您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

为启用 Azure Arc 的服务器管理配置

Arc
监视
策略
Azure 资源管理器
虚拟机

此参考体系结构演示了如何通过 Azure Arc 跨本地、多个云和边缘方案管理、控制和保护服务器。

连接到 Azure 的支持 Arc 的服务器的 Azure Arc 混合服务器拓扑图。

下载此体系结构的 Visio 文件

此体系结构的典型用途包括:

  • 跨多个环境跨多个虚拟机) 和服务器 (Vm 组织、管理和清点大组虚拟机。
  • 在 Azure 策略的任何位置,强制实施组织标准并评估所有资源的符合性。
  • 轻松地将支持的 VM 扩展部署到启用 Arc 的服务器。
  • 为在多个环境中托管的 Vm 和服务器配置和强制实施 Azure 策略。

体系结构

该体系结构包括以下组件:

  • Azure Arc。Azure Arc 使你能够将 Azure 连接到你的企业网络中托管的 Windows 和 Linux 计算机。 当服务器连接到 Azure 时,它将成为启用了 Arc 的服务器,并被视为 Azure 中的资源。 每个启用 Arc 的服务器都有一个资源 ID 和一个托管系统标识,并作为订阅内的资源组的一部分进行管理。 启用 Arc 的服务器受益于标准 Azure 构造,例如清单、策略、标记和 Azure Lighthouse。
  • Azure 策略来宾配置。 对于在 Azure 中运行的计算机和在本地或其他云中运行的启用了 Arc 的服务器,azure 策略来宾配置均可审核操作系统和计算机配置。
  • Azure Monitor。 Azure Monitor 使你能够跟踪在 Azure、本地或其他云中运行的系统的性能和事件。

建议

以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。

将计算机连接到 Azure Arc

可以将运行 Windows 或 Linux 的任何其他物理或虚拟机连接到 Azure Arc。若要使用 Azure Arc 将计算机连接到 Azure,需要在计划使用 Azure Arc 连接的每台计算机上安装 Azure 连接的计算机代理。

配置后,连接的计算机代理每五分钟发送一次普通检测信号消息到 Azure。 未接收到检测信号时,Azure 会分配计算机脱机状态,该状态在15到30分钟内会在门户中反映出来。 收到来自连接的计算机代理的后续检测信号消息后,其状态将自动更改为 "已连接"。

手动安装

您可以通过使用 Windows 管理中心工具集或手动执行一组步骤,为您的环境中的一个或多个 Windows 或 Linux 计算机启用启用了 Azure Arc 的服务器。 你可以从 microsoft 下载中心或microsoft 的包存储库中的 Linux 代理下载Windows 代理 Windows Installer 包

有关详细信息,请参阅 支持 Azure Arc 的服务器代理概述

基于脚本的安装

可以通过运行从 Azure 门户下载的模板脚本来执行自动代理安装。 此脚本可以自动下载和安装两个代理。

这种安装和配置代理的方法要求你在计算机上拥有管理员权限。 你可以在 Linux 或 Windows 上使用根帐户,你可以使用属于本地管理员组成员的帐户。

使用服务主体大规模连接计算机

如果要将计算机连接到已启用 Azure Arc 的服务器,可以使用 Azure Active Directory 服务主体,而不要使用特权身份以交互方式连接计算机。 服务主体是一个特殊的有限管理标识,具有使用 azcmagent 命令将计算机连接到 Azure 所需的最小权限。 使用服务主体比使用较高特权帐户(如租户管理员)更安全,并遵循访问控制安全最佳实践。 仅在载入期间使用服务主体。 有关详细信息,请参阅 大规模将混合计算机连接到 Azure

使用 Windows PowerShell DSC 安装

可以通过使用 Windows PowerShell Desired State Configuration (DSC) 、Windows PowerShell、AzureConnectedMachine DSC 模块和用于载入的服务主体,自动完成 Windows 计算机的代理安装和配置。 有关详细信息,请参阅 如何使用 Windows POWERSHELL DSC 安装连接的计算机代理

管理 VM 扩展

使用启用了 azure Arc 的服务器,可以将受支持的 Azure VM 扩展子集部署到非 Azure Windows 和 Linux Vm,从而在 Azure 和非 Azure Vm 之间提供一致的扩展管理体验。 VM 扩展允许:

  • 使用通过 Log Analytics 代理 VM 扩展启用 Azure Monitor 日志收集用于分析的日志数据。
  • 使用 Azure Monitor 分析 Windows 和 Linux Vm 的性能,并监视其进程和其他资源和外部进程的依赖项。
  • 使用自定义脚本扩展在启用了 Arc 的服务器上下载和执行脚本。

有关详细信息,请参阅 启用了 Azure Arc 服务器的 VM 扩展管理

实现 Azure 策略来宾配置

对于在 Azure 和启用了 Arc 的服务器中运行的计算机,azure 策略来宾配置可以审核计算机中的设置。 例如,你可以审核如下设置:

  • 操作系统配置
  • 应用程序配置或状态
  • 环境设置

Azure Arc 有多个 Azure 策略内置定义。这些策略为基于 Windows 和 Linux 的计算机提供审核和配置设置。

实现更新管理

您可以为启用了 Arc 的服务器执行更新管理。 使用 Azure 自动化中的更新管理,可以管理操作系统更新并快速评估所有代理计算机上可用更新的状态。 你还可以管理为服务器安装所需更新的过程。

实现更改跟踪和清单

你可以使用 Azure 自动化更改跟踪和启用 Arc 的服务器的清单来确定你的环境中安装的软件。 你可以收集和查看计算机上的软件、文件、Linux 守护程序、Windows 服务和 Windows 注册表项的清单。 跟踪计算机的配置有助于查明环境中的操作问题,更好地了解计算机的状态。

实现 Azure Monitor

你可以使用 Azure Monitor 来大规模监视 Vm、虚拟机规模集和 Azure Arc 计算机。 Azure Monitor 分析 Windows 和 Linux Vm 的性能和运行状况,并监视其进程以及其他资源和外部进程的依赖项。 它支持监视本地或其他云提供程序中托管的 VM 的性能和应用程序依赖项。

实现 Azure Sentinel

可以使用 Azure Sentinel 跨企业提供智能安全分析和威胁智能,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 Azure Sentinel 是一种可缩放的云本机安全信息事件管理 (SIEM) 和安全业务流程自动响应 (之忠诚度) 解决方案,该解决方案可实现多种方案,其中包括:

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据。
  • 检测以前未检测到的威胁并尽量减少误报。
  • 利用人工智能和探索大规模活动,调查威胁。
  • 通过内置的业务流程和常见任务自动化快速响应事件。

拓扑和网络注意事项

适用于 Linux 和 Windows 的连接的计算机代理通过 TCP 端口 443 安全地与 Azure Arc 通信。 如果计算机通过防火墙或代理服务器进行连接以通过 internet 进行通信,请查看 Azure Arc 代理 网络配置 页上的所需 url 和服务标记。

可用性注意事项

  • 在大多数情况下,创建安装脚本时选择的位置应该是在地理位置上最接近你的计算机位置的 Azure 区域。 其余数据将存储在包含你指定的区域的 Azure 地理区域中,如果你有数据驻留要求,这可能会影响你选择的区域。 如果中断影响到计算机连接到的 Azure 区域,则中断不会影响启用了 Arc 的服务器,但使用 Azure 的管理操作可能无法完成。 在发生区域性服务中断的情况下,如果有多个位置可提供地理冗余服务,则最好将每个位置的计算机连接到不同的 Azure 区域。
  • 通过检查 受支持的区域,确保区域支持 Azure Arc 支持的服务器。
  • 确保在 Azure Arc 启用的服务器所部署到的区域中支持体系结构部分中引用的服务。

可管理性注意事项

  • 有关支持的 操作系统 的列表,请参阅 Azure Arc enabled 服务器代理概述页。
  • 在将计算机配置为启用了 Azure Arc 的服务器之前,应查看 Azure 资源管理器 订阅限制资源组限制 ,以规划要连接的计算机的数量。

安全注意事项

  • 适用于 azure RBAC 的适当 Azure (访问控制应为启用了 Arc 的服务器管理 Azure RBAC) 访问。 若要载入计算机,你必须是 Azure 连接的计算机加入 角色的成员。 若要读取、修改、重新载入和删除计算机,你必须是 Azure 连接的计算机资源管理员 角色的成员。
  • 可以使用 Azure 策略管理启用了 Arc 的服务器上的安全策略,包括在 Azure 安全中心实施安全策略。 安全策略定义工作负荷的所需配置,并帮助确保遵守公司或监管机构的安全要求。 安全中心策略基于 Azure Policy 中创建的策略计划。

成本注意事项

后续步骤