Essa arquitetura de referência ilustra como o Azure Arc permite gerenciar, controlar e proteger servidores em cenários locais, multinuvem e de borda e é baseada na implementação do Azure Arc Jumpstart ArcBox for IT Pros. O ArcBox é uma solução que fornece uma sandbox fácil de implantar para tudo do Azure Arc. O ArcBox for DataOps é uma versão do ArcBox que pode ajudá-lo a experimentar os recursos de instância gerenciada SQL habilitada para o Azure Arc em uma sandbox.
Arquitetura
Baixe um arquivo do PowerPoint dessa arquitetura.
Componentes
Essa arquitetura consiste nos seguintes componentes:
- Um grupo de recursos do Azure é um contêiner que mantém os recursos relacionados a uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo.
- A pasta de trabalho ArcBox é uma pasta de trabalho do Azure Monitor que fornece um único painel de controle para monitorar e relatar os recursos do ArcBox. A pasta de trabalho atua como uma tela flexível para análise e visualização de dados no portal do Azure, reunindo informações de várias fontes de dados de todo o ArcBox e combinando-as em uma experiência interativa integrada.
- O Azure Monitor permite que você acompanhe o desempenho e os eventos de sistemas em execução no Azure, localmente ou em outras nuvens.
- A configuração de convidado do Azure Policy pode auditar os sistemas operacionais e a configuração do computador para computadores em execução no Azure em servidores habilitados para Arc operando localmente ou em outras nuvens.
- O Azure Log Analytics é uma ferramenta do portal do Azure usada para editar e executar consultas de log dos dados coletados pelos logs do Azure Monitor e analisar os resultados de maneira interativa. É possível usar as consultas do Log Analytics para recuperar registros que correspondem a critérios específicos, além de identificar tendências, analisar padrões e fornecer uma variedade de insights sobre seus dados.
- O Microsoft Defender para Nuvem é uma plataforma de CSPM (gerenciamento da postura de segurança na nuvem) e de CWP (plataforma de proteção de cargas de trabalho na nuvem). O Microsoft Defender para Nuvem encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e pode proteger cargas de trabalho em ambientes multinuvem e híbridos contra ameaças em evolução.
- O Microsoft Azure Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.
- Os servidores habilitados para o Azure Arc permitem conectar o Azure a seus computadores Windows e Linux hospedados fora do Azure em sua rede empresarial ou em outros provedores de nuvem. Quando um servidor é conectado ao Azure, ele se torna um servidor habilitado para Arc e é tratado como um recurso no Azure. Cada servidor habilitado para Arc tem uma ID de recurso, uma identidade de sistema gerenciada e é gerenciado como parte de um grupo de recursos dentro de uma assinatura. Os servidores habilitados para Arc aproveitam constructos padrão do Azure, como inventário, política, marcas e Azure Lighthouse.
- A virtualização aninhada do Hyper-V é usada pelo Jumpstart ArcBox for IT Pros para hospedar máquinas virtuais do Windows Server em uma máquina virtual do Azure. Isso fornece a mesma experiência que o uso de computadores físicos do Windows Server, mas sem os requisitos de hardware.
- A Rede Virtual do Azure fornece uma rede privada que permite que os componentes do Grupo de Recursos do Azure se comuniquem, como as máquinas virtuais.
Detalhes do cenário
Possíveis casos de uso
Alguns usos típicos dessa arquitetura:
- Organize, controle e inventarie grandes grupos de máquinas virtuais (VMs) e servidores em vários ambientes.
- Imponha padrões da organização e avalie a conformidade em escala para todos os seus recursos, em qualquer lugar, com o Azure Policy.
- Implante facilmente extensões de VM compatíveis em servidores habilitados para Arc.
- Configure e imponha o Azure Policy para VMs e servidores hospedados em vários ambientes.
Recomendações
As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.
Configurar o agente de Computador Conectado ao Azure Arc
Você pode conectar qualquer outra máquina física ou virtual que executa o Windows ou o Linux ao Azure Arc. Antes de integrar computadores, certifique-se de concluir os pré-requisitos do agente de computador conectado, que incluem registrar os provedores de recursos do Azure para servidores habilitados para Azure Arc. Para usar o Azure Arc para conectar o computador ao Azure, você precisa instalar o agente do Azure Connected Machine em cada computador que planeja conectar usando o Azure Arc. Para obter mais informações, consulte Visão geral do agente de servidores habilitado para Azure Arc.
Uma vez configurado, o agente do Connected Machine envia uma mensagem de pulsação ao Azure. Quando a pulsação não é recebida, o Azure atribui o status off-line do computador, que é refletido no portal entre 15 a 30 minutos. Ao receber uma mensagem de pulsação subsequente do agente do Connected Machine, o status dela muda automaticamente para Conectado.
Há várias opções disponíveis no Azure para conectar seus computadores Windows e Linux:
- Instalação manual: os servidores habilitados para Azure Arc podem ser habilitados para um ou alguns computadores Windows ou Linux em seu ambiente usando o conjunto de ferramentas Windows Admin Center ou executando um conjunto de etapas manualmente.
- Instalação baseada em script: você pode executar a instalação automatizada do agente executando um script de modelo baixado do portal do Azure.
- Conecte computadores em escala usando uma entidade de serviço: para integrar em escala, use uma entidade de serviço e implante por meio da automação existente da sua organização.
- Instalação usando o DSC do PowerShell do Windows
Consulte as opções de implantação do agente do Azure Connected Machine para obter uma documentação abrangente sobre as várias opções de implantação disponíveis.
Habilitar a configuração de convidado do Azure Policy
Os servidores habilitados para Azure Arc dão suporte ao Azure Policy na camada de gerenciamento de recursos do Azure e também no computador de servidor individual, usando as políticas de configuração de convidado. A configuração de Convidado do Azure Policy pode auditar ou definir as configurações dentro de um computador, tanto para computadores em execução no Azure quanto em servidores habilitados para o Arc. Por exemplo, você pode auditar configurações como:
- Configuração do sistema operacional
- Configuração ou presença do aplicativo
- Configurações do ambiente
Há várias definições internas do Azure Policy para o Azure Arc. Essas políticas fornecem configurações de auditoria e configuração para computadores baseados em Windows e Linux.
Habilitar o Gerenciador de Atualizações do Azure
Gerenciador de Atualizações. Você precisa adotar um gerenciamento de atualizações para servidores habilitados para Arc. O gerenciador de atualizações é recomendado para gerenciar atualizações do sistema operacional e avaliar o status das atualizações disponíveis em todas as máquinas do agente. O gerenciador de atualizações também deve ser usado para gerenciar o processo de instalação das atualizações necessárias para servidores.
Controle de alterações e inventário. O Controle de Alterações e Inventário da Automação do Azure para servidores habilitados para Arc permite que você determine qual software está instalado em seu ambiente. É possível coletar e observar inventário para software, arquivos, daemons do Linux, serviços do Windows e chaves de Registro do Windows. Acompanhar as configurações de seus computadores pode ajudar a detectar problemas operacionais em seu ambiente e entender melhor o estado dos seus computadores.
Monitorar servidores habilitados para Azure Arc
Use o Azure Monitor para monitorar suas VMs, seus conjuntos de dimensionamento de máquinas virtuais e computadores do Azure Arc em grande escala. O Azure Monitor analisa o desempenho e a integridade das VMs do Windows e do Linux e monitora os processos e as dependências de outros recursos e processos externos. A solução inclui suporte para monitorar o desempenho e as dependências de aplicativos nas VMs hospedadas localmente ou em outro provedor de nuvem.
Os agentes do Azure Monitor devem ser implantados automaticamente em servidores Windows e Linux habilitados para Azure Arc usando o Azure Policy. Examine e entenda como o agente do Log Analytics opera e coleta dados, antes da implantação.
Projete e planeje a implantação do workspace do Log Analytics. Será o contêiner em que os dados são coletados, agregados e analisados posteriormente. Um workspace do Log Analytics representa uma localização geográfica dos dados, o isolamento de dados e o escopo para configurações como a retenção de dados. Use um único espaço de trabalho de análise de logs do Azure Monitor, conforme descrito nas práticas recomendadas de gerenciamento e de monitoramento na estrutura de adoção da nuvem.
Manter a segurança dos servidores habilitados para Azure Arc
Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas dos servidores habilitados para Azure Arc e executar revisões de acesso periódicas para essas identidades. Controle as funções de usuário com privilégios para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.
Use o Azure Key Vault para gerenciar certificados nos servidores habilitados para Azure Arc. A extensão de VM do cofre de chaves permite que você gerencie o ciclo de vida do certificado em computadores Windows e Linux.
Conecte servidores habilitados para Azure Arc ao Microsoft Defender para Nuvem. Isso ajuda você a começar a coletar configurações relacionadas à segurança e logs de eventos para que possa recomendar ações e melhorar sua postura geral de segurança do Azure.
