Fase 1: Pianificazione dei prerequisiti per i servizi di gestione dei server di Azure
In questa fase è possibile acquisire familiarità con la suite di servizi di gestione dei server di Azure e pianificare la distribuzione delle risorse necessarie per implementare queste soluzioni di gestione.
Informazioni su strumenti e servizi
Vedere Strumenti e servizi di gestione dei server di Azure per una panoramica dettagliata di:
- Aree di gestione coinvolte nelle operazioni di Azure continuative.
- Servizi e strumenti di Azure che offrono supporto in queste aree.
Molti di questi servizi verranno usati insieme per soddisfare i requisiti di gestione. In queste linee guida viene spesso fatto riferimento a questi strumenti.
Le sezioni seguenti illustrano la pianificazione e la preparazione necessarie per usare questi strumenti e servizi.
Pianificazione dell'area di lavoro Log Analytics e dell'account di Automazione
Molti dei servizi che verranno usati per eseguire l'onboarding dei servizi di gestione di Azure richiedono un'area di lavoro Log Analytics e un account di Automazione di Azure collegato.
Un'area di lavoro Log Analytics è un ambiente univoco per l'archiviazione dei dati dei log di Monitoraggio di Azure. Ogni area di lavoro include un proprio repository di dati e una configurazione specifica. Le origini dati e le soluzioni sono configurate per archiviare i dati in determinate aree di lavoro. Per le soluzioni di monitoraggio di Azure è necessario che tutti i server siano connessi a un'area di lavoro, in modo che sia possibile archiviare e accedere ai dati dei relativi log.
Alcuni dei servizi di gestione richiedono un account di Automazione di Azure. Usare questo account e le funzionalità di Automazione di Azure per integrare i servizi di Azure e altri sistemi pubblici per distribuire, configurare e gestire i processi di gestione dei server.
I servizi di gestione dei server di Azure seguenti richiedono un'area di lavoro Log Analytics e un account di Automazione collegati:
- Gestione degli aggiornamenti
- Rilevamento modifiche e inventario
- Ruolo di lavoro ibrido per runbook
- Desired State Configuration
La seconda fase di queste linee guida è incentrata sulla distribuzione di servizi e script di automazione. Viene illustrato come creare un'area di lavoro Log Analytics e un account di Automazione. Queste indicazioni illustrano anche come usare Criteri di Azure per assicurarsi che le nuove macchine virtuali siano connesse all'area di lavoro corretta.
Gli esempi in queste linee guida presuppongono una distribuzione che non dispone già di server distribuiti nel cloud. Per altre informazioni sui principi e le considerazioni relativi alla pianificazione delle aree di lavoro, vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure.
Considerazioni relative alla pianificazione
Quando si preparano le aree di lavoro e gli account necessari per l'onboarding dei servizi di gestione, tenere conto degli aspetti seguenti:
- Aree geografiche di Azure e conformità alle normative: le aree di Azure sono organizzate in aree geografiche. Un'area geografica di Azure assicura il rispetto dei requisiti di residenza, sovranità, conformità e resilienza dei dati entro limiti geografici. Se i carichi di lavoro sono soggetti alla sovranità dei dati o ad altri requisiti di conformità, l'area di lavoro e gli account di Automazione devono essere distribuiti nelle aree all'interno della stessa area geografica di Azure delle risorse del carico di lavoro supportate.
- Numero di aree di lavoro: come principio guida, creare il numero minimo di aree di lavoro necessarie per ogni area geografica di Azure. È consigliabile almeno un'area di lavoro per ogni area geografica di Azure in cui si trovano le risorse di calcolo o di archiviazione. Questo allineamento iniziale consente di evitare problemi normativi futuri, nel caso si esegua la migrazione dei dati in aree geografiche diverse.
- Conservazione e limitazione dei dati: potrebbe anche essere necessario prendere in considerazione i criteri di conservazione dei dati o i requisiti di limitazione dei dati quando si creano aree di lavoro o account di Automazione. Per altre informazioni su questi principi e per altre considerazioni sulla pianificazione delle aree di lavoro, vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure.
- Mapping delle aree: il collegamento di un'area di lavoro Log Analytics e un account Automazione di Azure è supportato solo tra determinate aree di Azure. Ad esempio, se l'area di lavoro Log Analytics è ospitata nell'area
East US, l'account di Automazione collegato deve essere creato nell'areaEast US 2per poter essere usato con i servizi di gestione. Se si ha un account di Automazione creato in un'altra area, non può collegarsi a un'area di lavoro inEast US. La scelta dell'area di distribuzione può influire in modo significativo sui requisiti geografici di Azure. Consultare la tabella di mapping delle aree per decidere quale area deve ospitare le aree di lavoro e gli account di Automazione. - Multihoming dell'area di lavoro: l'agente di Azure Log Analytics supporta il multihoming in alcuni scenari, ma per l'agente esistono diverse limitazioni e problematiche per l'esecuzione in questa configurazione. A meno che non sia consigliato da Microsoft per uno scenario specifico, evitare di configurare il multihoming per l'agente di Log Analytics.
Esempi di posizionamento delle risorse
Esistono diversi modelli per scegliere la sottoscrizione in cui inserire l'area di lavoro Log Analytics e l'account di Automazione. In sintesi, posizionare l'area di lavoro e gli account di Automazione in una sottoscrizione di proprietà del team responsabile dell'implementazione della soluzione Gestione aggiornamenti e del servizio Rilevamento modifiche e inventario.
Di seguito sono riportati alcuni esempi di modi per distribuire aree di lavoro e account di Automazione.
Posizionamento in base all'area geografica
Gli ambienti di piccole e medie dimensioni hanno una singola sottoscrizione e diverse centinaia di risorse estese su più aree geografiche di Azure. Per questi ambienti, creare un'area di lavoro Log Analytics e un account di Automazione di Azure in ogni area geografica.
È possibile creare un'area di lavoro e un account di Automazione di Azure, come coppia, in ogni gruppo di risorse. Distribuire quindi la coppia nell'area geografica corrispondente alle macchine virtuali.
In alternativa, se i criteri di conformità dei dati non impongono che le risorse risiedano in aree specifiche, è possibile creare una coppia per gestire tutte le macchine virtuali. È anche consigliabile posizionare le coppie di area di lavoro e account di Automazione in gruppi di risorse separati per rendere disponibile un controllo degli accessi in base al ruolo di Azure più granulare.
L'esempio nel diagramma seguente include una sottoscrizione con due gruppi di risorse, ognuno posizionato in un'area geografica diversa:
Posizionamento in una sottoscrizione di gestione
Gli ambienti più grandi si estendono su più sottoscrizioni e hanno un team IT centrale responsabile del monitoraggio e della conformità. Per questi ambienti, creare coppie di aree di lavoro e account di Automazione in una sottoscrizione di gestione IT. In questo modello, le risorse delle macchine virtuali in un'area geografica archiviano i dati nell'area di lavoro dell'area geografica corrispondente nella sottoscrizione di gestione IT. Se i team delle applicazioni devono eseguire attività di automazione, ma non richiedono aree di lavoro o account di Automazione collegati, possono creare account di Automazione separati nelle proprie sottoscrizioni dell'applicazione.
Posizionamento decentralizzato
In un modello alternativo per ambienti di grandi dimensioni, il team di sviluppo delle applicazioni può essere responsabile dell'applicazione di patch e della gestione. In questo caso, posizionare le coppie di area di lavoro e account di Automazione nelle sottoscrizioni del team dell'applicazione insieme alle altre risorse.
Creare un'area di lavoro e un account di Automazione
Dopo aver scelto il modo migliore per posizionare e organizzare le coppie di area di lavoro e account, assicurarsi di aver creato queste risorse prima di avviare il processo di onboarding. Gli esempi di automazione più avanti in queste linee guida consentono di creare automaticamente una coppia di area di lavoro e account di Automazione. Tuttavia, se si vuole eseguire l'onboarding con il portale di Azure e non è disponibile una coppia esistente di area di lavoro e account di Automazione, è necessario crearne una.
Per creare un'area di lavoro Log Analytics usando il portale di Azure, vedere Creare un'area di lavoro. Creare quindi un account di Automazione corrispondente per ogni area di lavoro seguendo la procedura descritta in Creare un account di Automazione di Azure.
Nota
Quando si crea un account di Automazione usando il portale di Azure, il portale tenta per impostazione predefinita di creare account RunAs sia per le risorse del modello di Azure Resource Manager che per il modello di distribuzione classica. Se l'ambiente non include macchine virtuali classiche e non si è coamministratore per la sottoscrizione, il portale crea un account RunAs per Resource Manager, ma genera un errore durante la distribuzione dell'account RunAs classico. Se non si intende supportare risorse classiche, è possibile ignorare questo errore.
È anche possibile creare account RunAs con PowerShell.
Passaggi successivi
Informazioni su come eseguire l'onboarding dei server nei servizi di gestione dei server di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per