Quelles sont les principales fonctionnalités de gestion et de gouvernance des serveurs avec Azure Arc ?

10 minutes

Azure Arc vous permet d’élargir l’étendue de plusieurs services Azure à des serveurs Windows et Linux non-Azure. Des entreprises comme Contoso peuvent ainsi standardiser plus facilement leur stratégie de gestion quand elles opèrent dans le cadre de scénarios hybrides. Dans cette unité, vous allez découvrir les fonctionnalités d’Azure Arc, en vous concentrant sur celles exclusivement disponibles sur Azure et sur des serveurs avec Azure Arc.

Quelles sont les principales fonctionnalités de gestion des ressources des serveurs avec Azure Arc ?

Un certain nombre d’avantages d’Azure Arc sont indépendants du type de ressource, car ils reflètent les fonctionnalités d’Azure Resource Manager. Les avantages sont les suivants :

Possibilité d’organiser toutes les ressources organisationnelles à l’aide de groupes d’administration, d’abonnements, de groupes de ressources et de balises Azure.
Un inventaire unique et complet des ressources de l’organisation sur plusieurs clouds et en local, y compris la prise en charge de la recherche et de l’indexation en utilisant Azure Resource Graph.
Vue consolidée des ressources Azure et des ressources avec Azure Arc par le biais du portail Azure, d’Azure CLI, d’Azure PowerShell et de l’API REST.
Accès direct à partir du portail Azure à la plupart des fonctionnalités de gestion des serveurs avec Azure Arc :
- Contrôle d’accès en fonction du rôle (RBAC) pour afficher des journaux et des données d’inventaire de serveurs
- Extensions de machine virtuelle pour déployer des agents logiciels et exécuter des scripts sur votre serveur
- Configuration d’invité Azure Policy pour auditer le système d’exploitation et la configuration logicielle
- Une identité managée affectée par le système Microsoft Entra pour les applications s’exécutant sur le serveur à utiliser lors de l’authentification auprès d’autres services Azure

Capture d’écran de la page de contrôle d’accès (IAM) dans le portail Azure pour la machine virtuelle sélectionnée : ContosoVM1. Le volet d’informations présente plusieurs onglets : Vérifier l’accès (sélectionné), Attributions de rôles, Affectations de refus, Administrateurs classiques et Rôles.

Il existe également des avantages propres aux serveurs avec Azure Arc, comme :

La possibilité d’appliquer des extensions de machine virtuelle Azure pour automatiser la configuration des serveurs Windows et Linux Azure et non-Azure de façon cohérente.
La prise en charge d’une configuration d’invité Azure Policy. Azure Policy prend en charge l’audit des serveurs avec Azure Arc de la même façon que leurs équivalents résidant dans Azure. Ceci vous permet d’utiliser la même approche pour évaluer si les configurations de tous les serveurs de votre environnement sont conformes aux standards de l’organisation.

Que sont les extensions de machine virtuelle et comment sont-elles utilisées avec les serveurs avec Azure Arc ?

Les extensions de machine virtuelle sont des composants logiciels légers qui automatisent les tâches de configuration et d’automatisation après le déploiement du système d’exploitation. Jusqu’ici, les extensions de machine virtuelle étaient disponibles seulement sur les machines virtuelles Azure, mais il est désormais possible d’utiliser certaines d’entre elles sur des serveurs avec Azure Arc. Le tableau suivant décrit les extensions que vous pouvez ajouter à des serveurs avec Azure Arc exécutant le système d’exploitation Windows Server ou Linux :

Extension	Informations supplémentaires
Agent Log Analytics	Installe l’agent Log Analytics sur le serveur avec Arc cible et le configure pour le transfert des journaux vers un espace de travail Log Analytics.
Agent de dépendances	Installe Dependency Agent sur le serveur avec Arc cible pour faciliter l’identification des dépendances internes et externes des charges de travail du serveur.
Agent Azure Key Vault	Synchronise les certificats entre une instance Azure Key Vault et le serveur avec Arc.
Extension Qualys	Solution Microsoft Defender d’évaluation des vulnérabilités des serveurs.
DSC (Desired State Configuration)	Applique une configuration PowerShell DSC sur le serveur avec Arc cible.
Extension de script personnalisé	Exécute un script sur le serveur avec Arc cible.

Qu’est-ce qu’Azure Policy et comment est-il utilisé pour la gouvernance des serveurs avec Azure Arc ?

Azure Policy est un service qui peut aider les organisations à gérer et à évaluer la conformité interne et réglementaire de leurs serveurs avec Arc, complété par un large éventail de services Azure. Azure Policy utilise des règles déclaratives basées sur les propriétés des types de ressources cibles, y compris les systèmes d’exploitation Windows et Linux. Ces règles forment des définitions de stratégie, que les administrateurs peuvent appliquer par le biais de l’affectation d’une stratégie à des groupes de ressources, des abonnements ou des groupes d’administration qui hébergent des serveurs avec Azure Arc. Pour simplifier la gestion des définitions de stratégie, vous pouvez combiner plusieurs stratégies en initiatives, puis créer quelques affectations d’initiative au lieu de plusieurs affectations de stratégie.

Azure Policy prend en charge l’audit de l’état du serveur avec Arc avec des stratégies Guest Configuration. Les stratégies Configuration d’invité n’appliquent pas de configurations, mais elles auditent les paramètres au sein du système d’exploitation cible et évaluent leur conformité. Vous pouvez cependant utiliser Azure Policy pour appliquer la configuration de la ressource Azure représentant un serveur avec Arc. Vous pouvez également utiliser Azure Policy pour déployer des configurations en utilisant des extensions de machine virtuelle.

Par exemple, Contoso pourrait utiliser Azure Policy pour implémenter les règles suivantes :

Affecter une étiquette spécifique aux ressources représentant des serveurs avec Arc lors de leur inscription.
Identifier les serveurs avec Arc exécutant Windows avec Windows Defender Exploit Guard désactivé.
Identifier les serveurs avec Arc exécutant Windows qui ne sont pas joints à un domaine Active Directory Domain Services (AD DS) spécifique.
Identifier les serveurs avec Arc exécutant Windows ou Linux sans agent Log Analytics installé.
Identifier les serveurs avec Arc exécutant Linux qui n’utilisent pas de clés SSH pour l’authentification.

Notes

Les stratégies qui prennent en charge une correction n’ont pas besoin d’évaluer la logique de stratégie dans le système d’exploitation du serveur avec Azure Arc, car elles s’appuient plutôt sur des métadonnées de ressources Azure. Ces stratégies incluent par exemple l’application d’une conformité des étiquettes ou le déploiement d’extensions de machine virtuelle.

Notes

Azure Policy prend en charge les machines virtuelles Azure et les serveurs avec Azure Arc, en fournissant un affichage cohérent des informations de conformité à l’échelle de l’organisation.

Comment affecter des stratégies Azure à des serveurs avec Azure Arc ?

Vous pouvez gérer et affecter des stratégies Azure à des serveurs avec Azure Arc directement depuis le portail Azure.

Capture d’écran montrant la page Attribuer une stratégie dans le Portail Azure. L’administrateur sélectionne dans une liste de stratégies disponibles.

Une fois que vous avez créé une attribution de stratégie, vous pouvez, dans un bref délai, passer en revue les résultats de l’évaluation de la stratégie sur les serveurs avec Azure Arc cibles.

Capture d’écran montrant les stratégies appliquées sur ContosoVM1. Deux stratégies sont appliquées et la machine virtuelle est conforme à l’une des deux, mais pas à l’autre.

Quels sont les avantages du Gestionnaire de mise à jour Azure dans les scénarios hybrides ?

Le Gestionnaire de mise à jour Azure est un service unifié qui permet de gérer et de régir les mises à jour pour toutes vos machines hybrides, y compris les machines hybrides. Vous pouvez superviser la conformité des mises à jour Windows et Linux sur l’ensemble de vos machines hybrides à partir d’un seul volet de gestion. Vous pouvez également utiliser Update Manager pour effectuer des mises à jour en temps réel ou les planifier dans une fenêtre de maintenance définie.

Le Gestionnaire de mise à jour Azure vous permet de :

Vérifier instantanément la présence de mises à jour ou déployer des mises à jour de sécurité ou critiques pour sécuriser vos machines hybrides.
Activer l’évaluation périodique pour vérifier les dernières mises à jour disponibles pour vos machines hybrides.
Utiliser des options de correction flexibles telles que des planifications de maintenance définies par le client et des corrections en mémoire (hot patching).
Créer des tableaux de bord personnalisés pour créer des rapports sur l’état des mises à jour et configurer des alertes pour certaines conditions.
Superviser la conformité des mises à jour pour toutes vos machines hybrides.

Quels sont les avantages d’Azure Automation DSC (Desired State Configuration) dans les scénarios hybrides ?

PowerShell DSC est une technologie qui implémente la gestion de la configuration déclarative par le biais d’une combinaison de scripts PowerShell et de fonctionnalités du système d’exploitation. Cette configuration peut s’avérer aussi simple que de vérifier qu’une fonctionnalité spécifique de Windows est activée, et aussi complexe que de déployer SharePoint. Vous pouvez déployer la configuration DSC en mode envoi (push) ou en mode tirage (pull). Le mode envoi (push) implique d’appeler le déploiement à partir d’un ordinateur de gestion vers un ou plusieurs ordinateurs gérés. En mode tirage (pull), les ordinateurs gérés effectuent le déploiement automatiquement, en fonction des données de configuration provenant d’un emplacement désigné, appelé serveur Pull. Azure Automation comprend un serveur Pull DSC géré et résidant sur Azure. Vous pouvez appliquer une configuration DSC en mode envoi (push) à des ordinateurs non-Azure, notamment à des serveurs avec Azure Arc à l’aide d’une extension de machine virtuelle. Vous pouvez aussi intégrer les deux types de systèmes dans Azure Automation et gérer leur configuration par le biais d’un serveur Pull.

Quels sont les avantages d’Azure Automanage dans les scénarios hybrides ?

Les bonnes pratiques pour les machines Azure Automanage constituent un service qui élimine la nécessité de découvrir, de savoir comment intégrer et comment configurer certains services dans Azure qui bénéficieraient à votre serveur avec Azure Arc. Une fois vos machines intégrées avec Azure Automanage, chaque service lié aux bonnes pratiques est configuré selon ses paramètres recommandés. Azure Automanage analyse également la dérive automatiquement et la corrige en cas de détection. Les services participants sont notamment :

Supervision des insights de machines
Suivi des modifications et inventaire
Configuration d’invité Azure
Compte Azure Automation
Espace de travail Log Analytics

Choisissez la meilleure réponse à chacune des questions suivantes, puis sélectionnez Vérifier vos réponses.

Vérifiez vos connaissances

Quelle extension de machine virtuelle l’administrateur peut-il ajouter à des serveurs avec Azure Arc pour commencer à les superviser avec des services Azure ?

Extension Qualys. Cette extension de machine virtuelle implémente l’intégration à Azure Defender à des fins d’évaluation des vulnérabilités des serveurs.

Extension Azure Key Vault.

Agent Log Analytics.

Que peut faire l’administrateur pour auditer les modifications de l’état du système d’exploitation des serveurs avec Azure Arc ?

Examiner Azure Advisor.

Parcourir les journaux d’activité dans le Portail Azure.

Appliquer une stratégie basée sur Azure Guest Configuration.

Vous devez répondre à toutes les questions avant de vérifier votre travail.

Continuer