Versão preliminar: Práticas recomendadas do Gerenciamento Automatizado do Azure para máquinas virtuais

Este artigo aborda informações sobre as práticas recomendadas do Gerenciamento Automatizado do Azure para máquinas virtuais, que oferece os seguintes benefícios:

  • Integra de forma inteligente máquinas virtuais para selecionar os serviços de práticas recomendadas para o Azure
  • Configurar automaticamente cada serviço de acordo com as práticas recomendadas para o Azure
  • Dá suporte à personalização de serviços de práticas recomendadas
  • Monitora o descompasso e corrige quando detectado
  • Fornece uma experiência simples (apontar, clicar, definir, esquecer)

Visão geral

As práticas recomendadas do Gerenciamento Automatizado do Azure para máquinas virtuais são um serviço que elimina a necessidade de descobrir, saber como integrar e como configurar determinados serviços no Azure que poderiam beneficiar a máquina virtual. Esses serviços são considerados como serviços de práticas recomendadas para o Azure e ajudam a aprimorar a confiabilidade, a segurança e o gerenciamento de máquinas virtuais. Os serviços de exemplo incluem o Gerenciamento de Atualizações do Azure e o Backup do Azure.

Depois da integração das máquinas virtuais ao Gerenciamento Automatizado do Azure, cada serviço de prática recomendada será definido com as configurações recomendadas. No entanto, se quiser personalizar os serviços e as configurações de prática recomendada, você poderá usar a opção Perfil Personalizado.

O Gerenciamento Automatizado do Azure também monitora automaticamente o descompasso e corrige quando detectado. Isso significa que, se a máquina virtual ou servidor habilitado para Arc estiver integrada ao Gerenciamento Automatizado do Azure, nós monitoraremos sua máquina virtual para garantir que ela continue em conformidade com seu perfil de configuração durante todo o ciclo de vida. Se a máquina virtual apresentar descompasso ou desviar dessas práticas (por exemplo, se um serviço for removido), faremos a correção e a traremos de volta ao estado desejado.

O gerenciamento automatizado não armazena/processa dados do cliente fora da geografia na qual suas VMs estão localizadas. Na região Sudeste da Ásia, o Gerenciamento Automatizado não armazena/processa dados fora do Sudeste da Ásia.

Observação

O Gerenciamento Automatizado pode ser habilitado em máquinas virtuais do Azure, bem como em servidores habilitados para Azure Arc. No momento, o Gerenciamento Automatizado não está disponível na Nuvem do Governo dos EUA.

Pré-requisitos

Há vários pré-requisitos que devem ser considerados antes de tentar habilitar o Gerenciamento Automatizado do Azure nas máquinas virtuais.

  • Versões do Windows Server e distribuições Linux com suporte
  • As VMs devem estar em uma região com suporte (veja abaixo)
  • O usuário deve ter as permissões corretas (veja abaixo)
  • No momento, o Gerenciamento Automatizado não dá suporte a assinaturas de área restrita
  • No momento, o Gerenciamento Automatizado não dá suporte a imagens de cliente do Windows

Regiões com suporte

O Gerenciamento Automatizado só dá suporte a VMs localizadas nas seguintes regiões:

  • Europa Ocidental
  • Norte da Europa
  • Centro dos EUA
  • Leste dos EUA
  • Leste dos EUA 2
  • Oeste dos EUA
  • Oeste dos EUA 2
  • Canadá Central
  • Centro-Oeste dos EUA
  • Centro-Sul dos Estados Unidos
  • Leste do Japão
  • Sul do Reino Unido
  • Leste da Austrália
  • Sudeste da Austrália
  • Sudeste Asiático

Permissões RBAC necessárias

Para a integração, o Gerenciamento Automatizado exigirá funções RBAC ligeiramente diferentes, caso você esteja habilitando o Gerenciamento Automatizado pela primeira vez em uma assinatura.

Se você estiver habilitando o Gerenciamento Automatizado pela primeira vez em uma assinatura:

  • a função Proprietário nas assinaturas que contêm suas máquinas virtuais ou
  • as funções Colaborador e Administrador de Acesso do Usuário nas assinaturas que contêm as máquinas virtuais

Se você estiver habilitando o Gerenciamento Automatizado em uma máquina virtual em uma assinatura que já tenha máquinas de Gerenciamento Automatizado:

  • função Colaborador no grupo de recursos que contém suas máquinas virtuais

O serviço Gerenciamento Automatizado concederá a permissão Colaborador a este aplicativo interno (ID do aplicativo da API de Gerenciamento Automatizado: d828acde-4b48-47f5-a6e8-52460104a052) para executar ações em máquinas virtuais com Gerenciamento Automatizado. Os usuários convidados precisarão ter a função de leitor de diretório atribuída para habilitar o Gerenciamento Automatizado.

Observação

Se quiser usar o Gerenciamento Automatizado em uma VM conectada a um espaço de trabalho em uma assinatura diferente, você deverá ter as permissões descritas acima em cada assinatura.

Serviços participantes

Intelligently onboard services.

Para obter a lista completa de serviços do Azure participantes, bem como o perfil compatível, confira:

Nós integraremos você automaticamente a esses serviços participantes quando você usar os Perfis de Configuração de Práticas Recomendadas. Eles são essenciais para nosso white paper de práticas recomendadas, que você pode encontrar no Cloud Adoption Framework.

Habilitar o Gerenciamento Automatizado para máquinas VMs no portal do Azure

No portal do Azure, você pode habilitar o Gerenciamento Automatizado em uma máquina virtual existente. Para etapas concisas para esse processo, confira o Início rápido de Gerenciamento Automatizado para máquinas virtuais.

Se for a primeira vez que habilita o Gerenciamento Automatizado para a VM, você poderá pesquisar Gerenciamento Automatizado – práticas recomendadas para máquinas virtuais do Azure no portal do Azure. Clique em Habilitar na VM existente, selecione o perfil de configuração que você deseja usar e, em seguida, selecione as máquinas virtuais que deseja integrar.

No painel de seleção Computador no portal, você observará a coluna Qualificação. Você pode clicar em Mostrar computadores não qualificados para ver os computadores não qualificados para o Gerenciamento Automatizado. Atualmente, os computadores podem ser considerados não qualificados pelos seguintes motivos:

Depois de selecionar os computadores qualificados, clique em Habilitar e pronto.

A única vez em que será necessário interagir com essa VM para gerenciar esses serviços será quando tentarmos corrigir a VM, mas não conseguirmos. Se conseguirmos corrigir a VM, vamos colocá-la de volta em conformidade sem nem mesmo alertá-lo. Para obter mais detalhes, confira Status das VMs.

Habilitar o Gerenciamento Automatizado para VMs usando o Azure Policy

Você também pode habilitar o Gerenciamento Automatizado em VMs em escala usando o Azure Policy interno. A política tem um efeito DeployIfNotExists, o que significa que todas as VMs qualificadas localizadas no escopo da política serão automaticamente integradas às práticas recomendadas de Gerenciamento Automatizado para VM.

Um link direto para a política está aqui.

Para saber mais, confira como habilitar a política interna do Gerenciamento Automatizado.

Perfil de configuração

Quando você estiver habilitando o Gerenciamento Automatizado para sua máquina virtual, será necessário um perfil de configuração. Os perfis de configuração são a base desse serviço. Eles definem em quais serviços nós integramos os computadores e, até certo ponto, qual será a configuração desses serviços.

Perfis de Configuração de Práticas Recomendadas

Há dois perfis de configuração de práticas recomendadas disponíveis no momento.

  • O perfil Desenvolvimento/Teste foi projetado para máquinas de Desenvolvimento/Teste.
  • O perfil Produção é para produção.

O motivo desse diferenciador é porque certos serviços são recomendados com base na carga de trabalho em execução. Por exemplo, em um computador de produção, integraremos você automaticamente ao Backup do Azure. No entanto, para um computador de Desenvolvimento/Teste, um serviço de backup seria um custo desnecessário, uma vez que os computadores de Desenvolvimento/Teste normalmente têm um impacto menor nos negócios.

Perfis personalizados

Os perfis personalizados permitem que você personalize os serviços e as configurações que deseja aplicar às suas máquinas virtuais. Essa será uma ótima opção se os seus requisitos de TI forem diferentes das práticas recomendadas. Por exemplo, se não quiser usar a solução Microsoft Antimalware porque sua organização de TI exige o uso de uma solução antimalware diferente, você poderá simplesmente desativar o Microsoft Antimalware ao criar um perfil personalizado.

Observação

No perfil de configuração Desenvolvimento/Teste de Práticas Recomendadas, não faremos backup da VM.

