Editar

Gerenciar configurações para servidores habilitados para o Azure Arc

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Máquinas Virtuais do Azure

Esta arquitetura de referência ilustra como o Azure Arc permite gerenciar, controlar e proteger servidores em cenários locais, multicloud e de borda, e é baseada na implementação do Azure Arc Jumpstart ArcBox for IT Pros . O ArcBox é uma solução que fornece uma área restrita fácil de implantar para todas as coisas do Azure Arc. O ArcBox for IT Pros é uma versão do ArcBox destinada a usuários que desejam experimentar os recursos de servidores habilitados para ArcGIS do Azure em um ambiente de área restrita.

Arquitetura

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

Baixe um arquivo do PowerPoint dessa arquitetura.

Componentes

Essa arquitetura consiste nos seguintes componentes:

  • Um Grupo de Recursos do Azure é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo.
  • A pasta de trabalho ArcBox é uma pasta de trabalho do Azure Monitor, que fornece um único painel de vidro para monitorar e gerar relatórios sobre os recursos do ArcBox. A pasta de trabalho atua como uma tela flexível para análise e visualização de dados no portal do Azure, reunindo informações de várias fontes de dados de todo o ArcBox e combinando-as em uma experiência interativa integrada.
  • O Azure Monitor permite que você acompanhe o desempenho e os eventos de sistemas em execução no Azure, no local ou em outras nuvens.
  • A configuração de convidado da Política do Azure pode auditar sistemas operacionais e configuração de máquina para computadores em execução no Azure e servidores habilitados para Arc em execução no local ou em outras nuvens.
  • O Azure Log Analytics é uma ferramenta do portal do Azure usada para editar e executar consultas de log dos dados coletados pelos logs do Azure Monitor e analisar os resultados de maneira interativa. É possível usar as consultas do Log Analytics para recuperar registros que correspondem a critérios específicos, além de identificar tendências, analisar padrões e fornecer uma variedade de insights sobre seus dados.
  • O Microsoft Defender for Cloud é uma solução de gerenciamento de postura de segurança de nuvem (CSPM) e proteção de carga de trabalho de nuvem (CWP). O Microsoft Defender for Cloud encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura geral de segurança do seu ambiente e pode proteger cargas de trabalho em ambientes multicloud e híbridos contra ameaças em evolução.
  • O Microsoft Azure Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.
  • Os servidores habilitados para o Azure Arc permitem que você conecte o Azure a seus computadores Windows e Linux hospedados fora do Azure em sua rede corporativa. Quando um servidor está conectado ao Azure, ele se torna um servidor habilitado para Arc e é tratado como um recurso no Azure. Cada servidor habilitado para Arc tem uma ID de Recurso, uma identidade de sistema gerenciado e é gerenciado como parte de um grupo de recursos dentro de uma assinatura. Os servidores habilitados para arco se beneficiam de construções padrão do Azure, como inventário, política, marcas e Farol do Azure.
  • A virtualização aninhada do Hyper-V é usada pelo Jumpstart ArcBox for IT Pros para hospedar máquinas virtuais do Windows Server dentro de uma máquina virtual do Azure. Isso fornece a mesma experiência que usar máquinas físicas do Windows Server, mas sem os requisitos de hardware.
  • A Rede Virtual do Azure fornece uma rede privada que permite que os componentes do Grupo de Recursos do Azure se comuniquem, como as máquinas virtuais.

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • Organize, controle e inventarie grandes grupos de máquinas virtuais (VMs) e servidores em vários ambientes.
  • Aplique os padrões da organização e avalie a conformidade em escala para todos os seus recursos em qualquer lugar com a Política do Azure.
  • Implante facilmente extensões de VM suportadas em servidores habilitados para Arc.
  • Configure e imponha a Política do Azure para VMs e servidores hospedados em vários ambientes.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Configurar o agente do Azure Arc Connected Machine

Você pode conectar qualquer outra máquina física ou virtual executando o Windows ou Linux ao Azure Arc. Antes de integrar computadores, certifique-se de concluir os pré-requisitos do agente de máquina conectada, que inclui o registro dos provedores de recursos do Azure para servidores habilitados para o Azure Arc. Para usar o Azure Arc para conectar a máquina ao Azure, você precisa instalar o agente da Máquina Conectada do Azure em cada máquina que planeja se conectar usando o Azure Arc. Para obter mais informações, consulte Visão geral do agente de servidores habilitados para o Azure Arc.

Depois de configurado, o agente da Máquina Conectada envia uma mensagem de pulsação regular a cada cinco minutos para o Azure. Quando a pulsação não é recebida, o Azure atribui o status Offline do computador, que é refletido no portal dentro de 15 a 30 minutos. Ao receber uma mensagem de pulsação subsequente do agente da Máquina Conectada, seu status será alterado automaticamente para Conectado.

Há várias opções disponíveis no Azure para conectar seus computadores Windows e Linux:

  • Instalação manual: os servidores habilitados para o Azure Arc podem ser habilitados para um ou alguns computadores Windows ou Linux em seu ambiente usando o conjunto de ferramentas do Windows Admin Center ou executando um conjunto de etapas manualmente.
  • Instalação baseada em script: você pode executar a instalação automatizada do agente executando um script de modelo baixado do portal do Azure.
  • Conecte máquinas em escala usando uma entidade de serviço: para integrar em escala, use uma entidade de serviço e implante por meio da automação existente de suas organizações.
  • Instalação usando o DSC do PowerShell do Windows

Consulte as opções de implantação do agente do Computador Conectado do Azure para obter uma documentação abrangente sobre as várias opções de implantação disponíveis.

Habilitar a configuração de convidado da Política do Azure

Os servidores habilitados para Azure Arc dão suporte ao Azure Policy na camada de gerenciamento de recursos do Azure e também no computador de servidor individual, usando as políticas de configuração de convidado. A configuração de convidado da Política do Azure pode auditar as configurações dentro de uma máquina, tanto para máquinas em execução no Azure quanto em servidores habilitados para Arc. Por exemplo, você pode auditar configurações como:

  • Configuração do sistema operacional
  • Configuração ou presença do aplicativo
  • Configurações do ambiente

Há várias definições internas da Política do Azure para o Azure Arc. Essas políticas fornecem definições de auditoria e configuração para máquinas baseadas em Windows e Linux.

Habilitar o Gerenciamento de Atualizações do Azure

Gerenciamento de Atualizações. Você pode executar o gerenciamento de atualizações para servidores habilitados para Arc. O gerenciamento de atualizações na Automação do Azure permite que você gerencie atualizações do sistema operacional e avalie rapidamente o status das atualizações disponíveis em todos os computadores agentes. Você também pode gerenciar o processo de instalação das atualizações necessárias para servidores.

Controle de Alterações e Inventário. O Controle e o Inventário de Alterações de Automação do Azure para servidores habilitados para Arc permitem determinar qual software está instalado em seu ambiente. Você pode coletar e observar o inventário de software, arquivos, daemons do Linux, serviços do Windows e chaves do Registro do Windows. Acompanhar as configurações de seus computadores pode ajudar a detectar problemas operacionais em seu ambiente e entender melhor o estado dos seus computadores.

Monitorar servidores habilitados para Arc do Azure

Você pode usar o Azure Monitor para monitorar suas VMs, conjuntos de dimensionamento de máquina virtual e máquinas do Azure Arc em escala. O Azure Monitor analisa o desempenho e a integridade de suas VMs Windows e Linux e monitora seus processos e dependências em outros recursos e processos externos. A solução inclui suporte para monitorar o desempenho e as dependências de aplicativos nas VMs hospedadas localmente ou em outro provedor de nuvem.

Os agentes do Azure Monitor devem ser implantados automaticamente em servidores Windows e Linux habilitados para Azure Arc, por meio da Política do Azure. Examine e entenda como o agente do Log Analytics opera e coleta dados, antes da implantação.

Projete e planeje a implantação do workspace do Log Analytics. Será o contêiner em que os dados são coletados, agregados e analisados posteriormente. Um workspace do Log Analytics representa uma localização geográfica dos dados, o isolamento de dados e o escopo para configurações como a retenção de dados. Use um único espaço de trabalho do Azure Monitor Log Analytics, conforme descrito nas práticas recomendadas de gerenciamento e monitoramento do Cloud Adoption Framework.

Proteger servidores habilitados para o Azure Arc

Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas dos servidores habilitados para Azure Arc e executar revisões de acesso periódicas para essas identidades. Controle funções de usuário privilegiadas para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.

Use o Azure Key Vault para gerenciar certificados nos servidores habilitados para Azure Arc. A extensão de VM do cofre de chaves permite que você gerencie o ciclo de vida do certificado em computadores Windows e Linux.

Conecte servidores habilitados para Arco do Azure ao Microsoft Defender for Cloud. Isso ajuda você a começar a coletar configurações relacionadas à segurança e logs de eventos para que você possa recomendar ações e melhorar sua postura geral de segurança do Azure.

Conecte servidores habilitados para Azure Arc ao Microsoft Sentinel. Isso permite que você comece a coletar eventos relacionados à segurança e a correlacioná-los com outras fontes de dados.

Validar topologia de rede

O agente da Máquina Conectada para Linux e Windows se comunica com segurança com a saída do Azure Arc pela porta TCP 443. O agente da Máquina Conectada pode se conectar ao plano de controle do Azure usando os seguintes métodos:

Consulte Topologia de rede e conectividade para servidores habilitados para Arco do Azure para obter orientação de rede abrangente para sua implementação de servidores habilitados para Arc.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

  • Na maioria dos casos, o local selecionado durante a criação do script de instalação deve ser a região do Azure mais próxima à localização do seu computador. Os dados restantes serão armazenados na geografia do Azure que contém a região especificada por você, o que também pode afetar sua escolha de região, em caso de requisitos de residência de dados. Se uma interrupção afetar a região do Azure à qual sua máquina está conectada, a interrupção não afetará o servidor habilitado para Arc. No entanto, as operações de gerenciamento usando o Azure podem não estar disponíveis.
  • Se você tiver vários locais que fornecem um serviço com redundância geográfica, é melhor conectar os computadores em cada local a uma região diferente do Azure para resiliência no caso de uma interrupção regional.
  • Se o agente do Azure Connected Machine parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar as tarefas operacionais. Portanto, é necessário desenvolver um plano para notificações e respostas.
  • Configure alertas de integridade de recursos para serem notificados quase em tempo real quando os recursos tiverem uma alteração em seu status de integridade. E defina uma política de monitoramento e alerta na Política do Azure que identifique servidores habilitados para Azure Arc não íntegros.
  • Estenda sua atual solução de backup para o Azure ou configure facilmente nossa replicação com reconhecimento de aplicativos e nosso backup consistente com aplicativos dimensionado segundo as necessidades comerciais. A interface de gerenciamento centralizado para o Backup do Azure e o Azure Site Recovery simplifica a definição de políticas para proteger, monitorar e gerenciar nativamente seus servidores Windows e Linux habilitados para Arc.
  • Analise as diretrizes de continuidade de negócios e recuperação de desastres para determinar se os requisitos da sua empresa são atendidos.
  • Outras considerações de confiabilidade para sua solução são descritas na seção princípios de design de confiabilidade no Microsoft Azure Well-Architected Framework.

Segurança

  • O controle de acesso baseado em função do Azure (RBAC do Azure) apropriado deve ser gerenciado para servidores habilitados para Arc. Para integrar computadores, você deve ser membro da função Integração de Máquina Conectada do Azure. Para ler, modificar, reintegrar e excluir um computador, você deve ser membro da função Administrador de Recursos de Máquina Conectada do Azure.
  • O Microsoft Defender para Nuvem pode monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de serviços de nuvem. Habilite o Microsoft Defender para servidores para todas as assinaturas que contêm servidores habilitados para Azure Arc, para monitoramento de linha de base de segurança, gerenciamento da postura de segurança e proteção contra ameaças.
  • O Microsoft Sentinel pode ajudar a simplificar a coleta de dados em diferentes fontes, inclusive o Azure, soluções locais e em nuvens usando conectores integrados.
  • Você pode usar a Política do Azure para gerenciar políticas de segurança em seus servidores habilitados para Arc, incluindo a implementação de políticas de segurança no Microsoft Defender for Cloud. Uma política de segurança define a configuração desejada de suas cargas de trabalho e ajuda a garantir que você esteja cumprindo os requisitos de segurança de sua empresa ou reguladores. As políticas do Defender for Cloud são baseadas em iniciativas de política criadas na Política do Azure.
  • Para limitar quais extensões podem ser instaladas no servidor habilitado para Arc, você pode configurar as listas de extensões que deseja permitir e bloquear no servidor. O gerenciador de extensões avaliará todas as solicitações para instalar, atualizar ou atualizar extensões em relação à permissão e à barra de bloqueio para determinar se a extensão pode ser instalada no servidor.
  • O Link Privado do Azure permite vincular com segurança os serviços PaaS do Azure a sua rede virtual usando pontos de extremidade privados. Você pode conectar seus servidores locais ou multicloud com o Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou da Rota Expressa do Azure em vez de usar redes públicas. Você pode usar um modelo de Escopo de Link Privado para permitir que vários servidores ou máquinas se comuniquem com seus recursos do Azure Arc usando um único ponto de extremidade privado.
  • Consulte a visão geral de segurança dos servidores habilitados para Arco do Azure para obter uma visão geral abrangente dos recursos de segurança no servidor habilitado para Arco do Azure.
  • Outras considerações de segurança para sua solução são descritas na seção princípios de design de segurança no Microsoft Azure Well-Architected Framework.

