Pianificare e distribuire server abilitati per Azure Arc

La distribuzione di un servizio di infrastruttura IT o di un'applicazione aziendale è una sfida per qualsiasi azienda. Per eseguirla al meglio ed evitare sorprese sgradite e costi imprevisti, è necessario pianificarla attentamente per assicurarsi di essere il più pronti possibile. Per pianificare la distribuzione di server abilitati per Azure Arc su qualsiasi scala, deve coprire i criteri di progettazione e distribuzione che devono essere soddisfatti per completare correttamente le attività.

Affinché la distribuzione proceda senza problemi, il piano deve stabilire una chiara comprensione di:

  • Ruoli e responsabilità.
  • Inventario di server fisici o macchine virtuali per verificare che soddisfino i requisiti di rete e di sistema.
  • Il set di competenze e il training necessari per abilitare la corretta distribuzione e la gestione in corso.
  • Criteri di accettazione e come tenere traccia del successo.
  • Strumenti o metodi da usare per automatizzare le distribuzioni.
  • Un elenco dei rischi e dei piani di mitigazione identificati per evitare ritardi, interruzioni e così via.
  • Un piano per evitare interruzioni durante la distribuzione.
  • Il percorso di escalation nel caso in cui si verifichi un problema significativo.

Lo scopo di questo articolo è assicurarsi di essere preparati per una corretta distribuzione di server abilitati per Azure Arc in più server fisici di produzione o macchine virtuali nell'ambiente in uso.

Per altre informazioni sulle raccomandazioni sulla distribuzione su larga scala, è anche possibile fare riferimento a questo video.

Prerequisiti

Quando si pianifica la distribuzione, considerare i requisiti di base seguenti:

  • I computer devono eseguire un sistema operativo supportato per l'agente Connected Machine.
  • I computer devono avere connettività dalla rete locale o da un altro ambiente cloud alle risorse in Azure, direttamente o tramite un server proxy.
  • Per installare e configurare l'agente di Azure Connected Machine, è necessario disporre di un account con privilegi elevati (ovvero come amministratore o radice) nei computer.
  • Per eseguire l'onboarding dei computer, è necessario avere il ruolo predefinito di Azure Connected Machine Onboarding.
  • Per le operazioni di lettura, modifica ed eliminazione di un computer, è necessario avere il ruolo predefinito di Azure di Amministratore delle risorse di Azure Connected Machine.

Per altri dettagli, vedere i prerequisiti e i requisiti di rete per l'installazione dell'agente Connected Machine.

Programma pilota

Prima di eseguire la distribuzione in tutti i computer di produzione, iniziare valutando il processo di distribuzione prima di adottarlo su larga scala nell'ambiente in uso. Per un progetto pilota, identificare un campionamento rappresentativo di macchine che non sono essenziali per le aziende in grado di svolgere attività aziendali. È consigliabile assicurarsi di consentire un tempo sufficiente per eseguire il progetto pilota e valutarne l'impatto: è consigliabile un minimo di 30 giorni.

Definire un piano formale che descrive l'ambito e i dettagli del progetto pilota. Di seguito è riportato un esempio di ciò che deve includere un piano per iniziare.

  • Obiettivi : descrive i driver aziendali e tecnici che hanno portato alla decisione che un pilota è necessario.
  • Criteri di selezione: specifica i criteri usati per selezionare gli aspetti della soluzione da dimostrare tramite un progetto pilota.
  • Ambito : descrive l'ambito del progetto pilota, che include, a titolo esemplificativo, i componenti della soluzione, la pianificazione prevista, la durata del progetto pilota e il numero di computer di destinazione.
  • Criteri di successo e metriche : definire i criteri di successo del progetto pilota e misure specifiche usate per determinare il livello di successo.
  • Piano di training: descrive il piano per i tecnici del sistema di formazione, gli amministratori e così via, che non hanno esperienza con Azure e i servizi durante il progetto pilota.
  • Piano di transizione: descrive la strategia e i criteri usati per guidare la transizione dalla distribuzione pilota alla produzione.
  • Rollback : descrive le procedure per il rollback di un progetto pilota allo stato di pre-distribuzione.
  • Rischi : elencare tutti i rischi identificati per condurre il progetto pilota e associato alla distribuzione di produzione.

Fase 1: Creare una base

In questa fase, i tecnici di sistema o gli amministratori consentono alle funzionalità di base nella sottoscrizione di Azure dell'organizzazione di avviare le basi prima di abilitare i computer per la gestione da server abilitati per Azure Arc e altri servizi di Azure.