Observação

Se quiser alterar o perfil de configuração de uma máquina virtual, você simplesmente poderá reabilitá-la com o perfil de configuração desejado. No entanto, se o status da sua máquina virtual for "Precisa de Atualização", você precisará desabilitar primeiro e depois reabilitar o Gerenciamento Automatizado.

Para obter a lista completa de serviços participantes do Azure e consultar se eles dão suporte a preferências, confira:

Status das VMs

No portal do Azure, vá para a página Gerenciamento Automatizado – práticas recomendadas para máquinas virtuais do Azure, que lista todas as máquinas virtuais gerenciadas de forma automatizada. Aqui você verá o status geral de cada computador.

List of configured virtual machines.

Para cada máquina virtual listada, os seguintes detalhes serão exibidos: Nome, Perfil de configuração, Status, Tipo de recurso, Grupo de recursos, Assinatura.

A coluna Status pode exibir os seguintes estados:

  • Em andamento – a VM acabou de ser habilitada e está sendo configurada
  • Compatível – a VM está configurada e nenhum descompasso foi detectado
  • Não compatível - a VM entrou em descompasso e não foi possível corrigi-la ou a máquina está desligada e o Gerenciamento Automatizado tentará integrar ou corrigir a VM na próxima vez em que ela estiver em execução
  • Precisa de atualização - a VM está integrada a uma versão anterior do Gerenciamento Automatizado e precisa ser atualizada para a versão mais recente
  • Erro – o serviço de Gerenciamento Automatizado não consegue monitorar um ou mais recursos

Se vir o Status como Não compatível ou Erro, solucione o problema clicando no status no portal e usando os links de solução de problemas fornecidos

Desabilitar o Gerenciamento Automatizado para VMs

Em algum momento, você pode decidir desabilitar o Gerenciamento Automatizado em determinadas VMs. Por exemplo, o computador está executando um carga de trabalho segura muito confidencial e você precisa bloqueá-la ainda mais do que o Azure teria feito naturalmente, então você precisa configurar o computador fora das práticas recomendadas do Azure.

Para isso, no portal do Azure, vá para a página Gerenciamento Automatizado – práticas recomendadas para máquinas virtuais do Azure, que lista todas as VMs gerenciadas de forma automatizada. Marque a caixa de seleção ao lado da máquina virtual na qual você deseja desabilitar o Gerenciamento Automatizado e clique no botão Desabilitar Gerenciamento Automatizado.

Disabling Automanage on a virtual machine.

Leia atentamente as mensagens no pop-up resultante antes de concordar em Desabilitar.

Observação

A desabilitação do gerenciamento automatizado em uma VM resulta no seguinte comportamento:

  • A configuração da VM e os serviços aos quais ela está integrada não são alterados.
  • Encargos incorridos por esses serviços permanecem faturáveis e continuam a ser cobrados.
  • O monitoramento de descompasso no gerenciamento automatizado é interrompido imediatamente.

Antes de mais nada, não removeremos a integração da máquina virtual de nenhum dos serviços aos quais ela foi integrada e configurada. Portanto, encargos incorridos por esses serviços continuarão sendo faturáveis. Se necessário, você precisará desfazer a integração. Todos os comportamentos do Gerenciamento Automatizado serão interrompidos imediatamente. Por exemplo, não monitoraremos mais a VM para descompasso.

Gerenciamento Automatizado e Azure Disk Encryption

O Gerenciamento Automatizado é compatível com as VMs que possuem o ADE (Azure Disk Encryption) habilitado.

Se você estiver usando o ambiente de Produção, você também será integrado ao Backup do Azure. Há um pré-requisito para usar com êxito o ADE e o Backup do Azure:

  • Antes de integrar sua VM habilitada para ADE ao ambiente de Produção do Gerenciamento Automatizado, verifique se você seguiu as etapas localizadas na seção Antes de começardeste documento.

Próximas etapas

Neste artigo, você aprendeu que o Gerenciamento Automatizado para máquinas virtuais fornece um meio que elimina a necessidade de conhecer, integrar e configurar os serviços de práticas recomendadas do Azure. Além disso, se uma máquina virtual que você integrou ao Gerenciamento Automatizado para máquinas virtuais entrar em descompasso com o perfil de configuração, nós a deixaremos compatível novamente.

Tente habilitar o Gerenciamento Automatizado para máquinas virtuais do Azure ou servidores habilitados para Arc no portal do Azure.