Hantera hybridarbetsbelastningar i Azure med Windows Admin Center

Den här referensarkitekturen visar hur du utformar en Windows Admin Center-hybridlösning för att hantera arbetsbelastningar som finns lokalt och i Microsoft Azure. Den här arkitekturen innehåller två scenarier:

• Windows Admin Center distribuerat till en virtuell dator (VM) i Azure.
• Windows Admin Center distribuerat till en server (fysisk eller virtuell) lokalt.

Arkitektur

Det första diagrammet illustrerar Windows Admin Center som distribuerats till en virtuell dator i Azure.

Det andra diagrammet illustrerar Windows Admin Center som distribuerats lokalt.

Ladda ned en Visio-fil med alla arkitekturdiagram i den här artikeln.

Workflow

Arkitekturen består av följande:

• Lokalt företagsnätverk. Ett privat lokalt nätverk som körs inom en organisation.
• Lokal företagsbrandvägg. En organisationsbrandvägg som konfigurerats för att ge användare åtkomst till Windows Admin Center-gatewayen när gatewayen distribueras lokalt.
• Virtuell Windows-dator. En virtuell Windows-dator installerad med Windows Admin Center-gatewayen som är värd för webbtjänster som användarna kan ansluta till.
• Microsoft Entra-app. En app som används för alla azure-integreringsplatser i Windows Admin Center, inklusive Microsoft Entra-autentisering till gatewayen.
• Hanterade noder. Noder som hanteras av Windows Admin Center, som kan innehålla fysiska servrar som kör Azure Stack, Windows Server eller virtuella datorer som kör Windows Server.
• VPN eller ExpressRoute. Ett PLATS-till-plats-VPN (S2S) eller ExpressRoute för att hantera noder lokalt när Windows Admin Center distribueras i Azure.
• Azure-nätverkskort. Ett kort för en punkt-till-plats-VPN (P2S) till Azure när Windows Admin Center distribueras lokalt. Windows Admin Center kan automatiskt distribuera adaptern och även skapa en Azure-gateway.
• Domain Name System (DNS). En DNS-post som användarna refererar till för att ansluta till Windows Admin Center-gatewayen.

Komponenter

• Windows Admin Center är en webbläsarbaserad hanteringsverktygsuppsättning som ger dig fullständig kontroll över alla aspekter av serverinfrastrukturen och är särskilt användbart för att hantera servrar i privata nätverk som inte är anslutna till Internet. Den kommer åt servrar via Windows Admin Center-gatewayen som är installerad på Windows Server eller på domänanslutna Windows 10. Gatewayen kan installeras lokalt eller på en virtuell Azure-dator som kör Windows.
• Azure ExpressRoute skapar privata anslutningar mellan Azure-datacenter och infrastruktur lokalt eller i en samlokaliseringsmiljö.
• Azure Virtual Network tillhandahåller säker nätverksinfrastruktur i molnet.
• Azure Virtual Machines tillhandahåller virtuella Linux- och Windows-datorer. I den här lösningen kan du använda den för att tillhandahålla en virtuell Windows-dator för att köra Administrationscenter för Windows.

Information om scenario

Potentiella användningsfall

Vanliga användningsområden för den här arkitekturen inkluderar:

• Organisationer som vill hantera enskilda Windows Server-instanser, hyperkonvergerad infrastruktur eller virtuella Hyper-V-datorer som körs lokalt och i Microsoft Azure.
• Organisationer som vill hantera Windows Server-instanser som hanteras av andra molnleverantörer.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Installationstyper

Du har flera alternativ när du distribuerar Administrationscenter för Windows, inklusive installation på en Windows 10-dator, en Windows-server eller en virtuell Azure-dator. Vilken distributionstyp du väljer beror på dina affärsbehov.

De lokala installationstyperna är:

• Alternativ 1: Lokal klient. Distribuera Windows Admin Center på en Windows 10-klient. Detta är idealiskt för snabba distributioner, testning och improviserade eller småskaliga scenarier.
• Alternativ 2: Gateway-server. Installera på en utsedd gatewayserver som kör Windows Server 2016, Windows Server 2019 eller senare och åtkomst från alla klientwebbläsare med anslutning till gateway-servern.
• Alternativ 3: Hanterad server. Installera direkt på en hanterad server som kör Windows Server 2016, Windows Server 2019 eller senare så att servern kan hantera sig själv eller ett kluster där den hanterade servern är en medlemsnod. Detta är bra för scenarier med distribuerade avdelningskontor.
• Alternativ 4: Redundanskluster. Distribuera i ett redundanskluster för att aktivera hög tillgänglighet för gatewaytjänsten. Detta är bra för produktionsmiljöer för att säkerställa hanteringstjänstens återhämtning.

Eftersom Windows Admin Center inte har några molntjänstberoenden kan vissa organisationer välja att distribuera Windows Admin Center till ett lokalt system för att hantera lokala datorer och sedan aktivera hybridtjänster över tid. Många organisationer föredrar dock att dra nytta av tjänsterbjudanden i Azure och andra molnplattformar som är integrerade med Windows Admin Center.

Distribution av Windows Admin Center på en virtuell Azure-dator ger gatewayfunktioner som liknar Windows Server 2016 och Windows Server 2019. Azure aktiverar dock även ytterligare funktioner för virtuella Azure-datorer. Mer information om fördelarna med att distribuera Windows Admin Center till virtuella Azure-datorer finns i Tillförlitlighet .

Automatiserad distribution

Microsoft tillhandahåller en .msi-fil som du använder för att distribuera Windows Admin Center till en lokal virtuell dator. .msi-filen installerar Windows Admin Center och genererar automatiskt ett självsignerat certifikat eller associerar ett befintligt certifikat baserat på dina önskemål.

När du implementerar Windows Admin Center på en virtuell Azure-dator tillhandahåller Microsoft skriptet Deploy-Windows Admin CenterAzVM.ps1 för att automatiskt distribuera alla nödvändiga resurser. I det här scenariot distribuerar skriptet en ny virtuell Azure-dator med Windows Admin Center installerat och öppnar port 443 på den offentliga IP-adressen. Skriptet kan också distribuera Windows Admin Center till en befintlig virtuell Azure-dator. När du kör skriptet kan du använda variabler för att ange resursgruppen, namnet på det virtuella nätverket, namnet på den virtuella datorn, platsen och många andra alternativ.

Topologirekommendationer

Du kan implementera Windows Admin Center på alla befintliga eller nya virtuella datorer som finns lokalt eller i Azure, men Microsoft rekommenderar att du distribuerar Windows Admin Center-gateway på en virtuell Windows Server 2019 Azure-dator. Med det automatiserade distributionsalternativ som beskrevs tidigare kan du implementera Windows Admin Center på en virtuell Azure-dator snabbare samtidigt som du skyddar din miljö. I stället för att distribuera Windows Admin Center på en lokal virtuell dator kan du minimera de konfigurationsändringar som krävs för en lokal brandvägg och ett lokalt nätverk.

När du distribuerar lokalt kan du använda Windows Administrationscenter för att skapa hybridanslutningen till Azure. Hybridanslutningen, som kallas ett Azure-nätverkskort, är ett P2S VPN till Azure som gör att Windows Admin Center kan komma åt hybridmolnfunktioner. Den här processen skapar också automatiskt en Azure-gateway för VPN-anslutningen. Mer information finns i Om punkt-till-plats-VPN.

Du bör också konfigurera Windows Admin Center-gatewayen för hög tillgänglighet. Detta hjälper till att säkerställa att hantering av system och tjänster förblir tillgängliga vid oväntade fel. Azure tillhandahåller flera tjänsterbjudanden för dessa scenarier oavsett om Windows Admin Center-gatewayen distribueras till en lokal eller virtuell Azure-dator. Mer information finns i Tillgänglighetsöverväganden.

Certifikatrekommendationer

Windows Admin Center-gateway är ett webbaserat verktyg som använder ett SSL-certifikat (Secure Sockets Layer) för att kryptera webbtrafik för administratörer som använder gatewayen. Med Windows Admin Center kan du använda ett SSL-certifikat som en betrodd certifikatutfärdare från tredje part har skapat från ett självsignerat certifikat. Du får en varning när du försöker ansluta från en webbläsare om du väljer det senare alternativet. Därför rekommenderar vi att du endast använder självsignerade certifikat för testmiljöer.

Administrativa rekommendationer

Att distribuera Windows Admin Center på en lokal Windows 10-klient är bra för snabbstartstester och ad hoc- eller småskaliga scenarier. För produktionsscenarier med flera administratörer rekommenderar vi dock Windows Server. När det distribueras på Windows Server tillhandahåller Windows Administrationscenter en central hanteringshubb för din servermiljö med ytterligare funktioner som smartkortautentisering, villkorlig åtkomst och multifaktorautentisering. Mer information om hur du styr åtkomsten till Administrationscenter för Windows finns i Alternativ för användaråtkomst med Windows Administrationscenter.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

• Du kan hjälpa till att säkerställa hög tillgänglighet för Windows Admin Center-gatewaytjänsten genom att distribuera den i en aktiv/passiv modell i ett redundanskluster. I det här scenariot är endast en instans av Windows Admin Center-gatewaytjänsten aktiv. Om en av noderna i klustret misslyckas redundansväxlar gatewaytjänsten för Windows Admin Center sömlöst till en annan nod.

  Varning

  Distribution av Windows Admin Center på en Windows 10-klientdator ger inte hög tillgänglighet eftersom gatewayfunktioner inte ingår i Windows 10-distributionen. Distribuera Windows Admin Center-gatewayen till Windows Server 2016 eller Windows Server 2019.

• För att säkerställa hög tillgänglighet för Windows Admin Center-data vid ett nodfel konfigurerar du en klusterdelad volym (CSV) där Windows Admin Center lagrar beständiga data som alla noder i klusteråtkomsten till. Du kan distribuera redundansklustret för Windows Admin Center-gatewayen med hjälp av ett automatiserat distributionsskript. Skriptet Install-WindowsAdminCenterHA.ps1 distribuerar automatiskt redundansklustret, konfigurerar IP-adresser för klustertjänsten, installerar Windows Admin Center-gateway, konfigurerar portnumret för gatewaytjänsten och konfigurerar webbtjänsten med lämpligt certifikat.

  Dricks

  Mer information om hur du använder det automatiserade distributionsskriptet finns i Distribuera Windows Admin Center med hög tillgänglighet.

• Distribution av Windows Admin Center-gateway till en virtuell Azure-dator ger ytterligare alternativ för hög tillgänglighet. Genom att till exempel använda tillgänglighetsuppsättningar kan du tillhandahålla redundans och tillgänglighet för virtuella datorer i ett Azure-datacenter genom att distribuera de virtuella datorerna över flera maskinvarunoder. Du kan också använda tillgänglighetszoner i Azure, vilket ger feltolerans för datacenter. Tillgänglighetszoner är unika fysiska platser som sträcker sig över datacenter i en Azure-region. Detta säkerställer att virtuella Azure-datorer har oberoende ström, kylning och nätverk. Mer information om hög tillgänglighet finns i Tillgänglighetsalternativ för virtuella datorer i Azure och Hög tillgänglighet och haveriberedskap för IaaS-appar.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

• När du distribuerar Windows Admin Center får din organisation ett centraliserat hanteringsgränssnitt för din servermiljö. Genom att styra åtkomsten till Windows Administrationscenter kan du förbättra säkerheten i ditt hanteringslandskap.
• Windows Admin Center innehåller flera funktioner som hjälper dig att skydda din hanteringsplattform. Till att börja med kan Windows Admin Center-gatewayautentisering använda lokala grupper, Active Directory-domän Services (AD DS) och molnbaserat Microsoft Entra-ID. Du kan också framtvinga smartkortautentisering genom att ange ytterligare en obligatorisk grupp för smartkortsbaserade säkerhetsgrupper. Och genom att kräva Microsoft Entra-autentisering för gatewayen kan du använda andra Microsoft Entra-säkerhetsfunktioner som villkorlig åtkomst och Microsoft Entra-multifaktorautentisering.
• Åtkomst till Windows Admin Center-gatewayen innebär inte åtkomst till de målservrar som görs synliga av gatewayen. För att hantera en målserver måste användarna ansluta med autentiseringsuppgifter som ger administratörsbehörighet på de servrar som de vill hantera. Vissa användare kanske dock inte behöver administrativ åtkomst för att utföra sitt ansvar. I det här scenariot kan du använda rollbaserad åtkomstkontroll (RBAC) i Windows Admin Center för att ge dessa användare begränsad åtkomst till servrar i stället för att ge dem fullständig administrativ åtkomst.

  Kommentar

  Om du har distribuerat en lokal lösning för administratörslösenord (LAPS) i din miljö använder du LAPS-autentiseringsuppgifter via Administrationscenter för Windows för att autentisera med en målserver.

• I Windows Admin Center fungerar RBAC genom att konfigurera varje hanterad server med en Windows PowerShell-slutpunkt för rättvis administration . Den här slutpunkten definierar rollerna, inklusive vilka delar av systemet som varje roll kan hantera och vilka användare som tilldelas till rollerna. När en användare ansluter till slutpunkten skapar RBAC ett tillfälligt lokalt administratörskonto för att hantera systemet åt dem och tar automatiskt bort kontot när användaren slutar hantera servern via Administrationscenter för Windows. Mer information finns i Just Enough Administration.
• Windows Administrationscenter ger också insyn i de hanteringsåtgärder som utförs i din miljö. Windows Admin Center registrerar händelser genom loggningsåtgärder till händelsekanalen Microsoft-ServerManagementExperience i händelseloggen för den hanterade servern. På så sätt kan du granska åtgärder som administratörer utför och hjälper dig att felsöka problem med Windows Admin Center och granska användningsstatistik. Mer information om granskning finns i Använda händelseloggning i Windows Administrationscenter för att få insikt i hanteringsaktiviteter och spåra gatewayanvändning.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

• För lokala distributioner kostar Windows Administrationscenter ingenting utöver kostnaden för Windows-operativsystemet, vilket kräver giltiga Windows Server- eller Windows 10-licenser.
• För Azure-distributioner planerar du kostnader som är associerade med att distribuera Windows Admin Center till en virtuell Azure-dator. En del av dessa kostnader kan vara den virtuella datorn, lagringen, statiska eller offentliga IP-adresser (om de är aktiverade) och eventuella nätverkskomponenter som krävs för integrering med lokala miljöer. Dessutom kan du behöva planera för kostnaden för att köpa ca-certifikat som inte kommer från Microsoft.

Driftsäkerhet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

Hanterbarhet

• Åtkomsten till hanteringsverktyget för Windows Admin Center beror på installationstypen. I ett lokalt klientscenario öppnar du till exempel Administrationscenter för Windows från Start-menyn och ansluter till det från en klientwebbläsare genom att https://localhost:6516öppna . I andra scenarier där du distribuerar Windows Admin Center-gatewayen till en fönsterserver kan du ansluta till Windows Admin Center-gatewayen från en klientwebbläsare genom att komma åt url:en för servernamnet, till exempel https://servername.contoso.com, eller URL:en för klusternamnet.
• När det distribueras på Windows Server tillhandahåller Administrationscenter för Windows en central hanteringsplats för din servermiljö. Windows Administrationscenter innehåller hanteringsverktyg för många vanliga scenarier och verktyg, inklusive:
  • Certifikathantering
  • Loggboken
  • Utforskaren
  • Nätverksinställningar
  • Anslutning till fjärrskrivbord
  • Windows PowerShell
  • Brandväggshantering
  • Registerredigering
  • Aktivera och inaktivera roller och funktioner
  • Hantera installerade appar och enheter
  • Hantera schemalagda aktiviteter
  • Konfigurera lokala användare och grupper
  • Hantera Windows-tjänster
  • Hantera lagring
  • Hantera Windows Update

En fullständig lista över serverhanteringsfunktioner finns i Hantera servrar med Windows Admin Center.

• Windows Administrationscenter har stöd för hantering av redundanskluster och klusterresurser, hantering av virtuella Hyper-V-datorer och virtuella växlar samt hantering av Windows Server Storage Replica. Förutom att använda Windows Admin Center för att hantera och övervaka en befintlig hyperkonvergerad infrastruktur kan du även använda Windows Admin Center för att distribuera en ny hyperkonvergerad infrastruktur. Genom att använda ett arbetsflöde för flera steg vägleder Windows Administrationscenter dig genom att installera funktioner, konfigurera nätverk, skapa ett kluster och distribuera Lagringsdirigering och programvarudefinierade nätverk. Mer information finns i Hantera hyperkonvergerad infrastruktur med Windows Administrationscenter.

  Kommentar

  Du kan använda Windows Admin Center för att hantera Microsoft Hyper-V Server 2016 eller Microsoft Hyper-V Server 2019 (den kostnadsfria Microsoft-virtualiseringsprodukten).

• Verktyget Azure Hybrid Services i Windows Admin Center tillhandahåller en central plats för alla integrerade Azure-tjänster. Du kan använda Azure-hybridtjänster för att skydda virtuella datorer i Azure och lokalt med molnbaserad säkerhetskopiering och haveriberedskap. Du kan också utöka den lokala kapaciteten med lagring och beräkning i Azure, och du kan förenkla nätverksanslutningen till Azure. Med hjälp av moln intelligenta Azure-hanteringstjänster kan du centralisera övervakning, styrning, konfiguration och säkerhet i dina program, nätverk och infrastruktur.

DevOps

• Windows Admin Center har skapats för utökningsbarhet så att Microsoft och andra utvecklare kan skapa verktyg och lösningar utöver de aktuella erbjudandena. Windows Administrationscenter tillhandahåller en utökningsbar plattform där varje anslutningstyp och verktyg är ett tillägg som du kan installera, avinstallera och uppdatera individuellt. Microsoft erbjuder ett programutvecklingspaket (SDK) som gör det möjligt för utvecklare att skapa egna verktyg för Windows Admin Center.
• Du kan skapa Windows Admin Center-tillägg med moderna webbtekniker, inklusive HTML5, CSS, Angular, TypeScript och jQuery, för att hantera målservrar via Windows PowerShell eller Windows Management Instrumentation. Du kan också hantera målservrar, tjänster och enheter över olika protokoll, till exempel REST (Representational State Transfer) genom att skapa ett gateway-plugin-program för Windows Admin Center.

  Dricks

  Mer information om hur du använder SDK för att utveckla tillägg för Windows Admin Center finns i Tillägg för Windows Admin Center.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Mike Martin | Senior Cloud Solution Architect

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Mer om Azure Automation:

• Installera Administrationscenter för Windows
• Förhandsversion: Använd Windows Admin Center i Azure-portalen för att hantera en virtuell Windows Server-dator
• Distribuera Windows Admin Center manuellt i Azure för att hantera flera servrar
• Anslut hybriddatorer till Azure från Administrationscenter för Windows

Relaterade resurser

• Anslut fristående servrar med hjälp av Azure Network Adapter
• Använda Azure Stack HCI-stretchkluster för haveriberedskap
• Hantera konfigurationer för Azure Arc-aktiverade servrar
• Använda växellös anslutning i Azure Stack HCI och enkelt kvorum för fjärrkontor eller avdelningskontor