Fase 1: Planejamento de pré-requisitos para serviços de gerenciamento de servidor do Azure
Nesta fase, você se familiarizará com o conjunto de serviços de gerenciamento de servidor do Azure e planejará como implantar os recursos necessários para implementar essas soluções de gerenciamento.
Entender as ferramentas e os serviços
Revise as ferramentas e serviços de gerenciamento de servidor do Azure para ter uma visão geral detalhada de:
- As áreas de gerenciamento envolvidas em operações contínuas do Azure.
- Os serviços e ferramentas do Azure que ajudam a dar suporte a você nessas áreas.
Você usará vários desses serviços juntos para atender aos seus requisitos de gerenciamento. Essas ferramentas são referenciadas com frequência ao longo dessas diretrizes.
As seções a seguir discutem o planejamento e a preparação necessários para usar essas ferramentas e serviços.
Planejamento do Workspace do Log Analytics e da Conta de automação
Muitos dos serviços que você usará para integração dos serviços de gerenciamento do Azure exigem um workspace do Log Analytics e uma conta de Automação do Azure vinculada.
Um workspace do Log Analytics é um ambiente exclusivo para dados de log do Azure Monitor. Cada workspace tem seu próprio repositório de dados e configuração. As fontes de dados e as soluções são configuradas para armazenar seus dados em determinados workspaces. As soluções de monitoramento do Azure exigem que todos os servidores estejam conectados a um workspace para que seus dados de log possam ser armazenados e acessados.
Alguns dos serviços de gerenciamento exigem uma conta de Automação do Azure. Você usa essa conta e as funcionalidades da Automação do Azure para integrar serviços do Azure e outros sistemas públicos para implantar, configurar e gerenciar seus processos de gerenciamento de servidor.
Os seguintes serviços de gerenciamento de servidor do Azure exigem um workspace do Log Analytics vinculado e uma conta de Automação:
- Gerenciamento de atualizações
- Controle de Alterações e Inventário
- Hybrid Runbook Worker
- Desired State Configuration
A segunda fase dessas diretrizes se concentra na implantação de serviços e scripts de automação. Ela mostra como criar um workspace do Log Analytics e uma conta de Automação. Essas diretrizes também mostram como usar o Azure Policy para garantir que novas máquinas virtuais sejam conectadas ao workspace correto.
Os exemplos nestas diretrizes consideram uma implantação que ainda não tenha servidores implantados na nuvem. Para saber mais sobre os princípios e considerações envolvidos no planejamento de seus workspaces, consulte Gerenciar dados de log e workspaces no Azure Monitor.
Considerações sobre o planejamento
Ao preparar os workspaces e as contas de que você precisa para integração de serviços de gerenciamento, considere os seguintes problemas:
- Geografias do Azure e conformidade regulatória: As regiões do Azure são organizadas em geografias. Uma geografia do Azure garante que os requisitos de residência, soberania, conformidade e resiliência de dados sejam respeitados dentro de limites geográficos. Se suas cargas de trabalho estão sujeitas à soberania de dados ou a outros requisitos de conformidade, as contas de workspace e automação devem ser implantadas em regiões na mesma geografia do Azure que os recursos de carga de trabalho que elas suportam.
- Número de workspaces: Como um princípio orientador, crie o número mínimo de workspaces necessários por geografia do Azure. Recomendamos pelo menos um workspace para cada geografia do Azure em que os recursos de computação ou armazenamento estão localizados. Esse alinhamento inicial ajuda a evitar problemas regulatórios futuros ao migrar dados para regiões geográficas diferentes.
- Retenção e limitação de dados: Talvez você também precise levar em consideração políticas de retenção de dados ou requisitos de limitação de dados ao criar workspaces ou contas de Automação. Para obter mais informações sobre esses princípios e considerações adicionais ao planejar seus workspaces, consulte Gerenciar dados de log e workspaces no Azure Monitor.