Conectar servidores habilitados para Azure Arc ao Microsoft Sentinel. Isso permite que você comece a coletar eventos relacionados à segurança e a correlacioná-los com outras fontes de dados.
Validar topologia de rede
O agente do Connected Machine para Linux e Windows comunica a saída com segurança ao Azure Arc pela porta TCP 443. O agente do computador conectado pode se conectar ao painel de controle do Azure usando os seguintes métodos:
- Conexão direta com pontos de extremidade públicos do Azure, opcionalmente por trás de um firewall ou de um servidor proxy.
- O Azure Private Link usando um modelo de escopo de link privado para permitir que vários servidores ou computadores se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.
Consulte Topologia de rede e conectividade para servidores habilitados para Azure Arc para obter diretrizes de rede abrangentes para a implementação de servidores habilitados para Arc.
Considerações
Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Confiabilidade
- Na maioria dos casos, o local selecionado durante a criação do script de instalação deve ser a região do Azure mais próxima à localização do seu computador. Os dados restantes serão armazenados na geografia do Azure que contém a região especificada por você, o que também pode afetar sua escolha de região, em caso de requisitos de residência de dados. Se uma interrupção afetar a região do Azure à qual seu computador está conectado, a interrupção não afetará o servidor habilitado para Arc. No entanto, as operações de gerenciamento usando o Azure podem não estar disponíveis.
- Se você tiver vários locais que forneçam um serviço com redundância geográfica, será melhor conectar os computadores em cada local a uma região diferente do Azure para ter mais resiliência em caso de interrupção regional.
- Se o agente do Azure Connected Machine parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar as tarefas operacionais. Portanto, é necessário desenvolver um plano para notificações e respostas.
- Configure os alertas de Resource Health para receber notificações quase em tempo real quando esses recursos tiverem uma alteração no seu status de integridade. Defina uma política de monitoramento e alerta no Azure Policy que identifique servidores habilitados para Azure Arc não íntegros.
- Estenda sua atual solução de backup para o Azure ou configure facilmente nossa replicação com reconhecimento de aplicativos e nosso backup consistente com aplicativos dimensionado segundo as necessidades comerciais. A interface de gerenciamento centralizada para Backup do Azure e Azure Site Recovery simplifica a definição de políticas para proteger, monitorar e gerenciar servidores Windows e Linux habilitados para Arc.
- Analise as diretrizes de continuidade de negócios e de recuperação de desastres para determinar se seus requisitos corporativos são atendidos.
- Outras considerações de confiabilidade para sua solução são descritas na seção de princípios de design de confiabilidade no Microsoft Azure Well-Architected Framework.
Segurança
- O Azure RBAC (controle de acesso baseado em função) apropriado deve ser gerenciado para servidores habilitados para Arc. Para os computadores de integração, você deve ser membro da função Integração do Azure Connected Machine. Para ler, modificar, reintegrar e excluir um computador, é necessário ser membro da função Administrador de Recursos do Azure Connected Machine.
- O Microsoft Defender para Nuvem pode monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de serviços de nuvem. Habilite o Microsoft Defender para servidores para todas as assinaturas que contêm servidores habilitados para Azure Arc, para monitoramento de linha de base de segurança, gerenciamento da postura de segurança e proteção contra ameaças.
- O Microsoft Sentinel pode ajudar a simplificar a coleta de dados em diferentes fontes, inclusive o Azure, soluções locais e em nuvens usando conectores integrados.
- Você pode usar o Azure Policy para gerenciar políticas de segurança em seus servidores habilitados para Arc, incluindo a implementação de políticas de segurança no Microsoft Defender para Nuvem. Uma política de segurança define a configuração desejada das suas cargas de trabalho e ajuda a garantir que você esteja em conformidade com os requisitos de segurança da sua empresa ou das agências reguladoras. As políticas do Defender para Nuvem são baseadas nas iniciativas de políticas criadas no Azure Policy.
- Para limitar quais extensões podem ser instaladas em seu servidor habilitado para Arc, você pode configurar as listas de extensões que deseja permitir e bloquear no servidor. O gerenciador de extensões avaliará todas as solicitações para instalar, atualizar ou atualizar extensões em relação à permissão e à barra de bloqueio para determinar se a extensão pode ser instalada no servidor.
- O Link Privado do Azure permite vincular com segurança os serviços PaaS do Azure a sua rede virtual usando pontos de extremidade privados. Você pode conectar seus servidores locais ou de várias nuvens ao Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. Você pode usar um modelo de escopo de link privado para permitir que vários servidores ou computadores se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.
- Consulte Visão geral da segurança de servidores habilitados para Azure Arc para obter uma visão geral abrangente dos recursos de segurança no servidor habilitado para Azure Arc.
- Outras considerações de segurança para sua solução são descritas na seção de princípios de design de segurança no Microsoft Azure Well-Architected Framework.
Otimização de custo
- A funcionalidade de painel de controle do Azure Arc é fornecida sem custo adicional. Isso inclui suporte para a organização de recursos por meio de grupos de gerenciamento e marcas do Azure e controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure. Os serviços do Azure usados em conjunto com servidores habilitados para Azure Arc incorrem em custos de acordo com seu uso.
- Consulte Governança de custos para servidores habilitados para Azure Arc para obter diretrizes adicionais de otimização de custos do Azure Arc.
- Outras considerações de custo para sua solução são descritas na seção Princípios de otimização de custos no Microsoft Azure Well-Architected Framework.
- Use a Calculadora de Preços do Azure para estimar os custos.
- Na hora de executar a implementação de referência do Jumpstart ArcBox for IT Pros para essa arquitetura, lembre-se de que os recursos do ArcBox geram cobranças de consumo do Azure a partir dos recursos subjacentes do Azure. Esses recursos incluem computação de núcleo, armazenamento, rede e serviços auxiliares.
Excelência operacional
- Automatize a implantação do seu ambiente de servidores habilitados para Arc. A implementação de referência dessa arquitetura é totalmente automatizada usando uma combinação de modelos do Azure ARM, extensões de VM, configurações do Azure Policy e scripts do PowerShell. Você também pode reutilizar esses artefatos para suas próprias implantações. Consulte Disciplinas de automação para servidores habilitados para Azure Arc para obter diretrizes adicionais de automação de servidores habilitados para Arc no CAF (Cloud Adoption Framework).
- Há várias opções disponíveis no Azure para automatizar a integração de servidores habilitados para Arc. Para integrar em grande escala, use uma entidade de serviço e implante por meio da plataforma de automação existente da sua organização.
- As extensões de VM podem ser implantadas em servidores habilitados para Arc para simplificar o gerenciamento de servidores híbridos durante todo o ciclo de vida. Considere automatizar a implantação de extensões de VM por meio do Azure Policy ao gerenciar servidores em escala.
- Habilite o Gerenciamento de patches e atualizações em seus servidores habilitados para Azure Arc integrados para facilitar o gerenciamento do ciclo de vida do sistema operacional.
- Analise os Casos de uso de operações unificadas do Arc Jumpstart para saber mais sobre cenários de excelência operacional para servidores habilitados para Azure Arc.
- Outras considerações de excelência operacional para sua solução são descritas na seção de princípios de design de excelência operacional no Microsoft Azure Well-Architected Framework.
Eficiência de desempenho
- Antes de configurar seus computadores com os servidores habilitados para Azure Arc, examine os limites de assinatura e os limites de grupo de recursos do Azure Resource Manager para planejar o número de computadores a serem conectados.
- Uma abordagem de implantação em fases, conforme descrito no guia de implantação, pode ajudar a determinar os requisitos de capacidade de recursos para sua implementação.
- Use o Azure Monitor para coletar dados diretamente dos servidores habilitados para Arc do Azure em um workspace do Log Analytics para correlação e análise detalhadas. Examine as opções de implantação para os agentes do Azure Monitor.
- Considerações adicionais de eficiência de desempenho para sua solução são descritas na seção Princípios de eficiência de desempenho no Microsoft Azure Well-Architected Framework.
Implantar este cenário
A implementação de referência dessa arquitetura está no Jumpstart ArcBox for IT Pros, que faz parte do projeto Arc Jumpstart. O ArcBox foi projetado para ser completamente autônomo em uma única assinatura do Azure e em um grupo de recursos. O ArcBox torna mais fácil para um usuário obter experiência prática com toda a tecnologia Azure Arc disponível com nada mais do que uma assinatura disponível do Azure.
Para executar a implementação de referência, siga as etapas no repositório GitHub selecionando o botão Jumpstart ArcBox for IT Pros abaixo.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Pieter de Bruin | Gerente de Programas Sênior
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
- Saiba mais sobre o Azure Arc
- Saiba mais sobre os servidores habilitados para Azure Arc
- Roteiro de aprendizagem do Azure Arc
- Examinar cenários do Azure Arc Jumpstart no Arc Jumpstart
- Examinar o acelerador de zona de destino de servidores habilitados para Arc no CAF
Recursos relacionados
Explorar arquiteturas relacionadas: