Gestire le configurazioni per i server con abilitazione di Azure Arc

Questa architettura di riferimento illustra come Azure Arc consente di gestire, gestire e proteggere i server in scenari locali, multicloud e perimetrali e si basa sull'implementazione di Azure Arc JumpStart ArcBox per professionisti IT. ArcBox è una soluzione che offre una sandbox facile da distribuire per tutti gli aspetti di Azure Arc. ArcBox per professionisti IT è una versione di ArcBox destinata agli utenti che vogliono sperimentare le funzionalità dei server abilitati per Azure Arc in un ambiente sandbox.

Architettura

Scaricare un file PowerPoint di questa architettura.

Componenti

Questa architettura è costituita dai componenti seguenti:

• Un gruppo di risorse di Azure è un contenitore con risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo.
• La cartella di lavoro di ArcBox è una cartella di lavoro di Monitoraggio di Azure, che fornisce un unico riquadro di vetro per il monitoraggio e la creazione di report sulle risorse ArcBox. La cartella di lavoro funge da canvas flessibile per l'analisi e la visualizzazione dei dati nella portale di Azure, raccogliendo informazioni da diverse origini dati da ArcBox e combinandole in un'esperienza interattiva integrata.
• Monitoraggio di Azure consente di tenere traccia delle prestazioni e degli eventi per i sistemi in esecuzione in Azure, in locale o in altri cloud.
• Configurazione guest di Criteri di Azure può controllare i sistemi operativi e la configurazione delle macchine virtuali per computer in esecuzione in Azure e server con abilitazione di Azure Arc in esecuzione in locale o in altri cloud.
• Azure Log Analytics è uno strumento disponibile nel portale di Azure che consente di modificare ed eseguire query sui log dai dati raccolti dai log di Monitoraggio di Azure e di analizzarne i risultati in modo interattivo. È possibile usare le query di Log Analytics per recuperare i record che corrispondono a determinati criteri, identificare le tendenze, analizzare i modelli e ricavare varie informazioni dai dati.
• Microsoft Defender per il cloud è una soluzione per la gestione della sicurezza nel cloud (CSPM) e la protezione dei carichi di lavoro nel cloud (CWP). Microsoft Defender per il cloud individua i punti deboli nella configurazione cloud, contribuisce a rafforzare la sicurezza complessiva dell'ambiente e può proteggere i carichi di lavoro in ambienti multicloud e ibridi dalle minacce in continua evoluzione.
• Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel fornisce funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce per l'azienda, offrendo un'unica soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
• I server abilitati per Azure Arc consentono di connettere Azure ai computer Windows e Linux ospitati all'esterno di Azure sulla rete aziendale. Quando un server è connesso ad Azure, diventa un server abilitato per Arc e viene considerato come una risorsa in Azure. Ogni server abilitato per Arc ha un ID risorsa, un'identità di sistema gestita e viene gestito come parte di un gruppo di risorse all'interno di una sottoscrizione. I server abilitati per Arc traggono vantaggio da costrutti standard di Azure, ad esempio inventario, criteri, tag e Azure Lighthouse.
• La virtualizzazione annidata di Hyper-V viene usata da Jumpstart ArcBox per professionisti IT per ospitare macchine virtuali Windows Server all'interno di una macchina virtuale di Azure. Ciò offre la stessa esperienza dell'uso di computer Fisici Windows Server, ma senza i requisiti hardware.
• Azure Rete virtuale fornisce una rete privata che consente ai componenti all'interno del gruppo di risorse di Azure di comunicare, ad esempio le macchine virtuali.

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

• Organizzare, gestire e inventariare gruppi di macchine virtuali e server di grandi dimensioni in più ambienti.
• Imponi gli standard dell'organizzazione e valuta la conformità su larga scala per tutte le tue risorse, ovunque, con Criteri di Azure.
• Distribuire facilmente le estensioni vm supportate nei server con abilitazione di Arc.
• Configurare e applicare Criteri di Azure per macchine virtuali e server ospitati in più ambienti.

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Configurare l'agente del computer connesso ad Azure Arc.

È possibile connettere qualsiasi altra macchina fisica o virtuale che esegue Windows o Linux ad Azure Arc. Prima dell'onboarding dei computer, assicurarsi di completare i prerequisiti dell'agente del computer connesso, che include la registrazione dei provider di risorse di Azure per i server abilitati per Azure Arc. Per usare Azure Arc per connettere il computer ad Azure, è necessario installare l'agente di Azure Connected Machine in ogni computer che si prevede di connettersi usando Azure Arc. Per altre informazioni, vedere Panoramica dell'agente di server abilitati per Azure Arc.

Una volta configurato, l'agente Connected Machine invia regolarmente un messaggio heartbeat ogni cinque minuti ad Azure. Quando l'heartbeat non viene ricevuto, Azure assegna lo stato offline del computer, che si riflette nel portale entro 15-30 minuti. Alla ricezione di un messaggio successivo di tipo heartbeat dall'agente Connected Machine, il relativo stato verrà automaticamente modificato in Connesso.

In Azure sono disponibili diverse opzioni per connettere i computer Windows e Linux:

• Installazione manuale: i server abilitati per Azure Arc possono essere abilitati per uno o pochi computer Windows o Linux nell'ambiente usando il set di strumenti di Windows Admin Center o eseguendo manualmente un set di passaggi.
• Installazione basata su script: è possibile eseguire l'installazione automatica dell'agente eseguendo uno script modello scaricato dal portale di Azure.
• Connettere i computer su larga scala usando un'entità servizio: per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite l'automazione esistente delle organizzazioni.
• Installazione con Windows PowerShell DSC

Per una documentazione completa sulle varie opzioni di distribuzione disponibili, vedere le opzioni di distribuzione dell'agente Di Azure Connected Machine.

Abilitare la configurazione guest di Criteri di Azure

I server abilitati per Azure Arc supportano Criteri di Azure a livello di gestione delle risorse di Azure e anche all'interno del singolo computer server usando i criteri di configurazione guest. Configurazione guest di Criteri di Azure può controllare le impostazioni in un computer per computer in esecuzione in Azure e server con abilitazione di Azure Arc. È ad esempio possibile controllare impostazioni quali:

• Configurazione del sistema operativo
• Configurazione o presenza di applicazioni
• Impostazioni dell'ambiente

Esistono alcune definizioni predefinite di Criteri di Azure per Azure Arc. Questi criteri forniscono controllo e impostazioni di configurazione per computer basati su Windows e Linux.

Abilitare Gestione aggiornamenti di Azure

Aggiorna Manager. È necessario adottare una gestione degli aggiornamenti per i server abilitati per Arc. Gestione aggiornamenti è consigliabile gestire gli aggiornamenti del sistema operativo e valutare lo stato degli aggiornamenti disponibili in tutti i computer agente. Gestione aggiornamenti deve essere usato anche per gestire il processo di installazione degli aggiornamenti necessari per i server.

Rilevamento modifiche e inventario. Automazione di Azure Rilevamento modifiche e Inventario per i server con abilitazione di Arc consente di determinare il software installato nell'ambiente. È possibile raccogliere e osservare l'inventario di software, file, demoni Linux, servizi Windows e chiavi del Registro di sistema di Windows. Tenendo traccia delle configurazioni dei computer, è possibile individuare i problemi operativi dell'ambiente e conoscere meglio lo stato dei computer.

Monitorare i server con abilitazione di Azure Arc

Usare Monitoraggio di Azure per monitorare le macchine virtuali, i set di scalabilità di macchine virtuali e le macchine virtuali di Azure Arc su larga scala. Azure Monitor nalizza le prestazioni e l'integrità delle macchine virtuali Windows e Linux, monitorando i processi e le dipendenze da altre risorse e processi esterni. Include il supporto per il monitoraggio delle prestazioni e delle dipendenze dell'applicazione per le macchine virtuali ospitate in locale o in un altro provider di servizi cloud.

Gli agenti di Monitoraggio di Azure devono essere distribuiti automaticamente nei server Windows e Linux abilitati per Azure Arc, tramite Criteri di Azure. Esaminare e comprendere come funziona l'agente di Log Analytics e raccoglie i dati prima della distribuzione.

Progettare e pianificare la distribuzione dell'area di lavoro Log Analytics. Sarà il contenitore in cui vengono raccolti, aggregati e analizzati in un secondo momento. Un'area di lavoro Log Analytics rappresenta una posizione geografica dei dati, dell'isolamento dei dati e dell'ambito per configurazioni come la conservazione dei dati. Usare una singola area di lavoro Log Analytics di Monitoraggio di Azure come descritto in Procedure consigliate per la gestione e il monitoraggio di Cloud Adoption Framework.

Mettere in sicurezza i server abilitati peri Azure Arc

Usare il controllo degli accessi in base al ruolo di Azure per controllare e gestire l'autorizzazione per le identità gestite dei server abilitati per Azure Arc ed eseguire verifiche di accesso periodiche per queste identità. Controllare i ruoli utente con privilegi per evitare che le identità gestite dal sistema vengano usate in modo improprio per ottenere l'accesso non autorizzato alle risorse di Azure.

Prendere in considerazione l'uso di Azure Key Vault per gestire i certificati nei server abilitati per Azure Arc. L'estensione della macchina virtuale dell'insieme di credenziali delle chiavi consente di gestire il ciclo di vita del certificato nei computer Windows e Linux.

Connettere i server abilitati per Azure Arc a Microsoft Defender for Cloud. In questo modo è possibile iniziare a raccogliere le configurazioni correlate alla sicurezza e i log eventi in modo da poter consigliare azioni e migliorare il comportamento di sicurezza complessivo di Azure.

Connettere i server abilitati per Azure Arc a Microsoft Sentinel. In questo modo è possibile iniziare a raccogliere gli eventi correlati alla sicurezza e metterli in correlazione con altre origini dati.

Convalidare la topologia di rete

L'agente Connected Machine per Linux e Windows comunica in modo sicuro in uscita con Azure Arc sulla porta TCP 443. L'agente Connected Machine può connettersi al piano di controllo di Azure usando i metodi seguenti:

• Connessione diretta agli endpoint pubblici di Azure, facoltativamente da dietro un firewall o un server proxy.
• Collegamento privato di Azure che usa un modello di ambito di collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.

Consultare Topologia di rete e connettività per i server abilitati per Azure Arc per indicazioni complete sulla rete per l'implementazione dei server con abilitazione di Arc.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Affidabilità

• Nella maggior parte dei casi, la posizione selezionata durante la creazione dello script di installazione deve essere l'area di Azure geograficamente più vicina alla posizione del computer. La restante parte dei dati verrà archiviata all'interno dell'area geografica di Azure contenente l'area specificata, il che può influire anche sulla scelta dell'area in caso di requisiti di residenza dei dati. Se un'interruzione interessa l'area di Azure a cui è connesso il computer, l'interruzione non influirà sul server abilitato per Arc. Tuttavia, le operazioni di gestione che usano Azure potrebbero non essere disponibili.
• Se sono presenti più sedi che forniscono un servizio con ridondanza geografica, è consigliabile connettere le macchine in ogni sede a una diversa area di Azure per garantire resilienza in caso di interruzione regionale.
• Se l'agente del computer connesso di Azure smette di inviare heartbeat ad Azure o passa offline, non sarà possibile eseguire attività operative. Di conseguenza, è necessario sviluppare un piano per le notifiche e le risposte.
• Impostare le notifiche integrità risorsa per venire avvisati quasi in tempo reale quando tali risorse subiscono una modifica al loro stato di integrità. Definire un criterio di monitoraggio e avviso in Criteri di Azure che identifica i server abilitati per Azure Arc non integri.
• Estendere la soluzione di backup corrente ad Azure o configurare facilmente la replica compatibile con l'applicazione e il backup coerente con l'applicazione che si ridimensiona in base alle esigenze aziendali. L'interfaccia di gestione centralizzata per Backup di Azure e Azure Site Recovery semplifica la definizione di policy per proteggere, monitorare e gestire in modo nativo i server Windows e Linux abilitati per Arc.
• Esaminare le linee guida per la continuità aziendale e il ripristino di emergenza per determinare se i requisiti aziendali sono soddisfatti.
• Altre considerazioni sull'affidabilità per la soluzione sono descritte nella sezione principi di progettazione dell'affidabilità in Microsoft Azure Well-Architected Framework.

Sicurezza

• Il controllo degli accessi in base al ruolo di Azure appropriato deve essere gestito per i server abilitati per Arc. Per eseguire l'onboarding di computer, è necessario essere membri del ruolo Onboarding di computer connessi di Azure. Per leggere, modificare, ripetere l'onboarding ed eliminare un computer, è necessario essere membri del ruolo Amministratore delle risorse dei computer connessi di Azure.
• Microsoft Defender for Cloud può monitorare i sistemi locali, le macchine virtuali di Azure, le risorse di Monitoraggio di Azure e anche le macchine virtuali ospitate da altri provider di servizi cloud. Abilitare Microsoft Defender per i server per tutte le sottoscrizioni contenenti server abilitati per Azure Arc per il monitoraggio della baseline di sicurezza, la gestione del comportamento di sicurezza e la protezione dalle minacce.
• Microsoft Sentinel consente di semplificare la raccolta dei dati tra diverse origini, comprese Azure, soluzioni locali e tra cloud usando connettori predefiniti.
• È possibile usare Criteri di Azure per gestire i criteri di sicurezza nei server abilitati per Arc, inclusa l'implementazione dei criteri di sicurezza in Microsoft Defender per il cloud. Un criterio di sicurezza definisce la configurazione desiderata dei carichi di lavoro e aiuta a garantire la conformità ai requisiti di sicurezza dell'azienda o delle autorità di regolamentazione. I criteri di Defender for Cloud si basano su iniziative di criteri create in Azure Policy.
• Per limitare le estensioni che è possibile installare nel server abilitato per Arc, è possibile configurare gli elenchi di estensioni che si desidera consentire e bloccare nel server. Gestione estensioni valuterà tutte le richieste di installazione, aggiornamento o aggiornamento delle estensioni rispetto all'elenco di elementi consentiti e blocklist per determinare se l'estensione può essere installata nel server.
• Collegamento privato di Azure consente di collegare in modo sicuro i servizi PaaS di Azure alla rete virtuale usando endpoint privati. Ciò significa che è possibile connettere i server locali o multi-cloud con Azure Arc e inviare tutto il traffico su una connessione VPN di Azure ExpressRoute o da sito a sito anziché usare le reti pubbliche. Collegamento privato di Azure che usa un modello di ambito di collegamento privato per consentire a più server o computer di comunicare con le risorse di Azure Arc usando un singolo endpoint privato.
• Per una panoramica completa delle funzionalità di sicurezza nei server abilitati per Azure Arc, vedere Panoramica completa delle funzionalità di sicurezza nel server abilitato per Azure Arc.
• Altre considerazioni sulla sicurezza per la soluzione sono descritte nella sezione principi di progettazione della sicurezza in Microsoft Azure Well-Architected Framework.

Ottimizzazione dei costi

• La funzionalità del piano di controllo di Azure Arc viene offerta senza costi aggiuntivi. Ciò include il supporto per l'organizzazione delle risorse tramite gruppi e tag di gestione di Azure e il controllo degli accessi tramite il controllo degli accessi in base al ruolo di Azure. I servizi di Azure usati insieme ai server abilitati per Azure Arc comportano costi in base all'utilizzo.
• Per altre indicazioni sull'ottimizzazione dei costi di Azure Arc, vedere Governance dei costi per i server abilitati per Azure Arc.
• Altre considerazioni sull'ottimizzazione dei costi riferiti a una certa soluzione sono descritte nella sezione Principi di ottimizzazione dei costi in Microsoft Azure Well-Architected Framework.
• Usare il calcolatore dei prezzi di Azure per stimare i costi.
• Quando si distribuisce l'implementazione di riferimento di Jumpstart ArcBox per professionisti IT per questa architettura, tenere presente che le risorse ArcBox generano addebiti per il consumo di Azure dalle risorse di Azure sottostanti. Queste risorse includono risorse di calcolo di base, archiviazione, rete e servizi ausiliari.

Eccellenza operativa

• Automatizzare la distribuzione dell'ambiente dei server con abilitazione di Arc. L'implementazione di riferimento di questa architettura è completamente automatizzata usando una combinazione di modelli di Azure Resource Manager, estensioni della macchina virtuale, configurazioni Criteri di Azure e script di PowerShell. È anche possibile riutilizzare questi artefatti per le distribuzioni personalizzate. Consultare le discipline di Automazione per i server abilitati per Azure Arc per indicazioni aggiuntive sull'automazione dei server abilitati per Arc in Cloud Adoption Framework (CAF).
• In Azure sono disponibili diverse opzioni per automatizzare l'onboarding dei server abilitati per Arc. Per eseguire l'onboarding su larga scala, usare un'entità servizio e distribuirla tramite la piattaforma di automazione esistente delle organizzazioni.
• Le estensioni vm possono essere distribuite nei server abilitati per Arc per semplificare la gestione dei server ibridi durante il ciclo di vita. È consigliabile automatizzare la distribuzione delle estensioni di macchina virtuale tramite Criteri di Azure quando si gestiscono i server su larga scala.
• Abilitare patch e Gestione aggiornamenti nei server abilitati per Azure Arc di cui è stato eseguito l'onboarding per semplificare la gestione del ciclo di vita del sistema operativo.
• Per altre informazioni sugli scenari di eccellenza operativa aggiuntivi per i server abilitati per Azure Arc, vedere Azure Arc Jumpstart Unified Operations Use Cases (Casi d'uso delle operazioni unificate).
• Altre considerazioni sull'eccellenza operativa per la soluzione sono descritte nella sezione Principi di progettazione dell'eccellenza operativa in Microsoft Azure Well-Architected Framework.

Efficienza prestazionale

• Prima di configurare le macchine virtuali con Azure Arc per server (anteprima), è consigliabile esaminare i limiti della sottoscrizione di Azure Resource Manager e i limiti del gruppo di risorse per pianificare il numero di macchine virtuali da connettere.
• Un approccio di distribuzione in più fasi, come descritto nella guida alla distribuzione, consente di determinare i requisiti di capacità delle risorse per l'implementazione.
• Utilizza Azure Monitor per raccogliere dati direttamente dai server abilitati per Azure Arc in un'area di lavoro Log Analytics per analisi e correlazioni dettagliate. Esaminare le opzioni di distribuzione per gli agenti di Monitoraggio di Azure.
• Altre considerazioni sull'efficienza delle prestazioni per la soluzione sono descritte nella sezione Principi di efficienza delle prestazioni in Microsoft Azure Well-Architected Framework.

Distribuire lo scenario

L'implementazione di riferimento di questa architettura è disponibile in Jumpstart ArcBox per professionisti IT, inclusa come parte del progetto Arc Jumpstart . ArcBox è progettato per essere completamente indipendente all'interno di una singola sottoscrizione di Azure e di un gruppo di risorse. ArcBox semplifica l'esperienza pratica di un utente con tutta la tecnologia Azure Arc disponibile senza altro che una sottoscrizione di Azure disponibile.

Per distribuire l'implementazione di riferimento, seguire la procedura descritta nel repository GitHub selezionando il pulsante Jumpstart ArcBox per professionisti IT di seguito.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Pieter de Bruin | Senior Program Manager

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Altre informazioni su Azure Arc
• Scopri di più sui server con abilitazione di Azure Arc
• Percorso di apprendimento di Backup di Azure
• Esaminare gli scenari jumpstart di Azure Arc in Arc Jumpstart
• Esaminare l'acceleratore di zona di destinazione dei server abilitati per Arc in Cloud Adoption Framework

Risorse correlate

Esplorare le architetture correlate:

• Gestire le configurazioni per i server con abilitazione di Azure Arc
• Gestione e distribuzione ibride di Azure Arc per i cluster Kubernetes