section principes de conception de sécurité de l’infrastructure Microsoft Azure Well-Architected.

Optimisation des coûts

• La fonctionnalité de plan de contrôle Azure Arc est fournie sans frais supplémentaires. Cela inclut la prise en charge de l’organisation des ressources via des groupes d’administration et des balises Azure, ainsi que le contrôle d’accès via le contrôle d’accès en fonction du rôle Azure (RBAC). Les services Azure utilisés conjointement avec les serveurs avec Azure Arc entraînent des coûts en fonction de leur utilisation.
• Consultez Gouvernance des coûts pour les serveurs avec Azure Arc pour obtenir des conseils supplémentaires sur l’optimisation des coûts Azure Arc.
• D'autres considérations relatives à l'optimisation des coûts pour votre solution sont décrites dans la section Principes d'optimisation des coûts de Microsoft Azure Well-Architected Framework.
• Utiliser la calculatrice de prix Azure pour estimer les coûts.
• Lorsque vous déployez l'implémentation de référence Jumpstart ArcBox pour les professionnels de l’informatique pour cette architecture, gardez à l'esprit que les ressources ArcBox génèrent des frais de consommation Azure à partir des ressources Azure sous-jacentes. Ces ressources incluent le calcul de base, le stockage, la mise en réseau et les services auxiliaires.

Excellence opérationnelle

• Automatisez le déploiement de votre environnement de serveurs avec Arc. L’implémentation de référence de cette architecture est entièrement automatisée à l’aide d’une combinaison de modèles Azure ARM, d’extensions de machine virtuelle, de configurations Azure Policy et de scripts PowerShell. Vous pouvez également réutiliser ces artefacts pour vos propres déploiements. Consultez Disciplines d'automatisation pour les serveurs Azure Arc pour obtenir des conseils supplémentaires sur l'automatisation des serveurs Arc dans le Cloud Adoption Framework (CAF).
• Il existe plusieurs options disponibles dans Azure pour automatiser l’intégration des serveurs Arc. Pour embarquer à grande échelle, utilisez un principal de service et déployez-le via la plateforme d'automatisation existante de votre organisation.
• Les extensions de machine virtuelle peuvent être déployées sur des serveurs Arc pour simplifier la gestion des serveurs hybrides tout au long de leur cycle de vie. Envisagez d’automatiser le déploiement des extensions de machine virtuelle via Azure Policy lors de la gestion des serveurs à grande échelle.
• Activez la gestion des correctifs et des mises à jour dans vos serveurs Azure Arc intégrés pour faciliter la gestion du cycle de vie du système d’exploitation.
• Passez en revue les cas d’usage des opérations unifiées Azure Arc pour en savoir plus sur les scénarios d’excellence opérationnelle supplémentaires pour les serveurs avec Azure Arc.
• D’autres considérations relatives à l’excellence opérationnelle pour votre solution sont décrites dans la section Principes de conception de l’excellence opérationnelle dans Microsoft Azure Well-Architected Framework.

Efficacité des performances

• Avant de configurer vos machines avec Azure Arc pour serveurs, vous devez passer en revue les limites de l’abonnement et les limites des groupes de ressources Azure Resource Manager pour planifier le nombre de machines à connecter.
• Une approche de déploiement par phases, comme décrit dans le guide de déploiement, peut vous aider à déterminer les exigences en matière de capacité de ressources pour votre implémentation.
• Utilisez Azure Monitor pour collecter directement les données de vos serveurs avec Azure Arc dans un espace de travail Log Analytics en vue d’une analyse et d’une mise en corrélation détaillées. Passez en revue les options de déploiement des agents Azure Monitor.
• Des considérations supplémentaires sur l’efficacité des performances pour votre solution sont décrites dans la section Principes d’efficacité des performances dans Microsoft Azure Well-Architected Framework.

Déployer ce scénario

Vous trouverez l’implémentation de référence de cette architecture dans ArcBox Jumpstart pour les professionnels de l’informatique, inclus dans le cadre du projet Arc Jumpstart. ArcBox est conçu pour être entièrement autonome au sein d’un seul abonnement et d’un groupe de ressources Azure. ArcBox permet à un utilisateur d'acquérir facilement une expérience pratique de toute la technologie Azure Arc disponible avec rien de plus qu'un abonnement Azure.

Pour déployer l’implémentation de référence, suivez les étapes du référentiel GitHub en sélectionnant le bouton Jumpstart ArcBox pour les professionnels de l’informatique ci-dessous.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Pieter de Bruin | Responsable de programme senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• En savoir plus sur Azure Arc
• Découvrez-en plus sur les serveurs Azure Arc
• Parcours d’apprentissage Azure Arc
• Passez en revue les scénarios Azure Arc Jumpstart dans le guide de démarrage d’Arc Jumpstart
• Passez en revue l’accélérateur de zone d’atterrissage des serveurs avec Arc dans CAF

Ressources associées

Explorer les architectures connexes :

• Gérer les configurations pour les serveurs Azure Arc
• Gestion et déploiement d’Azure Arc hybride pour les clusters Kubernetes