Gerenciar cargas de trabalho híbridas do Azure usando o Windows Admin Center

Essa arquitetura de referência ilustra como criar uma solução de Windows Admin Center híbrida para gerenciar cargas de trabalho hospedadas localmente e no Microsoft Azure. Essa arquitetura inclui dois cenários:

• Windows Admin Center implantado em uma VM (máquina virtual) no Azure.
• Windows Admin Center implantado em um servidor (físico ou virtual) local.

Arquitetura

O primeiro diagrama ilustra Windows Admin Center implantado em uma VM no Azure.

O segundo diagrama ilustra Windows Admin Center implantado localmente.

Baixe um arquivo do Visio de todos os diagramas de arquiteturas neste artigo.

Fluxo de trabalho

A arquitetura consiste no seguinte:

• Rede corporativa local. Uma rede local privada que é executada dentro de uma organização.
• Firewall corporativo local. Um firewall organizacional configurado para permitir que os usuários acessem o gateway de Windows Admin Center quando o gateway é implantado localmente.
• VM do Windows. Uma VM do Windows instalada com o gateway de Windows Admin Center que hospeda serviços Web aos quais os usuários podem se conectar.
• Azure AD aplicativo. Um aplicativo usado para todos os pontos de integração do Azure em Windows Admin Center, incluindo a autenticação do Azure Active Directory (Azure AD) no gateway.
• Nós gerenciados. Nós gerenciados por Windows Admin Center, que podem incluir servidores físicos que executam o Azure Stack, o Windows Server ou máquinas virtuais que executam o Windows Server.
• VPN ou ExpressRoute. Uma VPN site a site (S2S) ou o ExpressRoute para gerenciar nós locais quando Windows Admin Center é implantado no Azure.
• Adaptador de rede do Azure. Um adaptador para uma VPN ponto a site (P2S) para o Azure quando Windows Admin Center é implantado localmente. Windows Admin Center pode implantar automaticamente o adaptador e também criar um gateway do Azure.
• DNS (Sistema de Nomes de Domínio). Um registro DNS que os usuários fazem referência para se conectar ao gateway de Windows Admin Center.

Componentes

• Windows Admin Center é um conjunto de ferramentas de gerenciamento baseado em navegador que fornece controle total sobre todos os aspectos da infraestrutura do servidor e é particularmente útil para gerenciar servidores em redes privadas que não estão conectadas à Internet. Ele acessa servidores por meio do gateway de Windows Admin Center instalado no Windows Server ou em Windows 10 ingressados no domínio. O gateway pode ser instalado localmente ou em uma VM do Azure que executa o Windows.
• O Azure ExpressRoute cria conexões privadas entre datacenters do Azure e infraestrutura local ou em um ambiente de colocação.
• O Azure Rede Virtual fornece infraestrutura de rede segura na nuvem.
• O Máquinas Virtuais do Azure fornece máquinas virtuais Linux e Windows. Nesta solução, você pode usá-la para fornecer uma VM do Windows para executar Windows Admin Center.

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

• Organizações que desejam gerenciar instâncias individuais do Windows Server, Hyper-Converged infraestrutura ou VMs Hyper-V que são executadas localmente e no Microsoft Azure.
• Organizações que desejam gerenciar instâncias do Windows Server hospedadas por outros provedores de nuvem.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Tipos de instalação

Você tem várias opções ao implantar Windows Admin Center, incluindo a instalação em um computador Windows 10, um servidor Windows ou uma VM do Azure. O tipo de implantação escolhido dependerá dos seus requisitos de negócios.

Os tipos de instalação locais são:

• Opção 1: Cliente Local. Implante Windows Admin Center em um cliente Windows 10. Isso é ideal para implantações rápidas, testes e cenários improvisados ou de pequena escala.
• Opção 2: Servidor de Gateway. Instale em um servidor de gateway designado executando Windows Server 2016, Windows Server 2019 ou posterior e acesso de qualquer navegador cliente com conectividade com o servidor de gateway.
• Opção 3: Servidor Gerenciado. Instale diretamente em um servidor gerenciado executando Windows Server 2016, Windows Server 2019 ou posterior para permitir que o servidor gerencie a si mesmo ou um cluster no qual o servidor gerenciado é um nó membro. Isso é ótimo para cenários de filiais distribuídas.
• Opção 4: Cluster de failover. Implante em um cluster de failover para habilitar a alta disponibilidade do serviço de gateway. Isso é ótimo para ambientes de produção para garantir a resiliência do serviço de gerenciamento.

Como Windows Admin Center não tem dependências de serviço de nuvem, algumas organizações podem optar por implantar Windows Admin Center em um sistema local para gerenciar computadores locais e habilitar serviços híbridos ao longo do tempo. No entanto, muitas organizações preferem aproveitar as ofertas de serviço no Azure e em outras plataformas de nuvem integradas ao Windows Admin Center.

A implantação de Windows Admin Center em uma VM do Azure fornece funcionalidade de gateway semelhante ao Windows Server 2016 e ao Windows Server 2019. No entanto, o Azure também habilita recursos adicionais para VMs do Azure. Consulte Confiabilidade para obter mais informações sobre os benefícios da implantação de Windows Admin Center em VMs do Azure.

Implantação automatizada

A Microsoft fornece um arquivo .msi que você usa para implantar Windows Admin Center em uma VM local. O arquivo .msi instala Windows Admin Center e gera automaticamente um certificado autoassinado ou associa um certificado existente com base em sua preferência.

Ao implementar Windows Admin Center em uma VM do Azure, a Microsoft fornece o script Deploy-Windows Administração CenterAzVM.ps1 para implantar automaticamente todos os recursos necessários. Nesse cenário, o script implanta uma nova VM do Azure com Windows Admin Center instalada e abre a porta 443 no endereço IP público. O script também pode implantar Windows Admin Center em uma VM do Azure existente. Ao executar o script, você pode usar variáveis para especificar o grupo de recursos, o nome da rede virtual, o nome da VM, o local e muitas outras opções.

Recomendações de topologia

Embora você possa implementar Windows Admin Center em qualquer VM existente ou nova que esteja local ou hospedada no Azure, a Microsoft recomenda implantar Windows Admin Center gateway em uma VM do Azure do Windows Server 2019. A opção de implantação automatizada discutida anteriormente permite que você implemente Windows Admin Center em uma VM do Azure mais rapidamente enquanto ainda protege seu ambiente. Em vez de implantar Windows Admin Center em uma VM local, você pode minimizar as alterações de configuração necessárias para um firewall local e uma rede.

Quando implantado localmente, você pode usar Windows Admin Center para criar a conexão híbrida com o Azure. A conexão híbrida, chamada de adaptador de rede do Azure, é uma VPN P2S para o Azure que permite que Windows Admin Center acessem recursos de nuvem híbrida. Esse processo também cria automaticamente um gateway do Azure para a conexão VPN. Para obter mais informações, consulte Sobre VPN ponto a site.

Você também deve configurar o gateway de Windows Admin Center para alta disponibilidade. Isso ajudará a garantir que o gerenciamento de sistemas e serviços permaneça disponível durante falhas inesperadas. O Azure fornece várias ofertas de serviço para esses cenários, independentemente de Windows Admin Center gateway ser implantado em uma VM local ou do Azure. Consulte Considerações de disponibilidade para obter mais informações.

Recomendações de certificado

Windows Admin Center gateway é uma ferramenta baseada na Web que usa um certificado SSL (Secure Sockets Layer) para criptografar o tráfego da Web para administradores que estão usando o gateway. Windows Admin Center permite que você use um certificado SSL que uma AC (autoridade de certificação) de terceiros confiável criou com base em um certificado autoassinado. Você receberá um aviso ao tentar se conectar de um navegador se escolher a última opção. Como resultado, recomendamos que você use apenas certificados autoassinados para ambientes de teste.

Recomendações administrativas

Implantar Windows Admin Center em um cliente de Windows 10 local é ótimo para testes de início rápido e cenários ad hoc ou de pequena escala. No entanto, para cenários de produção com vários administradores, recomendamos o Windows Server. Quando implantado no Windows Server, Windows Admin Center fornece um hub de gerenciamento centralizado para seu ambiente de servidor com recursos adicionais, como autenticação de cartão inteligente, acesso condicional e autenticação multifator. Para obter mais informações sobre como controlar o acesso a Windows Admin Center, consulte Opções de Acesso do Usuário com Windows Admin Center.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você faz com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

• Você pode ajudar a garantir a alta disponibilidade do serviço de gateway Windows Admin Center implantando-o em um modelo ativo/passivo em um cluster de failover. Nesse cenário, apenas uma instância do serviço de gateway Windows Admin Center está ativa. Se um dos nós no cluster falhar, o serviço de gateway de Windows Admin Center fará failover contínuo para outro nó.

  Cuidado

  A implantação de Windows Admin Center em um computador cliente Windows 10 não fornece alta disponibilidade porque a funcionalidade do gateway não está incluída na implantação do Windows 10. Implante o gateway de Windows Admin Center no Windows Server 2016 ou no Windows Server 2019.

• Para ajudar a garantir a alta disponibilidade de Windows Admin Center dados em caso de falha de nó, configure um CSV (Volume Compartilhado Clusterizado) no qual Windows Admin Center armazenará dados persistentes que todos os nós no cluster acessam. Você pode implantar o cluster de failover para Windows Admin Center gateway usando um script de implantação automatizado. O script Install-WindowsAdminCenterHA.ps1 implanta automaticamente o cluster de failover, configura endereços IP para o serviço de cluster, instala Windows Admin Center gateway, configura o número da porta para o serviço de gateway e configura o serviço Web com o certificado apropriado.

  Dica

  Para obter mais informações sobre como usar o script de implantação automatizado, consulte Implantar Windows Admin Center com alta disponibilidade.

• Implantar Windows Admin Center gateway em uma VM do Azure fornece opções adicionais de alta disponibilidade. Por exemplo, usando conjuntos de disponibilidade, você pode fornecer redundância e disponibilidade de VM em um datacenter do Azure distribuindo as VMs entre vários nós de hardware. Você também pode usar zonas de disponibilidade no Azure, que fornecem tolerância a falhas do datacenter. As zonas de disponibilidade são locais físicos exclusivos que abrangem datacenters em uma região do Azure. Isso ajuda a garantir que as VMs do Azure tenham energia, resfriamento e rede independentes. Para obter mais informações sobre alta disponibilidade, consulte Opções de disponibilidade para máquinas virtuais no Azure e Alta disponibilidade e recuperação de desastre para aplicativos IaaS.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

• Implantar Windows Admin Center fornece à sua organização uma interface de gerenciamento centralizada para seu ambiente de servidor. Ao controlar o acesso ao Windows Admin Center, você pode aprimorar a segurança do seu cenário de gerenciamento.
• Windows Admin Center fornece vários recursos para ajudar a proteger sua plataforma de gerenciamento. Para começar, Windows Admin Center autenticação de gateway pode usar grupos locais, Active Directory Domain Services (AD DS) e Azure AD baseados em nuvem. Você também pode impor a autenticação de cartão inteligente especificando um grupo adicional necessário para grupos de segurança baseados em cartão inteligente. Além disso, ao exigir Azure AD autenticação para o gateway, você pode usar outros recursos de segurança Azure AD, como acesso condicional e Autenticação Multifator do Azure Active Directory.
• O acesso ao gateway de Windows Admin Center não implica acesso aos servidores de destino que são visíveis pelo gateway. Para gerenciar um servidor de destino, os usuários devem se conectar com credenciais que concedem privilégios de administrador nos servidores que desejam gerenciar. No entanto, alguns usuários podem não precisar de acesso administrativo para executar suas responsabilidades. Nesse cenário, você pode usar o RBAC (controle de acesso baseado em função) em Windows Admin Center para fornecer a esses usuários acesso limitado aos servidores, em vez de conceder a eles acesso administrativo completo.

  Observação

  Se você implantou a LAPS (Solução de Senha de Administrador Local) em seu ambiente, use as credenciais laps por meio de Windows Admin Center para autenticar com um servidor de destino.

• Em Windows Admin Center, o RBAC funciona configurando cada servidor gerenciado com um Windows PowerShell ponto de extremidade de Administração Just Enough. Esse ponto de extremidade define as funções, incluindo quais partes do sistema cada função pode gerenciar e quais usuários são atribuídos às funções. Quando um usuário se conecta ao ponto de extremidade, o RBAC cria uma conta de administrador local temporária para gerenciar o sistema em seu nome e remove automaticamente a conta quando o usuário para de gerenciar o servidor por meio do Windows Admin Center. Para obter mais informações, consulte Administração Just Enough.
• Windows Admin Center também fornece visibilidade das ações de gerenciamento executadas em seu ambiente. Windows Admin Center registra eventos registrando ações em log no canal de eventos Microsoft-ServerManagementExperience no log de eventos do servidor gerenciado. Isso permite que você audite as ações que os administradores executam e ajuda a solucionar problemas Windows Admin Center e examinar as métricas de uso. Para obter mais informações sobre auditoria, consulte Usar o log de eventos no Windows Admin Center para obter informações sobre as atividades de gerenciamento e acompanhar o uso do gateway.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

• Para implantações locais, Windows Admin Center não custa nada além do custo do sistema operacional Windows, o que requer licenças válidas do Windows Server ou Windows 10.
• Para implantações do Azure, planeje os custos associados à implantação de Windows Admin Center em uma VM do Azure. Alguns desses custos podem incluir a VM, o armazenamento, os endereços IP estáticos ou públicos (se habilitados) e os componentes de rede necessários para integração com ambientes locais. Além disso, talvez seja necessário planejar o custo da compra de certificados de AC que não são da Microsoft.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Capacidade de gerenciamento

• O acesso ao conjunto de ferramentas de gerenciamento de Windows Admin Center depende do tipo de instalação. Por exemplo, em um cenário de cliente local, você abriria o Windows Admin Center no menu Iniciar e se conectaria a ele em um navegador da Web cliente acessando https://localhost:6516. Em outros cenários em que você implanta o gateway de Windows Admin Center em um Servidor de Janela, é possível se conectar ao gateway Windows Admin Center de um navegador da Web cliente acessando a URL do nome do servidor, como https://servername.contoso.com, ou a URL do nome do cluster.
• Quando implantado no Windows Server, o Windows Admin Center fornece um ponto de gerenciamento centralizado para o seu ambiente de servidor. Windows Admin Center fornece ferramentas de gerenciamento para muitos cenários e ferramentas comuns, incluindo:
  • Gerenciamento de certificados
  • Visualizador de Eventos
  • Explorador de Arquivos
  • Configurações de rede
  • Conexões de Área de Trabalho Remota
  • Windows PowerShell
  • Gerenciamento do firewall
  • Edição do Registro
  • Habilitar e desabilitar funções e recursos
  • Gerenciando aplicativos e dispositivos instalados
  • Gerenciando tarefas agendadas
  • Configurando usuários e grupos locais
  • Gerenciamento de serviços do Windows
  • Gerenciando o armazenamento
  • Gerenciando Windows Update

Para obter uma lista completa dos recursos de gerenciamento de servidores, consulte Gerenciar servidores com Windows Admin Center.

• Windows Admin Center fornece suporte para gerenciar clusters de failover e recursos de cluster, gerenciar VMs e comutadores virtuais do Hyper-V e gerenciar a Réplica de Armazenamento do Windows Server. Além de usar Windows Admin Center para gerenciar e monitorar uma infraestrutura de Hyper-Converged existente, você também pode usar Windows Admin Center para implantar uma nova infraestrutura de Hyper-Converged. Usando um fluxo de trabalho de várias fases, Windows Admin Center orienta você pela instalação de recursos, configuração de rede, criação de um cluster e implantação de Espaços de Armazenamento Diretos e rede Software-Defined. Para obter mais informações, consulte Gerenciar Hyper-Converged Infraestrutura com Windows Admin Center.

  Observação

  Você pode usar Windows Admin Center para gerenciar Microsoft Hyper-V Server 2016 ou Microsoft Hyper-V Server 2019 (o produto gratuito de virtualização da Microsoft).

• A ferramenta de serviços híbridos do Azure no Windows Admin Center fornece um local centralizado para todos os serviços integrados do Azure. Você pode usar os serviços híbridos do Azure para proteger VMs no Azure e no local com backup baseado em nuvem e recuperação de desastre. Você também pode estender a capacidade local com armazenamento e computação no Azure e pode simplificar a conectividade de rede com o Azure. Com a ajuda dos serviços de gerenciamento do Azure inteligentes em nuvem, você pode centralizar o monitoramento, a governança, a configuração e a segurança em seus aplicativos, rede e infraestrutura.

DevOps

• Windows Admin Center foi criado para extensibilidade para que a Microsoft e outros desenvolvedores possam criar ferramentas e soluções além das ofertas atuais. Windows Admin Center fornece uma plataforma extensível na qual cada tipo de conexão e ferramenta é uma extensão que você pode instalar, desinstalar e atualizar individualmente. A Microsoft oferece um SDK (software development kit) que permite que os desenvolvedores criem suas próprias ferramentas para Windows Admin Center.
• Você pode criar extensões Windows Admin Center usando tecnologias modernas da Web, incluindo HTML5, CSS, Angular, TypeScript e jQuery, para gerenciar servidores de destino por meio de Windows PowerShell ou Instrumentação de Gerenciamento do Windows. Você também pode gerenciar servidores, serviços e dispositivos de destino em diferentes protocolos, como REST (Transferência de Estado Representacional), criando um plug-in de gateway Windows Admin Center.

  Dica

  Para obter mais informações sobre como usar o SDK para desenvolver extensões para Windows Admin Center, consulte Extensões para Windows Admin Center.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi escrito originalmente pelos colaboradores a seguir.

Autor principal:

• Mike Martin | Arquiteto sênior de soluções de nuvem

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Mais informações sobre Automação do Azure:

• Instalar o Windows Admin Center
• Versão prévia: usar Windows Admin Center no portal do Azure para gerenciar uma VM do Windows Server
• Implantar manualmente Windows Admin Center no Azure para gerenciar vários servidores
• Conectar computadores híbridos ao Azure por meio do Windows Admin Center

Recursos relacionados

• Conectar servidores autônomos usando o Adaptador de Rede do Azure
• Usar clusters estendidos do Azure Stack HCI para recuperação de desastre
• Gerenciar configurações para servidores habilitados para Azure Arc
• Usar a interconexão sem alternância do Azure Stack HCI e o quorum leve para escritório remoto ou filial