Attività Dettagli Durata stimata
Creare un gruppo di risorse Un gruppo di risorse dedicato per includere solo server abilitati per Azure Arc e centralizzare la gestione e il monitoraggio di queste risorse. Un'ora
Applicare tag per organizzare i computer. Valutare e sviluppare una strategia di assegnazione di tag allineata all'IT che consente di ridurre la complessità della gestione dei server abilitati per Azure Arc e semplificare le decisioni di gestione. Un giorno
Progettare e distribuire i log di Monitoraggio di Azure Valutare le considerazioni sulla progettazione e sulla distribuzione per determinare se l'organizzazione deve usare un'area di lavoro Log Analytics esistente o implementare un'altra area di lavoro Log Analytics per archiviare i dati di log raccolti da server e computer ibridi.1 Un giorno
Sviluppare un piano di governance di Criteri di Azure Determinare come implementare la governance di server e computer ibridi nell'ambito della sottoscrizione o del gruppo di risorse con Criteri di Azure. Un giorno
Configurare controllo degli accessi in base al ruolo (RBAC) Sviluppare un piano di accesso per controllare chi può accedere per gestire i server abilitati per Azure Arc e la possibilità di visualizzare i dati da altri servizi e soluzioni di Azure. Un giorno
Identificare i computer con l'agente di Log Analytics già installato Eseguire la query di log seguente in Log Analytics per supportare la conversione delle distribuzioni esistenti dell'agente di Log Analytics nell'agente gestito dall'estensione:
Heartbeat
| summarize arg_max(TimeGenerated, OSType, ResourceId, ComputerEnvironment) by Computer
| where ComputerEnvironment == "Non-Azure" and isempty(ResourceId)
| project Computer, OSType
Un'ora

1 Quando si valuta la progettazione dell'area di lavoro Log Analytics, prendere in considerazione l'integrazione con Automazione di Azure per supportare la funzionalità Gestione aggiornamenti e Rilevamento modifiche e inventario, nonché Microsoft Defender for Cloud e Microsoft Sentinel. Se l'organizzazione ha già un account di Automazione e ha abilitato le funzionalità di gestione collegate a un'area di lavoro Log Analytics, valutare se è possibile centralizzare e semplificare le operazioni di gestione, nonché ridurre al minimo i costi, usando tali risorse esistenti rispetto alla creazione di un account duplicato, un'area di lavoro e così via.

Fase 2: Distribuire server abilitati per Azure Arc

Successivamente, si aggiunge alla base definita nella fase 1 preparando e distribuendo l'agente di Azure Connected Machine.

Attività Dettagli Durata stimata
Scaricare lo script di installazione predefinito Esaminare e personalizzare lo script di installazione predefinito per la distribuzione su larga scala dell'agente Connected Machine per supportare i requisiti di distribuzione automatica.

Esempio di risorse di onboarding su larga scala:

  • Onboarding su larga scala di macchine virtuali Windows Server VMware vSphere
  • Onboarding su larga scala di macchine virtuali Linux VMware vSphere
  • Onboarding su larga scala di istanze di AWS EC2 con Ansible
Uno o più giorni a seconda dei requisiti, dei processi organizzativi (ad esempio, Gestione modifiche e rilascio) e del metodo di automazione usato.
Creare un'entità servizio Creare un'entità servizio per connettere i computer in modo non interattivo usando Azure PowerShell o dal portale. Un'ora
Distribuire l'agente Connected Machine nei server e nei computer di destinazione Usare lo strumento di automazione per distribuire gli script ai server e connetterli ad Azure. Uno o più giorni a seconda del piano di rilascio, e se si segue un'implementazione in più fasi.

Fase 3: Gestire e operare

La fase 3 è quando gli amministratori o i tecnici di sistema possono abilitare l'automazione delle attività manuali per gestire e far funzionare l'agente Connected Machine e i computer durante il ciclo di vita.

Attività Dettagli Durata stimata
Creare un avviso di Integrità risorse Se un server arresta l'invio di heartbeat ad Azure per più di 15 minuti, può significare che è offline, la connessione di rete è stata bloccata o l'agente non è in esecuzione. Sviluppare un piano per rispondere e analizzare questi eventi imprevisti e usare gli avvisi di Integrità risorse per ricevere una notifica all'avvio.

Specificare quanto segue durante la configurazione dell'avviso:
Tipo di risorsa = Server abilitati per Azure Arc
Stato risorsa corrente = Non disponibile
Stato della risorsa precedente = Disponibile
Un'ora
Creare un avviso di Azure Advisor Per un'esperienza ottimale e le correzioni di bug e sicurezza più recenti, è consigliabile mantenere aggiornato l'agente di Azure Connected Machine. Gli agenti non aggiornati verranno identificati con un avviso di Azure Advisor.

Specificare quanto segue durante la configurazione dell'avviso:
Tipo di raccomandazione = Eseguire l'aggiornamento alla versione più recente dell'agente di Azure Connected Machine
Un'ora
Assegnare i criteri di Azure all'ambito della sottoscrizione o del gruppo di risorse Assegnare il criterio Abilita Monitoraggio di Azure per le macchine virtuali (e altri che soddisfano le proprie esigenze) all'ambito della sottoscrizione o del gruppo di risorse. Criteri di Azure consente di assegnare definizioni di criteri che installano gli agenti necessari per informazioni dettagliate sulle macchine virtuali nell'ambiente in uso. Variabile
Abilitare Gestione aggiornamenti di Azure per i server abilitati per Azure Arc. Configurare Azure Update Manager nei server abilitati per Arc per gestire gli aggiornamenti di sistema per le macchine virtuali Windows e Linux. È possibile scegliere di distribuire gli aggiornamenti su richiesta o applicare gli aggiornamenti usando una pianificazione personalizzata. 5 minuti

Passaggi successivi