上篇文章中,我们提到了通过 Azure Arc 管理 Azure 外部托管的以下资源类型:
- 服务器:管理在 Azure 外部托管的 Windows 和 Linux 物理服务器和虚拟机。
- Kubernetes 群集:通过多个受支持的分发,附加和配置在任意位置运行的 Kubernetes 群集。
- Azure 数据服务:使用 Kubernetes 和你选择的基础结构在本地、边缘和公有云环境中运行 Azure 数据服务。 SQL 托管实例和 PostgreSQL(预览版)服务目前可用。
- SQL Server:将 Azure 服务扩展到在 Azure 外部托管的 SQL Server 实例。
- 虚拟机(预览版):基于 VMware vSphere 或 Azure Stack HCI 对虚拟机进行预配、重设大小、删除和管理操作,并通过基于角色的访问启用 VM 自助服务。
本篇文章,将介绍已启用Azure Arc的服务器。启用 Azure Arc 的服务器让你可以管理 Windows 和 Linux 物理服务器以及托管在 Azure外部、公司网络或其他云提供商上的虚拟机。出于 Azure Arc 的目的,这些在 Azure 外部托管的计算机被视为混合计算机。Azure Arc 中混合机的管理旨在与您管理本机 Azure 虚拟机的方式保持一致,使用标准的 Azure 构造(例如 Azure Policy 和应用标记)。当一台混合机器连接到 Azure 时,它就成为一台连接的机器,并被视为 Azure 中的一种资源。每台连接的机器都有一个资源 ID,使机器能够包含在资源组中。要将混合计算机连接到 Azure,请在每台计算机上安装Azure Connected Machine 代理。此代理不会替代 Azure Log Analytics 代理/ Azure Monitor 代理。需要用于 Windows 和 Linux 的 Log Analytics 代理或 Azure Monitor 代理,以便:
- 主动监控机器上运行的操作系统和工作负载
- 使用自动化运行手册或更新管理等解决方案对其进行管理
- 使用Microsoft Defender for Cloud等其他 Azure 服务
一、什么是启用了Azure Arc 的服务器
使用已启用 Azure Arc 的服务器,可以开始管理所有服务器,就像它们是某个资源组中的 Azure 资源一样。您的托管服务器可以是:
- 物理计算机。
- 托管在本地数据中心的 VM。
- 由其他云提供商托管的 VM。
- 运行Windows Server或许多流行的Linux发行版。
二、可以使用启用了 Azure Arc 的服务器执行哪些操作
将计算机连接到已启用 Azure Arc 的服务器后,可以像使用原生 Azure 虚拟机一样执行许多操作功能。 下面是一些支持用于已连接计算机的关键操作。
- 治理:
- 向计算机内部的审核设置分配 Azure Policy 来宾配置。
- 保护:
- 使用 Microsoft Defender for Endpoint(通过 Microsoft Defender for Cloud 提供,用于威胁检测、漏洞管理和主动监视潜在安全威胁)保护非 Azure 服务器。 Microsoft Defender for Cloud 根据检测到的威胁提供警报和修正建议。
- 使用 Microsoft Sentinel 收集与安全相关的事件,并将这些事件与其他数据源相关联。
- 配置:
- 使用 Azure 自动化通过 PowerShell 和 Python runbook 执行频繁且耗时的管理任务。 使用更改跟踪和清单,评估已安装软件、Microsoft 服务、Windows 注册表和文件以及 Linux 守护程序的配置更改
- 使用更新管理,为 Windows 和 Linux 服务器管理操作系统更新。 使用 Azure Automanage(预览版)时,自动加入和配置一组 Azure 服务。
- 使用支持的已启用 Arc 的服务器 VM 扩展,为非 Azure Windows 或 Linux 计算机执行部署后配置和自动化任务。
- 监视:
- 监视操作系统性能,并发现应用程序组件,以使用 VM 见解来监视进程以及与其他资源配合使用的依赖项。
- 使用 Log Analytics 代理从计算机上运行的操作系统或工作负荷收集其他日志数据,例如性能数据和事件。 此数据存储在 Log Analytics 工作区中。
注意:目前,不支持直接从启用了 Arc 的服务器直接启用 Azure 自动化更新管理。 从混合计算机收集并存储在 Log Analytics 工作区中的日志数据包含特定于计算机的属性(例如资源 ID),用于支持资源上下文日志访问。
三、目前支持的区域
目前有关启用 Azure Arc 的服务器支持的区域的列表如下
加拿大 | 美国 | ||||||||||
产品 | 加拿大东部 | 加拿大中部 | 美国东部 | 美国东部 2 | 美国西部 | 美国西部 2 | 美国西部 3 | 美国中北部 | 美国中部 | 美国中南部 | 美国中西部 |
已启用 Azure Arc 的服务器 |
在大多数情况下,创建安装脚本时选择的位置应该是在地理位置上最接近你的计算机位置的 Azure 区域。 静态数据存储在包含你指定区域的 Azure 地理区域中,如果你有数据驻留要求,这可能也会影响你对区域的选择。 如果你的计算机连接到的 Azure 区域受中断影响,则已连接的计算机不受影响,但使用 Azure 的管理操作可能无法完成。 如果发生区域性服务中断,而你有多个支持异地冗余服务的位置,则最好将各个位置的计算机连接到另一个 Azure 区域。
有关已连接计算机的实例元数据信息收集并存储在配置了 Azure Arc 计算机资源的区域中,这些信息包括:
- 操作系统名称和版本
- 计算机名称
- 计算机完全限定域名 (FQDN)
- Connected Machine 代理版本
例如,如果计算机注册到“美国东部”区域的 Azure Arc,则元数据存储在“美国”区域中。
四、连接服务器至Azure Arc
管理员的第一步是将其服务器连接到 Azure Arc。将服务器接入 Azure Arc 后,它将成为启用了Azure Arc的服务器,并被视为 Azure 资源。可以使用标准 Azure 工具和策略管理该资源。
接入的每台计算机都是:
- 分配了资源 ID。
- 作为订阅内资源组的一部分进行管理。
- 受益于标准的 Azure 构造,例如应用标记或 Azure Policy。
若要接入服务器,必须安装 Azure Connected Machine 代理。将你的计算机连接到启用了 Azure Arc 的服务器。Azure Connected Machine 代理目前支持以下版本的 Windows 和 Linux 操作系统:
- Windows Server 2008 R2 SP1、2012 R2、2016、2019 和 2022,包括Server core安装
- Windows IOT 企业版
- Azure Stack HCI
- Ubuntu 16.04、18.04 和 20.04 LTS
- CentOS Linux 7 和 8
- SUSE Linux Enterprise Server (SLES) 12 和 15
- Red Hat Enterprise Linux (RHEL) 7 和 8
- Amazon Linux 2
- Oracle Linux 7 和 8
Azure Connected Machine 代理每五分钟向 Azure Arc 服务发送一次心跳消息。如果 Azure Arc 服务停止从连接的计算机接收心跳消息,它会认为该计算机处于离线状态。然后机器被标记为Disconnected直到心跳恢复,此时机器被标记为Connected。
五、管理和配置服务器
载入服务器计算机后,可以使用 Azure Arc 管理和配置该设备。下表描述了其中一些功能:
选择 | 描述 |
概述 | 可以查看有关服务器的基本信息,包括状态、位置、订阅、计算机名称、操作系统和标记。 |
活动日志 | 可以查看在服务器上执行的活动及其执行者的列表。 |
访问控制 | 可以通过创建角色分配来查看和管理此范围内的用户、组、服务主体和托管标识对 Azure 资源的访问权限。 |
标签 | 标签是用于对资源进行分类的名称/值对。 |
策略 | 可以为服务器添加、配置和删除策略。 |
更新管理 | 此选项使您能够保持一致的服务器控制和符合性。 |
更改跟踪和清单 | 可以查看服务器的更改跟踪和清单配置。更改跟踪和清单有助于实现对资源的一致控制和合规性。 |
见解 | 可以使用 Azure 监视器查看主机 CPU、磁盘以及已启用 Azure Arc 的服务器的联机/脱机状态。 |
日志 | 可以运行日志查询以收集有关服务器的信息。 |
扩展 | 可以为服务器添加和删除扩展。扩展是在服务器上提供部署后配置和自动化任务的小型应用。例如,如果服务器需要新软件,或者 IT 人员需要在服务器上运行脚本,则 Contoso 可以使用扩展。 |
启用 Azure Arc 的服务器允许将扩展部署到未托管在 Azure 上的 Windows 和 Linux 服务器,这有助于简化这些计算机的管理。下表介绍了可以添加到已启用 Azure Arc 的服务器的一些扩展:
外延 | 其他信息 |
自定义脚本扩展 | 在服务器上下载并运行脚本 |
DSC | 在服务器上上传并应用 PowerShell DSC 配置 |
日志分析代理 | 在服务器上安装 Log Analytics 代理并将 VM 注册到现有的 Log Analytics 工作区 |
微软依赖代理 | 安装 Dependency Agent 以在服务器上启用 Azure Monitor Insights |