Quali sono le funzionalità di gestione e governance di base dei server abilitati per Azure Arc?

  • 10 minuti

Azure Arc consente di estendere l'ambito di diversi servizi di Azure a server Windows e Linux non di Azure. Questo consente alle aziende come Contoso di standardizzare la strategia di gestione quando operano in scenari ibridi. In questa unità verranno fornite informazioni sulle funzionalità di Azure Arc, concentrandosi su quelle disponibili esclusivamente per i server Azure e abilitati per Azure Arc.

Quali sono le funzionalità di gestione delle risorse di base dei server abilitati per Azure Arc?

Alcuni dei vantaggi di Azure Arc sono indipendenti dal tipo di risorsa, perché rispecchiano le funzionalità di Azure Resource Manager. Questi vantaggi includono:

  • Possibilità di organizzare tutte le risorse dell'organizzazione tramite gruppi di gestione, sottoscrizioni, gruppi di risorse e tag di Azure.

  • Un unico inventario completo degli asset aziendali negli ambienti multicloud e locali, incluso il supporto per la ricerca e l'indicizzazione tramite Azure Resource Graph.

  • Una visualizzazione consolidata delle risorse di Azure e abilitate per Azure Arc tramite il portale di Azure, l'interfaccia della riga di comando di Azure (CLI), Azure PowerShell e l'API (Application Programming Interface) REST (Representational State Transfer).

  • Accesso diretto dal portale di Azure alla maggior parte delle funzionalità di gestione dei server abilitati per Azure Arc:

    • Controllo degli accessi in base al ruolo per la visualizzazione di log e dati di inventario dei server
    • Estensioni delle macchine virtuali per la distribuzione di agenti software e l'esecuzione di script nel server
    • Configurazione guest di Criteri di Azure per controllare la configurazione del sistema operativo e del software
    • Un'identità gestita assegnata dal sistema Microsoft Entra per le app in esecuzione nel server da usare durante l'autenticazione ad altri servizi di Azure

Screenshot della pagina di gestione delle identità e degli accessi (IAM) nel portale di Azure per la macchina virtuale selezionata: ContosoVM1. Il riquadro dei dettagli mostra alcune delle schede: Verifica l'accesso (selezionata), Assegnazioni di ruoli, Assegnazioni di rifiuto, Amministratori (versione classica) e Ruoli.

Esistono anche vantaggi specifici per i server abilitati per Azure Arc, ad esempio:

  • Possibilità di applicare le estensioni della macchina virtuale di Azure per automatizzare la configurazione dei server Windows e Linux Azure e non Azure in modo coerente.
  • Supporto della configurazione guest di Criteri di Azure. Il servizio Criteri di Azure supporta il controllo dei server abilitati per Azure Arc nello stesso modo usato per le relative controparti residenti in Azure. Ciò consente di usare lo stesso approccio per valutare se le configurazioni di tutti i server dell'ambiente sono conformi agli standard aziendali.

Quali sono le estensioni della macchina virtuale e come vengono usate con i server abilitati per Azure Arc?

Le estensioni macchina virtuale sono componenti software leggeri che automatizzano le attività di configurazione e automazione successive alla distribuzione del sistema operativo. Tradizionalmente, tali estensioni erano disponibili solo nelle macchine virtuali di Azure, ma ora è possibile usarne alcune nei server abilitati per Azure Arc. La tabella seguente descrive le estensioni che è possibile aggiungere ai server abilitati per Azure Arc che eseguono il sistema operativo Windows Server o Linux:

Estensione Informazioni aggiuntive
Agente di Log Analytics Installa l'agente di Log Analytics nel server abilitato per Arc di destinazione e lo configura per l'inoltro di log a un'area di lavoro Log Analytics.
Dependency Agent Installa Dependency Agent nel server abilitato per Arc di destinazione per facilitare l'identificazione delle dipendenze interne ed esterne dei carichi di lavoro del server.
Agente di Azure Key Vault Sincronizza i certificati da un'istanza di Azure Key Vault al server abilitato per Arc.
Estensione Qualys Soluzione di analisi delle vulnerabilità Microsoft Defender per i server.
Desired State Configuration Applica una configurazione DSC PowerShell nel server abilitato per Arc di destinazione.
Estensione di script personalizzati Esegue uno script nel server abilitato per Arc di destinazione.

Che cos'è Criteri di Azure e come viene usato per la governance dei server abilitati per Azure Arc?

Criteri di Azure è un servizio che consente alle organizzazioni di gestire e valutare la conformità interna e normativa dei server abilitati per Arc, oltre che di un'ampia gamma di servizi di Azure. Criteri di Azure usa regole dichiarative basate sulle proprietà dei tipi di risorse di destinazione, inclusi i sistemi operativi Windows e Linux. Queste regole costituiscono le definizioni dei criteri che gli amministratori possono applicare tramite l'assegnazione dei criteri a gruppi di risorse, sottoscrizioni o gruppi di gestione che ospitano i server abilitati per Azure Arc. Per semplificare la gestione delle definizioni dei criteri, è possibile combinare più criteri in iniziative e quindi creare alcune assegnazioni di iniziative invece di più assegnazioni di criteri.

Criteri di Azure supporta il controllo dello stato del server abilitato per Arc con i criteri di configurazione guest. I criteri di configurazione guest non applicano configurazioni, ma controllano le impostazioni all'interno del sistema operativo di destinazione e ne valutano la conformità. È tuttavia possibile usare Criteri di Azure per applicare la configurazione della risorsa di Azure che rappresenta un server abilitato per Arc. È anche possibile usare Criteri di Azure per distribuire le configurazioni sfruttando le estensioni delle macchine virtuali.

Contoso, ad esempio, potrebbe usare Criteri di Azure per implementare le regole seguenti:

  • Assegnazione di un tag specifico alle risorse che rappresentano i server abilitati per Arc durante la registrazione.
  • Identificare i server abilitati per Arc che eseguono Windows con Windows Defender Exploit Guard disabilitato.
  • Identificare i server abilitati per Arc che eseguono Windows e non sono stati aggiunti a uno specifico dominio di Active Directory Domain Services (AD DS).
  • Identificare i server abilitati per Arc che eseguono Windows o Linux senza l'agente di Log Analytics installato.
  • Identificare i server abilitati per Arc che eseguono Linux e non usano chiavi SSH per l'autenticazione.

Nota

I criteri che supportano la correzione non devono valutare la logica del criterio all'interno del sistema operativo del server abilitato per Azure Arc, ma si basano invece sui metadati delle risorse di Azure. Esempi di tali criteri includono l'imposizione della conformità dei tag o la distribuzione delle estensioni delle macchine virtuali.

Nota

Criteri di Azure supporta le macchine virtuali di Azure e i server abilitati per Azure Arc, offrendo una visualizzazione coerente ed estesa a tutta l'organizzazione delle informazioni sulla conformità.

Come si assegnano criteri di Azure ai server abilitati per Azure Arc?

È possibile gestire i criteri di Azure e assegnarli ai server abilitati per Azure Arc direttamente dal portale di Azure.

Screenshot che illustra la pagina di assegnazione criteri nel portale di Azure. L'amministratore seleziona in un elenco di criteri disponibili.

Poco dopo aver creato un'assegnazione di criteri sarà possibile esaminare il risultato della valutazione dei criteri nei server abilitati per Azure Arc di destinazione.

Screenshot che illustra i criteri applicati in ContosoVM1. Sono applicati due criteri e la macchina virtuale è conforme a un criterio, ma non all'altro.

Quali sono i vantaggi di Gestore aggiornamenti di Azure negli scenari ibridi?

Gestore aggiornamenti di Azure è un servizio unificato che consente di gestire e governare gli aggiornamenti per tutti i computer ibridi. È possibile monitorare la conformità degli aggiornamenti di Windows e Linux nei computer ibridi da un singolo pannello di gestione. Con il Gestore aggiornamenti di Azure è possibile installare aggiornamenti in tempo reale o pianificarli all'interno di una finestra di manutenzione definita.

Gestore aggiornamenti di Azure consente di:

  • Verificare immediatamente la presenza di aggiornamenti o distribuire aggiornamenti critici o sulla sicurezza per proteggere i computer ibridi.
  • Abilitare la valutazione periodica per controllare la disponibilità degli aggiornamenti più recenti per i computer ibridi.
  • Usare opzioni di applicazione di patch flessibili, ad esempio pianificazioni di manutenzione definite dal cliente e applicazione di patch a caldo.
  • Creare dashboard per la creazione di report personalizzati relativi allo stato degli aggiornamenti e configurare gli avvisi per determinate condizioni.
  • Supervisionare la conformità degli aggiornamenti per tutti i computer ibridi.

Quali sono i vantaggi di Desired State Configuration (DSC) di Automazione di Azure in scenari ibridi?

PowerShell DSC è una tecnologia che implementa la gestione della configurazione dichiarativa mediante una combinazione di script di PowerShell e funzionalità del sistema operativo. La configurazione può essere semplice, ad esempio per assicurarsi che una funzionalità specifica di Windows sia abilitata, o complessa, ad esempio per la distribuzione di SharePoint. È possibile distribuire una configurazione DSC in modalità push o pull. La modalità push implica la chiamata della distribuzione da un computer di gestione su uno o più computer gestiti. In modalità pull, i computer gestiti eseguono automaticamente la distribuzione, in base ai dati di configurazione da una posizione designata, denominata server di pull. Automazione di Azure include un server di pull DSC gestito e residente in Azure. È possibile applicare una configurazione DSC in modalità push a computer non Azure, inclusi i server abilitati per Azure Arc usando l'estensione della macchina virtuale. In alternativa, è possibile eseguire l'onboarding di entrambi i tipi di sistemi in Automazione di Azure e gestirne la configurazione tramite un server di pull.

Quali sono i vantaggi di Gestione automatica di Azure in scenari ibridi?

Le best practice di Gestione automatica di Azure per i computer rappresentano un servizio che elimina la necessità di individuare, sapere come eseguire l'onboarding e come configurare determinati servizi in Azure che potrebbero avere vantaggi per il server abilitato per Arc. Dopo l'onboarding dei computer in Gestione automatica di Azure, ogni servizio consigliato è configurato con le impostazioni consigliate. La gestione automatica di Azure monitora e corregge automaticamente anche la deriva quando viene rilevata. I servizi partecipanti includono:

  • Monitoraggio informazioni dettagliate delle macchine virtuali
  • Rilevamento modifiche e inventario
  • Configurazione guest di Azure
  • Account di automazione di Azure
  • Area di lavoro Log Analytics

Scegliere la risposta migliore per ognuna delle domande di seguito.

Verificare le conoscenze

1.

Quale estensione della macchina virtuale può essere aggiunta dall'amministratore ai server abilitati per Azure Arc per iniziare a monitorarli con i servizi di Azure?

2.

Cosa può fare l'amministratore per controllare le modifiche dello stato del sistema operativo dei server abilitati per Azure Arc?