- Mapeamento de região: Somente há suporte para a vinculação de um workspace do Log Analytics e uma conta de Automação do Azure entre determinadas regiões do Azure. Por exemplo, se o workspace do Log Analytics estiver hospedado na região
East US, a conta de Automação vinculada deverá ser criada na regiãoEast US 2a ser usada com os serviços de gerenciamento. Se você tiver uma conta de Automação criada em outra região, ela não poderá vincular a um workspace noEast US. A escolha da região de implantação pode afetar significativamente os requisitos de geografia do Azure. Consulte a tabela de mapeamento de região para decidir qual região deve hospedar seus workspaces e contas de Automação. - Hospedagem múltipla de workspace: O agente do Azure Log Analytics dá suporte a hospedagem múltipla em alguns cenários, mas ele enfrenta várias limitações e desafios ao ser executado nessa configuração. A menos que a Microsoft o tenha recomendado para seu cenário específico, não configure a hospedagem múltipla no agente do Log Analytics.
Exemplos de posicionamento de recursos
Há vários modelos diferentes para escolher a assinatura na qual você coloca o workspace do Log Analytics e a conta de Automação. Em resumo, coloque o workspace e as contas de Automação em uma assinatura pertencente à equipe responsável por implementar a solução de Gerenciamento de Atualizações e o serviço de Controle de Alterações e Inventário.
A seguir estão exemplos de algumas maneiras de implantar workspaces e contas de Automação.
Posicionamento por geografia
Ambientes pequenos e de médio porte têm uma única assinatura e várias centenas de recursos que abrangem várias geografias do Azure. Para esses ambientes, crie um workspace do Log Analytics e uma conta de Automação do Azure em cada geografia.
Você pode criar um workspace e uma conta de Automação do Azure, como um par, em cada grupo de recursos. Em seguida, implante o par na geografia correspondente às máquinas virtuais.
Como alternativa, se suas políticas de conformidade de dados não determinarem que os recursos residem em regiões específicas, você poderá criar um par para gerenciar todas as máquinas virtuais. Também recomendamos que você coloque os pares de conta de automação e workspace em grupos de recursos separados para fornecer um RBAC (controle de acesso baseado em função) do Azure mais granular.
O exemplo no diagrama a seguir tem uma assinatura com dois grupos de recursos, cada um localizado em uma geografia diferente:
Posicionamento em uma assinatura de gerenciamento
Ambientes maiores abrangem várias assinaturas e têm uma equipe de TI central que possui monitoramento e conformidade. Para esses ambientes, crie pares de workspaces e contas de Automação em uma assinatura de gerenciamento de TI. Nesse modelo, os recursos de máquina virtual em uma geografia armazenam seus dados no workspace de geografia correspondente na assinatura de gerenciamento de TI. Se as equipes de aplicativos precisam executar tarefas de automação, mas não exigem contas vinculadas de workspace e automação, elas podem criar contas de Automação separadas em suas próprias assinaturas de aplicativo.
Posicionamento descentralizado
Em um modelo alternativo para ambientes grandes, a equipe de desenvolvimento de aplicativos pode ser responsável pela aplicação de patches e gerenciamento. Nesse caso, coloque os pares de conta de automação e workspace nas assinaturas da equipe de aplicativos junto com seus outros recursos.
Criar um workspace e uma conta de automação
Depois de escolher a melhor maneira de colocar e organizar os pares de workspace e conta, certifique-se de ter criado esses recursos antes de iniciar o processo de integração. Os exemplos de automação mostrados posteriormente nestas diretrizes criam um par de workspace e conta de automação para você. No entanto, se você quiser fazer a integração usando o portal do Azure e não tiver um par de conta de Automação e workspace existente, precisará criar um.
Para criar um novo workspace do Log Analytics usando o portal do Azure, confira Criar um workspace. Em seguida, crie uma conta de Automação correspondente para cada workspace seguindo as etapas em Criar uma conta Automação do Azure.
Observação
Quando você cria uma conta de Automação usando o portal do Azure, o portal tenta, por padrão, criar “contas Executar como” para os recursos do Azure Resource Manager e do modelo de implantação clássico. Se você não tiver máquinas virtuais clássicas em seu ambiente e não for o coadministrador na assinatura, o portal criará uma “conta Executar como” para o Resource Manager, mas gerará um erro ao implantar a “conta Executar como” clássica. Se você não pretende dar suporte a recursos clássicos, ignore esse erro.
Você também pode criar “contas Executar como” usando o PowerShell.
Próximas etapas
Saiba como integrar seus servidores aos serviços de gerenciamento de servidor do Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de