Otimização de custo

  • A funcionalidade de painel de controle do Azure Arc é fornecida sem custo adicional. Isso inclui suporte para organização de recursos por meio de grupos e marcas de gerenciamento do Azure e controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure. Os serviços do Azure usados em conjunto com servidores habilitados para o Azure Arc incorrem em custos de acordo com seu uso.
  • Consulte Governança de custos para servidores habilitados para Azure Arc para obter orientações adicionais sobre otimização de custos do Azure Arc.
  • Outras considerações de otimização de custo para sua solução são descritas na seção Princípios de otimização de custos no Microsoft Azure Well-Architected Framework.
  • Use a Calculadora de Preços do Azure para estimar os custos.
  • Ao implantar a implementação de referência do Jumpstart ArcBox for IT Pros para essa arquitetura, lembre-se de que os recursos do ArcBox geram cobranças de Consumo do Azure a partir dos recursos subjacentes do Azure. Esses recursos incluem computação principal, armazenamento, rede e serviços auxiliares.

Excelência operacional

  • Automatize a implantação do ambiente de servidores habilitados para Arc. A implementação de referência dessa arquitetura é totalmente automatizada usando uma combinação de modelos ARM do Azure, extensões de VM, configurações de Política do Azure e scripts do PowerShell. Você também pode reutilizar esses artefatos para suas próprias implantações. Consulte as disciplinas de automação para servidores habilitados para arco do Azure para obter orientações adicionais de automação de servidores habilitados para arco no CAF (Cloud Adoption Framework).
  • Há várias opções disponíveis no Azure para automatizar a integração de servidores habilitados para Arc. Para integrar em escala, use uma entidade de serviço e implante por meio da plataforma de automação existente de suas organizações.
  • As extensões de VM podem ser implantadas em servidores habilitados para Arc para simplificar o gerenciamento de servidores híbridos durante todo o ciclo de vida. Considere automatizar a implantação de extensões de VM por meio da Política do Azure ao gerenciar servidores em escala.
  • Habilite o Gerenciamento de Patches e Atualizações em seus servidores integrados habilitados para Azure Arc para facilitar o gerenciamento do ciclo de vida do sistema operacional.
  • Consulte os Casos de Uso de Operações Unificadas do Azure Arc Jumpstart para saber mais sobre cenários de excelência operacional adicionais para servidores habilitados para o Azure Arc.
  • Outras considerações de excelência operacional para sua solução são descritas na seção Princípios de design de excelência operacional no Microsoft Azure Well-Architected Framework.

Eficiência de desempenho

  • Antes de configurar seus computadores com servidores habilitados para o Azure Arc, você deve revisar os limites de assinatura do Gerenciador de Recursos do Azure e os limites do grupo de recursos para planejar o número de computadores a serem conectados.
  • Uma abordagem de implantação em fases, conforme descrito no guia de implantação, pode ajudá-lo a determinar os requisitos de capacidade de recursos para sua implementação.
  • Use o Azure Monitor para coletar dados diretamente de seus servidores habilitados para Azure Arc em um espaço de trabalho do Log Analytics para análise e correlação detalhadas. Analise as opções de implantação para os agentes do Azure Monitor.
  • Considerações adicionais sobre eficiência de desempenho para sua solução são descritas na seção Princípios de eficiência de desempenho no Microsoft Azure Well-Architected Framework.

Implantar este cenário

A implementação de referência dessa arquitetura pode ser encontrada no Jumpstart ArcBox for IT Pros, incluído como parte do projeto Arc Jumpstart . O ArcBox foi projetado para ser completamente autônomo em uma única assinatura do Azure e grupo de recursos. O ArcBox torna mais fácil para um usuário obter experiência prática com toda a tecnologia disponível do Azure Arc com nada mais do que uma assinatura do Azure disponível.

Para implantar a implementação de referência, siga as etapas no repositório do GitHub selecionando o botão Jumpstart ArcBox for IT Pros abaixo.

Inicie o ArcBox para profissionais de TI

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Explorar arquiteturas relacionadas: