Düzenle

Azure Arc özellikli sunucular için yapılandırmaları yönetme

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

Bu başvuru mimarisi, Azure Arc'ın şirket içi, çoklu bulut ve uç senaryolarında sunucuları yönetmenize, yönetmenize ve güvenli bir şekilde korumanıza nasıl olanak sağladığını ve BT Uzmanları için Azure Arc Jumpstart ArcBox uygulamasını temel alarak nasıl sağladığını gösterir. ArcBox, Azure Arc ile ilgili her şey için kolay dağıtılacak bir korumalı alan sağlayan bir çözümdür. BT Uzmanları için ArcBox, bir korumalı alan ortamında Azure Arc özellikli sunucu özelliklerini deneyimlemek isteyen kullanıcılara yönelik bir ArcBox sürümüdür.

Mimari

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

Bu mimarinin PowerPoint dosyasını indirin.

Components

Mimari aşağıdaki bileşenlerden oluşur:

  • Azure Kaynak Grubu, bir Azure çözümü için ilgili kaynakları barındıran bir kapsayıcıdır. Kaynak grubu bir çözümün tüm kaynaklarını veya yalnızca grup olarak yönetmek istediğiniz kaynakları içerebilir.
  • ArcBox çalışma kitabı , ArcBox kaynaklarını izlemek ve raporlamak için tek bir bölme sağlayan bir Azure İzleyici çalışma kitabıdır. Çalışma kitabı, Azure portalında veri analizi ve görselleştirme için esnek bir tuval görevi görür ve ArcBox genelindeki çeşitli veri kaynaklarından bilgi toplayarak bunları tümleşik bir etkileşimli deneyimde birleştirir.
  • Azure İzleyici , Azure'da, şirket içinde veya diğer bulutlarda çalışan sistemler için performansı ve olayları izlemenizi sağlar.
  • Konuk yapılandırmasını Azure İlkesi hem Azure'da çalışan makineler hem de şirket içinde veya diğer bulutlarda çalışan Arc özellikli sunucular için işletim sistemlerini ve makine yapılandırmasını denetleyebiliyor.
  • Azure Log Analytics, Azure portalında Azure İzleyici Günlükleri tarafından toplanan verilerden günlük sorgularını düzenlemeye ve çalıştırmaya ve bunların sonuçlarını etkileşimli olarak analiz etmeye yönelik bir araçtır. Log Analytics sorgularını belirli ölçütlere uyan kayıtları almak, eğilimleri belirlemek, desenleri analiz etmek ve verilerinizden çeşitli içgörüler sağlamak için kullanabilirsiniz.
  • Bulut için Microsoft Defender bir bulut güvenliği duruş yönetimi (CSPM) ve bulut iş yükü koruması (CWP) çözümüdür. Bulut için Microsoft Defender bulut yapılandırmanızda zayıf noktalar bulur, ortamınızın genel güvenlik duruşunu güçlendirmeye yardımcı olur ve çok bulutlu ve karma ortamlardaki iş yüklerini gelişen tehditlere karşı koruyabilir.
  • Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.
  • Azure Arc özellikli sunucular , Azure'ı şirket ağınızdaki Azure dışında barındırılan Windows ve Linux makinelerinize bağlamanıza olanak tanır. Bir sunucu Azure'a bağlandığında Arc özellikli bir sunucu olur ve Azure'da bir kaynak olarak değerlendirilir. Arc özellikli her sunucunun bir Kaynak Kimliği, yönetilen sistem kimliği vardır ve abonelik içindeki bir kaynak grubunun parçası olarak yönetilir. Arc özellikli sunucular envanter, ilke, etiketler ve Azure Lighthouse gibi standart Azure yapılarından yararlanıyor.
  • Hyper-V iç içe sanallaştırma , Bt Uzmanları için Jumpstart ArcBox tarafından bir Azure sanal makinesinin içinde Windows Server sanal makinelerini barındırmak için kullanılır. Bu, donanım gereksinimleri olmadan fiziksel Windows Server makinelerini kullanma deneyimiyle aynı deneyimi sağlar.
  • Azure Sanal Ağ, Azure Kaynak Grubu içindeki bileşenlerin sanal makineler gibi iletişim kurmasını sağlayan özel bir ağ sağlar.

Senaryo ayrıntıları

Olası kullanım örnekleri

Bu mimarinin tipik kullanımları şunlardır:

  • Birden çok ortamda büyük sanal makine (VM) gruplarını ve sunucuları düzenleyin, idare edin ve envanterini oluşturun.
  • Azure İlkesi ile kuruluş standartlarını zorunlu kılın ve tüm kaynaklarınız için uygun ölçekte uyumluluğu değerlendirin.
  • Desteklenen VM uzantılarını Arc özellikli sunuculara kolayca dağıtın.
  • Birden çok ortamda barındırılan VM'ler ve sunucular için Azure İlkesi yapılandırın ve uygulayın.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Azure Arc Bağlan ed Machine aracıyı yapılandırma

Windows veya Linux çalıştıran diğer fiziksel veya sanal makineleri Azure Arc'a bağlayabilirsiniz. Makineleri eklemeden önce, Azure Arc özellikli sunucular için Azure kaynak sağlayıcılarını kaydetmeyi içeren Bağlan makine aracısı önkoşullarını tamamladığınızdan emin olun. Azure Arc'ı kullanarak makineyi Azure'a bağlamak için Azure Arc kullanarak bağlanmayı planladığınız her makineye Azure Bağlan Makine aracısını yüklemeniz gerekir. Daha fazla bilgi için bkz. Azure Arc özellikli sunucular aracısı genel bakış.

yapılandırıldıktan sonra, Bağlan Makine aracısı Azure'a her beş dakikada bir düzenli bir sinyal iletisi gönderir. Sinyal alınmadığında Azure, 15-30 dakika içinde portala yansıtılan makine Çevrimdışı durumunu atar. Bağlan makine aracısından sonraki bir sinyal iletisi alındığında, durumu otomatik olarak Bağlan olarak değişir.

Azure'da Windows ve Linux makinelerinizi bağlamak için kullanabileceğiniz çeşitli seçenekler vardır:

  • El ile yükleme: Azure Arc özellikli sunucular, Windows Yönetici Center araç kümesi kullanılarak veya el ile bir dizi adım gerçekleştirilerek ortamınızdaki bir veya birkaç Windows veya Linux makinesi için etkinleştirilebilir.
  • Betik tabanlı yükleme: Azure portalından indirdiğiniz bir şablon betiğini çalıştırarak otomatik aracı yüklemesi gerçekleştirebilirsiniz.
  • Bir hizmet sorumlusunu kullanarak makineleri uygun ölçekte Bağlan: Büyük ölçekte ekleme yapmak için bir hizmet sorumlusu kullanın ve kuruluşunuzda mevcut otomasyon aracılığıyla dağıtın.
  • Windows PowerShell DSC kullanarak yükleme

Kullanılabilir çeşitli dağıtım seçenekleriyle ilgili kapsamlı belgeler için Azure Bağlan ed Machine agent dağıtım seçeneklerine başvurun.

Azure İlkesi konuk yapılandırmasını etkinleştirme

Azure Arc özellikli sunucular, Azure kaynak yönetimi katmanında ve konuk yapılandırma ilkelerini kullanarak tek tek sunucu makinesinde Azure İlkesi destekler. Azure İlkesi konuk yapılandırması, hem Azure'da çalışan makineler hem de Arc özellikli sunucular için bir makine içindeki ayarları denetleyebilir. Örneğin şu ayarları denetleyebilirsiniz:

  • İşletim sistemi yapılandırması
  • Uygulama yapılandırması veya varlığı
  • Ortam ayarları

Azure Arc için birkaç Azure İlkesi yerleşik tanımı vardır. Bu ilkeler hem Windows hem de Linux tabanlı makineler için denetim ve yapılandırma ayarları sağlar.

Azure Update Management'i etkinleştirme

Güncelleştirme Yönetimi. Arc özellikli sunucular için güncelleştirme yönetimi gerçekleştirebilirsiniz. Azure Otomasyonu güncelleştirme yönetimi, işletim sistemi güncelleştirmelerini yönetmenize ve tüm aracı makinelerinde kullanılabilir güncelleştirmelerin durumunu hızla değerlendirmenize olanak tanır. Ayrıca sunucular için gerekli güncelleştirmeleri yükleme işlemini de yönetebilirsiniz.

Değişiklik İzleme ve Envanter. Arc özellikli sunucular için Azure Otomasyonu Değişiklik İzleme ve Envanter, ortamınızda hangi yazılımların yüklü olduğunu belirlemenize olanak tanır. Yazılım, dosyalar, Linux daemon'ları, Windows hizmetleri ve Windows Kayıt Defteri anahtarları için envanter toplayabilir ve bunları gözlemleyebilirsiniz. Makinelerinizin yapılandırmasını izlemek ortamınızdaki işletimsel sorunları bulmanıza ve makinelerinizin durumunu daha iyi anlamanıza yardımcı olabilir.

Azure Arc özellikli sunucuları izleme

Vm'lerinizi, sanal makine ölçek kümelerinizi ve Azure Arc makinelerinizi büyük ölçekte izlemek için Azure İzleyici'yi kullanabilirsiniz. Azure İzleyici, Windows ve Linux VM'lerinizin performansını ve sistem durumunu analiz eder ve bunların diğer kaynaklara ve dış işlemlere olan işlemlerini ve bağımlılıklarını izler. Şirket içinde veya başka bir bulut sağlayıcısında barındırılan VM'ler için performans ve uygulama bağımlılıklarını izleme desteği sunar.

Azure İzleyici aracıları, Azure İlkesi aracılığıyla Azure Arc özellikli Windows ve Linux sunucularına otomatik olarak dağıtılmalıdır. Log Analytics aracısının dağıtımdan önce nasıl çalıştığını ve veri topladığını gözden geçirin ve anlayın.

Log Analytics çalışma alanı dağıtımınızı tasarlayın ve planlayın. Verilerin toplandığı, toplandığı ve daha sonra analiz edildiği kapsayıcı olacaktır. Log Analytics çalışma alanı verilerinizin coğrafi konumunu, veri yalıtımını ve veri saklama gibi yapılandırmaların kapsamını temsil eder. Bulut Benimseme Çerçevesi en iyi yönetim ve izleme yöntemlerinde açıklandığı gibi tek bir Azure İzleyici Log Analytics çalışma alanı kullanın.

Azure Arc özellikli sunucuların güvenliğini sağlama

Azure Arc özellikli sunucular tarafından yönetilen kimliklerin iznini denetlemek ve yönetmek ve bu kimlikler için düzenli erişim gözden geçirmeleri gerçekleştirmek için Azure RBAC'yi kullanın. Azure kaynaklarına yetkisiz erişim elde etmek için sistem tarafından yönetilen kimliklerin kötüye kullanılmasını önlemek için ayrıcalıklı kullanıcı rollerini kontrol edin.

Azure Arc özellikli sunucularınızdaki sertifikaları yönetmek için Azure Key Vault kullanmayı göz önünde bulundurun. Anahtar kasası VM uzantısı, Windows ve Linux makinelerinde sertifika yaşam döngüsünü yönetmenize olanak tanır.

Azure Arc özellikli sunucuları Bulut için Microsoft Defender Bağlan. Bu, güvenlikle ilgili yapılandırmaları ve olay günlüklerini toplamaya başlamanıza yardımcı olur, böylece eylemler önerebilir ve genel Azure güvenlik duruşunuzu geliştirebilirsiniz.

Azure Arc özellikli sunucuları Microsoft Sentinel'e Bağlan. Bu, güvenlikle ilgili olayları toplamaya ve bunları diğer veri kaynaklarıyla ilişkilendirmeye başlamanıza olanak tanır.

Ağ topolojisi doğrulama

Linux ve Windows için Bağlan Makine aracısı, 443 numaralı TCP bağlantı noktası üzerinden Azure Arc'a giden trafiği güvenli bir şekilde iletir. Bağlan Makine aracısı aşağıdaki yöntemleri kullanarak Azure denetim düzlemine bağlanabilir:

Arc özellikli sunucular uygulamanız için kapsamlı ağ yönergeleri için Azure Arc özellikli sunucular için Ağ topolojisi ve bağlantısına başvurun.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

  • Çoğu durumda, yükleme betiğini oluştururken seçtiğiniz konum, makinenizin konumuna coğrafi olarak en yakın Azure bölgesi olmalıdır. Verilerin geri kalanı belirttiğiniz bölgeyi içeren Azure coğrafyası içinde depolanır ve bu durum veri yerleşimi gereksinimleriniz varsa bölge seçiminizi de etkileyebilir. Bir kesinti, makinenizin bağlı olduğu Azure bölgesini etkilerse kesinti Arc özellikli sunucuyu etkilemez. Ancak Azure kullanan yönetim işlemleri kullanılamayabilir.
  • Coğrafi olarak yedekli bir hizmet sağlayan birden çok konumunuz varsa, bölgesel bir kesinti durumunda dayanıklılık için her konumdaki makineleri farklı bir Azure bölgesine bağlamak en iyisidir.
  • Azure bağlı makine aracısı Azure'a sinyal göndermeyi durdurursa veya çevrimdışı olursa, bu aracı üzerinde işlem görevlerini gerçekleştiremezsiniz. Bu nedenle, bildirimler ve yanıtlar için bir plan geliştirmek gerekir.
  • Kaynakların sistem durumu değiştiğinde neredeyse gerçek zamanlı olarak bildirim almak için kaynak durumu uyarılarını ayarlayın. Ayrıca Azure İlkesi'da iyi durumda olmayan Azure Arc özellikli sunucuları tanımlayan bir izleme ve uyarı ilkesi tanımlayın.
  • Geçerli yedekleme çözümünüzü Azure’a genişletin veya işletmenizin ihtiyaçlarına göre ölçeklendirilen uygulama bakımından duyarlı çoğaltmanızı ve uygulama bakımından tutarlı yedeklememizi kolayca yapılandırın. Azure Backup ve Azure Site Recovery için merkezi yönetim arabirimi, Arc özellikli Windows ve Linux sunucularınızı yerel olarak korumaya, izlemeye ve yönetmeye yönelik ilkeler tanımlamayı kolaylaştırır.
  • Kurumsal gereksinimlerinizin karşılanıp karşılanmadığını belirlemek için iş sürekliliği ve olağanüstü durum kurtarma kılavuzunu gözden geçirin.
  • Çözümünüzle ilgili diğer güvenilirlik konuları, Microsoft Azure İyi Tasarlanmış Çerçeve'nin güvenilirlik tasarımı ilkeleri bölümünde açıklanmıştır.

Güvenlik

  • Arc özellikli sunucular için uygun Azure rol tabanlı erişim denetimi (Azure RBAC) yönetilmelidir. Makineleri eklemek için Azure Bağlan Makine Ekleme rolünün bir üyesi olmanız gerekir. Bir makineyi okumak, değiştirmek, yeniden eklemek ve silmek için Azure Bağlan Makine Kaynağı Yönetici istrator rolünün üyesi olmanız gerekir.
  • Bulut için Microsoft Defender şirket içi sistemleri, Azure VM'lerini, Azure İzleyici kaynaklarını ve hatta diğer bulut sağlayıcıları tarafından barındırılan VM'leri izleyebilir. Güvenlik temeli izleme, güvenlik duruşu yönetimi ve tehdit koruması için Azure Arc özellikli sunucuları içeren tüm abonelikler için sunucular için Microsoft Defender'ı etkinleştirin.
  • Microsoft Sentinel, yerleşik bağlayıcıları kullanarak Azure, şirket içi çözümler ve bulutlar arasında veri toplamayı basitleştirmeye yardımcı olabilir.
  • Bulut için Microsoft Defender'da güvenlik ilkeleri uygulama dahil olmak üzere Arc özellikli sunucularınızda güvenlik ilkelerini yönetmek için Azure İlkesi kullanabilirsiniz. Güvenlik ilkesi, iş yüklerinizin istenen yapılandırmasını tanımlar ve şirketinizin veya düzenleyicilerinizin güvenlik gereksinimleriyle uyumlu olduğunuzdan emin olmanıza yardımcı olur. Bulut için Defender ilkeleri, Azure İlkesi oluşturulan ilke girişimlerini temel alır.
  • Arc özellikli sunucunuza hangi uzantıların yüklenebileceğini sınırlamak için, izin vermek ve sunucuda engellemek istediğiniz uzantı listelerini yapılandırabilirsiniz. Uzantı yöneticisi, uzantının sunucuya yüklenip yüklenebileceğini belirlemek için uzantı yükleme, güncelleştirme veya yükseltme isteklerini izin verilenler listesine ve blok listesine göre değerlendirir.
  • Azure Özel Bağlantı, özel uç noktaları kullanarak Azure PaaS hizmetlerini sanal ağınıza güvenli bir şekilde bağlamanıza olanak tanır. Şirket içi veya çok bulutlu sunucularınızı Azure Arc'a bağlayabilir ve tüm trafiği genel ağları kullanmak yerine Azure ExpressRoute veya siteden siteye VPN bağlantısı üzerinden gönderebilirsiniz. Birden çok sunucunun veya makinenin tek bir özel uç nokta kullanarak Azure Arc kaynaklarıyla iletişim kurmasına izin vermek için bir Özel Bağlantı Kapsamı modeli kullanabilirsiniz.
  • Azure Arc özellikli sunucudaki güvenlik özelliklerine kapsamlı bir genel bakış için Azure Arc özellikli sunucular güvenliğine genel bakış konusuna bakın.
  • Çözümünüzle ilgili diğer güvenlik konuları, Microsoft Azure İyi Tasarlanmış Çerçeve'nin güvenlik tasarımı ilkeleri bölümünde açıklanmıştır.

Maliyet iyileştirme

  • Azure Arc kontrol düzlemi işlevselliği ek ücret ödemeden sağlanır. Buna Azure yönetim grupları ve etiketleri aracılığıyla kaynak düzenleme desteği ve Azure rol tabanlı erişim denetimi (RBAC) aracılığıyla erişim denetimi dahildir. Azure Arc özellikli sunucularla birlikte kullanılan Azure hizmetleri kullanımlarına göre ücrete tabidir.
  • Ek Azure Arc maliyet iyileştirme kılavuzu için Azure Arc özellikli sunucular için Maliyet idaresi'ne başvurun.
  • Çözümünüzle ilgili diğer maliyet iyileştirme konuları, Microsoft Azure İyi Tasarlanmış Çerçeve'nin Maliyet iyileştirme ilkeleri bölümünde açıklanmıştır.
  • Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
  • Bu mimari için BT Uzmanları için Jumpstart ArcBox başvuru uygulamasını dağıtırken ArcBox kaynaklarının temel alınan Azure kaynaklarından Azure Tüketim ücretleri oluşturacağı aklınızda bulundurun. Bu kaynaklar arasında temel işlem, depolama, ağ ve yardımcı hizmetler yer alır.

Operasyonel mükemmellik

  • Arc özellikli sunucu ortamınızın dağıtımını otomatikleştirin. Bu mimarinin başvuru uygulaması, Azure ARM şablonları, VM uzantıları, Azure İlkesi yapılandırmaları ve PowerShell betiklerinin birleşimi kullanılarak tamamen otomatikleştirilmiştir. Bu yapıtları kendi dağıtımlarınız için de yeniden kullanabilirsiniz. Bulut Benimseme Çerçevesi (CAF) ek Arc özellikli sunucular otomasyon kılavuzu için Azure Arc özellikli sunucular için Otomasyon uzmanlık alanları'na başvurun.
  • Azure'da Arc özellikli sunucuların ekleme işlemini otomatikleştirmeye yönelik çeşitli seçenekler vardır. Uygun ölçekte eklemek için bir hizmet sorumlusu kullanın ve kuruluşunuzda mevcut otomasyon platformu aracılığıyla dağıtım yapın.
  • Vm uzantıları, yaşam döngüleri boyunca karma sunucuların yönetimini basitleştirmek için Arc özellikli sunuculara dağıtılabilir. Sunucuları büyük ölçekte yönetirken Azure İlkesi aracılığıyla VM uzantılarının dağıtımını otomatikleştirmeyi göz önünde bulundurun.
  • İşletim sistemi yaşam döngüsü yönetimini kolaylaştırmak için eklenen Azure Arc özellikli sunucularınızda düzeltme eki ve Güncelleştirme Yönetimi'ni etkinleştirin.
  • Azure Arc özellikli sunucular için ek operasyonel mükemmellik senaryoları hakkında bilgi edinmek için Azure Arc Jumpstart Birleşik İşlemler Kullanım Örnekleri'ni gözden geçirin.
  • Çözümünüz için operasyonel mükemmellik konusunda dikkat edilmesi gereken diğer noktalar, Microsoft Azure İyi Tasarlanmış Çerçeve'nin operasyonel mükemmellik tasarım ilkeleri bölümünde açıklanmıştır.

Performans verimliliği

  • Makinelerinizi Azure Arc özellikli sunucularla yapılandırmadan önce, bağlanacak makine sayısını planlamak için Azure Resource Manager abonelik sınırlarını ve kaynak grubu sınırlarını gözden geçirmeniz gerekir.
  • Dağıtım kılavuzunda açıklandığı gibi aşamalı dağıtım yaklaşımı, uygulamanız için kaynak kapasitesi gereksinimlerini belirlemenize yardımcı olabilir.
  • Ayrıntılı analiz ve bağıntı için verileri doğrudan Azure Arc özellikli sunucularınızdan Log Analytics çalışma alanına toplamak için Azure İzleyici'yi kullanın. Azure İzleyici aracıları için dağıtım seçeneklerini gözden geçirin.
  • Çözümünüz için ek performans verimliliği konuları, Microsoft Azure İyi Tasarlanmış Çerçeve'nin Performans verimliliği ilkeleri bölümünde açıklanmıştır.

Bu senaryoyu dağıtın

Bu mimarinin başvuru uygulaması, Arc Jumpstart projesinin bir parçası olarak dahil edilen BT Uzmanları için Jumpstart ArcBox'ta bulunabilir. ArcBox, tek bir Azure aboneliği ve kaynak grubu içinde tamamen kendi içinde olacak şekilde tasarlanmıştır. ArcBox, bir kullanıcının kullanılabilir azure aboneliğinden başka bir şey olmadan tüm kullanılabilir Azure Arc teknolojisiyle uygulamalı deneyim elde etmelerini kolaylaştırır.

Başvuru uygulamasını dağıtmak için aşağıdaki BT Uzmanları için Jumpstart ArcBox düğmesini seçerek GitHub deposundaki adımları izleyin.

BT Uzmanları için Jumpstart ArcBox

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

İlgili mimarileri keşfedin: