Mik az Azure Arc-kompatibilis kiszolgálók alapvető felügyeleti és szabályozási képességei?

10 perc

Az Azure Arc segítségével számos Azure-szolgáltatás hatókörét kiterjesztheti nem Azure-beli Windows és Linux rendszerű kiszolgálókra. Ez segít a Contosóhoz hasonló vállalatoknak a felügyeleti stratégiájuk egységesítésében a hibrid forgatókönyveket használó üzemeltetésnél. Ebben a leckében megismerkedhet az Azure Arc képességeivel, és a kizárólag az Azure és az Azure Arc-kompatibilis kiszolgálók számára elérhető funkciókkal foglalkozik.

Mik az Azure Arc-kompatibilis kiszolgálók alapvető erőforrás-kezelési képességei?

Az Azure Arc számos olyan előnyt biztosít, amelyek függetlenek az erőforrás típusától, mert az Azure Resource Manager képességeit tükrözik. These benefits include:

Lehetőség az összes szervezeti erőforrás rendszerezésére az Azure felügyeleti csoportok, előfizetések, erőforráscsoportok és címkék használatával.
A többfelhős és helyszíni szervezeti eszközök egyetlen, átfogó leltára, beleértve az Azure Resource Graph használatával végzett keresés és indexelés támogatását is.
Az Azure és az Azure Arc-kompatibilis erőforrások összevont nézete az Azure Portalon, az Azure parancssori felületén (CLI), az Azure PowerShellen és a REST-alkalmazásprogramozási felületen (API) keresztül.
Közvetlen hozzáférés az Azure Portalról az Azure Arc-kompatibilis kiszolgálók legtöbb felügyeleti szolgáltatásához:
- Szerepköralapú hozzáférés-vezérlés (RBAC) a naplók és a kiszolgálóleltár adatainak megtekintéséhez
- Virtuálisgép-bővítmények a szoftverügynökök telepítéséhez és parancsfájlok futtatásához a kiszolgálón
- Az Azure Policy vendégkonfigurációs funkciója az operációs rendszer és a szoftver konfigurációjának érvényesítéséhez
- Microsoft Entra-rendszer hozzárendelt felügyelt identitást a kiszolgálón futó alkalmazásokhoz, amelyeket más Azure-szolgáltatásokhoz való hitelesítéskor használhat

Screenshot of the Access control (IAM) page in the Azure portal for the selected VM: ContosoVM1. The details pane displays a number of tabs: Check access (selected), Role assignments, Deny assignments, Classic administrators, and Roles.

Az Azure Arc-kompatibilis kiszolgálóknak is vannak előnyei, például:

Azure-beli virtuálisgép-bővítményeket használhat az Azure-beli és azon kívüli Windows és Linux rendszerű kiszolgálók konfigurációjának egységes automatizálásához.
Támogatás az Azure Policy vendégkonfigurációjához. Az Azure Policy ugyanúgy támogatja az Azure Arc-kompatibilis kiszolgálók naplózását, mint az Azure-rezidens társaik. Így egységes módszerrel mérheti fel a környezetben lévő összes kiszolgáló konfigurációjának szervezeti követelmények szerinti megfelelőségét.

Mik azok a virtuálisgép-bővítmények, és hogyan használhatók az Azure Arc-kompatibilis kiszolgálókhoz?

A virtuálisgép-bővítmények olyan egyszerű szoftver-összetevők, amelyek az operációs rendszer üzembe helyezése utáni konfigurációt és az automatizálási feladatokat automatizálják. A virtuálisgép-bővítmények hagyományosan csak Azure-beli virtuális gépeken voltak elérhetők, de most már lehetséges a kiválasztottak használata az Azure Arc-kompatibilis kiszolgálókon. Az alábbi táblázat a Windows Servert vagy Linux operációs rendszert futtató Azure Arc-kompatibilis kiszolgálókhoz hozzáadható bővítményeket ismerteti:

Extension	További információk
Log Analytics-ügynök	Telepíti a Log Analytics-ügynököt a cél Arc-kompatibilis kiszolgálóra, és konfigurálja a Log Analytics-munkaterületre történő naplózáshoz.
Függőségi ügynök	Telepíti a függőségi ügynököt a cél Arc-kompatibilis kiszolgálón a kiszolgálói számítási feladatok belső és külső függőségeinek azonosításához.
Azure Key Vault-ügynök	Egy Azure Key Vault-példány tanúsítványait szinkronizálja az Arc-kompatibilis kiszolgálóval.
Qualys bővítmény	Microsoft Defender kiszolgálókhoz – sebezhetőségi felmérési megoldás.
Célállapot-konfiguráló	PowerShell DSC-konfigurációt alkalmaz a cél Arc-kompatibilis kiszolgálón.
Egyéni szkriptbővítmény	Szkriptet hajt végre a cél Arc-kompatibilis kiszolgálón.

Mi az Azure Policy, és hogyan használható az Azure Arc-kompatibilis kiszolgálószabályozáshoz?

Az Azure Policy egy olyan szolgáltatás, amely az Azure-szolgáltatások széles köre mellett segítséget nyújt a szervezeteknek az Arc-kompatibilis kiszolgálók belső és jogszabályi megfelelőségének kezelésében és értékelésében. Az Azure Policy deklaratív szabályokat alkalmaz a célzott erőforrástípusok tulajdonságai alapján, Windows és Linux operációs rendszerben. Ezek a szabályok szabályzatdefiníciókat alkotnak, amelyeket a rendszergazdák szabályzat-hozzárendeléssel alkalmazhatnak az Azure Arc-kompatibilis kiszolgálókat üzemeltető erőforráscsoportokra, előfizetésekre vagy felügyeleti csoportokra. A szabályzatdefiníciók kezelésének egyszerűsítése érdekében több szabályzatot is kombinálhat kezdeményezésekkel, majd létrehozhat néhány kezdeményezési hozzárendelést több szabályzat-hozzárendelés helyett.

Az Azure Policy vendégkonfigurációs szabályzatokkal támogatja az Arc-kompatibilis kiszolgáló állapotának naplózását. A vendégkonfigurációs házirendek nem alkalmaznak konfigurációkat, de a cél operációs rendszeren belül naplózzák a beállításokat, és értékelik a megfelelőségüket. Az Azure Policy használatával azonban alkalmazhatja az Arc-kompatibilis kiszolgálót képviselő Azure-erőforrás konfigurációját. Az Azure Policy arra is alkalmas, hogy virtuálisgép-bővítményekre támaszkodva helyezzen üzembe konfigurációkat.

A Contoso például a következő szabályokat valósíthatja meg az Azure Policy segítségével:

Adott címke hozzárendelése az Arc-kompatibilis kiszolgálókat képviselő erőforrásokhoz a regisztráció során.
Azonosítsa a Windows rendszert futtató Arc-kompatibilis kiszolgálókat, amelyeken a Windows Defender Exploit Guard le van tiltva.
Azonosítsa az Arc-kompatibilis windowsos kiszolgálókat, amelyek nem csatlakoznak egy adott Active Directory tartományi szolgáltatások (AD DS) tartományhoz.
Azonosítsa a Windows vagy Linux rendszert futtató Arc-kompatibilis kiszolgálókat a Log Analytics-ügynök telepítése nélkül.
Azonosítsa a Linux rendszert futtató Arc-kompatibilis kiszolgálókat, amelyek nem használnak SSH-kulcsokat a hitelesítéshez.

Megjegyzés:

A szervizelést támogató szabályzatoknak nem kell kiértékelnie a szabályzat logikáját az Azure Arc-kompatibilis kiszolgáló operációs rendszerén belül, hanem az Azure-erőforrás metaadataira kell támaszkodniuk. Ilyen szabályzat például a címkék megfelelőségének kényszerítése vagy a virtuálisgép-bővítmények üzembe helyezése.

Megjegyzés:

Az Azure Policy támogatja az Azure-beli virtuális gépeket és az Azure Arc-kompatibilis kiszolgálókat, így egységes, szervezeti szintű megfelelőségi információkat biztosít.

Hogyan rendelhet Azure-szabályzatokat az Azure Arc-kompatibilis kiszolgálókhoz?

Az Azure-szabályzatokat közvetlenül az Azure Portalról kezelheti és rendelheti hozzá az Azure Arc-kompatibilis kiszolgálókhoz.

Screenshot that depicts the Assign policy page in the Azure portal. The administrator is selecting from a list of available policies.

Miután létrehozott egy szabályzat-hozzárendelést, röviddel később áttekintheti a szabályzat kiértékelésének eredményét a cél Azure Arc-kompatibilis kiszolgálókon.

Screenshot that depicts the applied policies on ContosoVM1. Two policies are applied, and the VM is compliant with one but not the other.

Mik az Azure Automation Update Management előnyei hibrid forgatókönyvek esetén?

Az Azure Automation egy Azure-szolgáltatás, amely a karbantartási feladatok automatizálását segíti az Azure-ban és a helyszíni környezetekben egyéni PowerShell- vagy Python-parancsfájlok használatával. Az Azure Automation támogatja a konfiguráció-felügyeletet is több beépített megoldás, például az Update Management használatával.

Az Azure Automation Update Management egy hibrid megoldás, amely megkönnyíti az operációs rendszerek frissítéseinek kezelését és figyelését hibrid forgatókönyvekben. Átfogó információt nyújt a frissítés állapotáról, és lehetővé teszi, hogy automatizált módon javítsa ki a hiányosságokat. Támogatja a szabványos frissítéstelepítési technológiákkal való integrációt, beleértve a Windows Update Servicest, a Windows Server Update Servicest (WSUS) és az Endpoint Configuration Managert.

A Felhőhöz készült Microsoft Defender-hez hasonlóan az Update Management megoldás is a Windows-kiszolgálókról az Azure Monitor által gyűjtött és az Ön által kijelölt Log Analytics-munkaterületen tárolt adatokra támaszkodik. Ehhez viszont egy helyileg telepített Log Analytics-ügynökre van szükség, amely regisztrálja a felügyelt számítógépeket a Log Analytics-munkaterületen, és folyamatosan feltölti a helyileg gyűjtött adatokat. A Log Analytics-motor az összegyűjtött adatokat elemzi az egyes felügyelt kiszolgálók frissítési megfelelőségi állapotának meghatározásához.

Az Update Management általában az alábbi lehetőségeket kínálja:

A frissítések állapotának nyomon követése a kiszolgálókon: A szolgáltatás tartalmazza az Azure Portal-alapú felületet, ahol áttekintheti a frissítési állapotokat a felügyelt környezetben.
Dinamikus gépcsoportokat konfigurálhat a frissítések központi telepítéseinek célként való konfigurálásához: A szolgáltatás támogatja a más forrásból, például a WSUS-ból vagy az Endpoint Configuration Managerből importált csoportok frissítéseinek megcélzását a Log Analytics-lekérdezések vagy -csoportok alapján.
Keresés az Azure Monitor naplóiban: A szolgáltatás lehetővé teszi lekérdezések futtatását a Log Analyticsben tárolt naplókon.

Milyen előnyökkel jár az Azure Automation Desired State Configuration (DSC) hibrid forgatókönyvekben?

A PowerShell DSC egy olyan technológia, amely PowerShell-szkriptek és az operációs rendszer funkcióinak kombinációjával valósítja meg a deklaratív konfiguráció kezelését. A konfiguráció olyan egyszerűen is elvégezhető, mint egy adott Windows-szolgáltatás engedélyezése, de akár olyan összetetten is, mint a SharePoint üzembe helyezése. DSC-konfigurációt leküldéses vagy lekéréses módban is üzembe helyezhet. A leküldéses mód része az üzembe helyezés meghívása egy felügyeleti számítógépről egy vagy több felügyelt számítógépre. Lekéréses módban a felügyelt számítógépek automatikusan végzik el az üzembe helyezést egy meghatározott helyről, úgynevezett lekéréses kiszolgálóról származó konfigurációs adatok alapján. Az Azure Automation tartalmaz egy felügyelt, Azure-rezidens lekérési DSC-kiszolgálót. DSC-konfigurációt leküldéses módban alkalmazhat nem Azure-beli számítógépekre, beleértve az Azure Arc-kompatibilis kiszolgálókat is virtuálisgép-bővítmény használatával. Azt is megteheti, hogy mindkét típusú rendszert előkészíti az Azure Automationhöz, és a konfigurációját lekérési kiszolgálón keresztül kezeli.

Milyen előnyökkel jár az Azure Automanage hibrid forgatókönyvekben?

Az Azure Automanage-gépek ajánlott eljárásai olyan szolgáltatások, amelyek szükségtelenné teszik a felfedezést, a bevezetést és az Azure-ban olyan szolgáltatások konfigurálását, amelyek előnyösek az Arc-kompatibilis kiszolgáló számára. Miután előkészítette a gépeket az Azure Automanage szolgáltatásba, minden ajánlott eljárás szolgáltatás az ajánlott beállításokhoz van konfigurálva. Az Azure Automanage automatikusan figyeli és korrigálja az eltérést, ha észlelik. A részt vevő szolgáltatások a következők:

Gépek Elemzések monitorozása
Update Management
Változáskövetés > Leltár
Azure-vendégkonfiguráció
Azure Automation-fiók
Log Analytics Workspace

Válassza ki a legjobb választ az alábbi kérdésekre, majd válassza a Válaszok ellenőrzése lehetőséget.

Tesztelje tudását

Milyen virtuálisgép-bővítményt adhat hozzá a rendszergazda az Azure Arc-kompatibilis kiszolgálókhoz, hogy megkezdje a figyelést az Azure-szolgáltatásokkal?

A Qualys bővítményt. Ez a virtuálisgép-bővítmény az Azure Defendert használja a kiszolgálók sebezhetőségi felméréséhez és vizsgálatához.

Az Azure Key Vault bővítményt.

Log Analytics-ügynök.

Mit tehet a rendszergazda az Azure Arc-kompatibilis kiszolgálók operációs rendszerének állapotának naplózásához?

Az Azure Advisor áttekintése.

Keresés a tevékenységnaplókban az Azure Portalon.

Vendégkonfigurációs Azure-szabályzat alkalmazása.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás