Gerenciar configurações para servidores habilitados para o Azure Arc

Essa arquitetura de referência ilustra como você pode usar o Azure Arc para gerenciar, governar e proteger servidores em cenários locais, multinuvem e de borda. A arquitetura se baseia na implementação do do Azure Arc Jumpstart ArcBox for IT Pros. O ArcBox é uma solução que fornece uma área restrita fácil de implantar para todas as coisas do Azure Arc. ArcBox for IT Pros é uma versão do ArcBox destinada a usuários que desejam experimentar recursos de servidor habilitados para Azure Arc em um ambiente de área restrita.

Arquitetura

Baixe um arquivo do PowerPoint dessa arquitetura.

Componentes

Essa arquitetura consiste nos seguintes componentes:

• Um grupo de recursos do Azure é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo.
• A pasta de trabalho ArcBox é uma pasta de trabalho do Azure Monitor que fornece um único painel de controle para monitorar e relatar os recursos do ArcBox. A pasta de trabalho atua como uma tela flexível para análise e visualização de dados no portal do Azure, reunindo informações de várias fontes de dados de todo o ArcBox e combinando-as em uma experiência interativa integrada.
• O Azure Monitor permite que você acompanhe o desempenho e os eventos de sistemas em execução no Azure, localmente ou em outras nuvens.
• configuração de convidado do Azure Policy pode auditar os sistemas operacionais e a configuração do computador para computadores em execução em servidores habilitados para Azure e Azure Arc em execução local ou em outras nuvens.
• O Azure Log Analytics é uma ferramenta do portal do Azure usada para editar e executar consultas de log dos dados coletados pelos logs do Azure Monitor e analisar os resultados de maneira interativa. É possível usar as consultas do Log Analytics para recuperar registros que correspondem a critérios específicos, além de identificar tendências, analisar padrões e fornecer uma variedade de insights sobre seus dados.
• O Microsoft Defender para Nuvem é uma plataforma de CSPM (gerenciamento da postura de segurança na nuvem) e de CWP (plataforma de proteção de cargas de trabalho na nuvem). O Defender para Nuvem encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e pode proteger cargas de trabalho em ambientes multinuvem e híbrido contra ameaças em evolução.
• o Microsoft Sentinel é uma solução SIEM (gerenciamento de eventos e informações de segurança) escalonável, nativa da nuvem, e uma solução soar (orquestração, automação e resposta) de segurança. O Microsoft Sentinel fornece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele também fornece uma única solução para detecção de ataque, visibilidade de ameaças, busca proativa e resposta a ameaças.
• Os servidores habilitados para o Azure Arc permitem conectar o Azure a seus computadores Windows e Linux hospedados fora do Azure em sua rede empresarial ou em outros provedores de nuvem. Quando um servidor é conectado ao Azure, ele se torna um servidor habilitado para Azure Arc e é tratado como um recurso no Azure. Cada servidor habilitado para Azure Arc tem uma ID de Recurso, uma identidade do sistema gerenciado e é gerenciado como parte de um grupo de recursos dentro de uma assinatura. Os servidores habilitados para Azure Arc se beneficiam de constructos padrão do Azure, como inventário, política, marcas e Azure Lighthouse.
• Hyper-V de virtualização aninhada é usado pelo Jumpstart ArcBox para profissionais de TI para hospedar máquinas virtuais do Windows e do Linux Server dentro de uma máquina virtual do Azure. Essa abordagem fornece a mesma experiência que usar computadores físicos do Windows Server, mas sem os requisitos de hardware.
• rede virtual do Azure fornece uma rede privada que permite que componentes, como máquinas virtuais, no grupo de recursos do Azure se comuniquem.

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

• Organize, controle e inventarie grandes grupos de máquinas virtuais (VMs) e servidores em vários ambientes.
• Imponha padrões da organização e avalie a conformidade em escala para todos os seus recursos, em qualquer lugar, com o Azure Policy.
• Implante facilmente extensões de VM com suporte em servidores habilitados para Azure Arc.
• Configure e imponha o Azure Policy para VMs e servidores hospedados em vários ambientes.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Configurar o agente de Computador Conectado ao Azure Arc

Você pode conectar qualquer outra máquina física ou virtual que executa o Windows ou o Linux ao Azure Arc. Antes de integrar computadores, certifique-se de concluir os pré-requisitos do agente de computador conectado, que incluem registrar os provedores de recursos do Azure para servidores habilitados para Azure Arc. Para usar o Azure Arc para conectar o computador ao Azure, você precisa instalar o agente do Azure Connected Machine em cada computador que planeja conectar usando o Azure Arc. Para obter mais informações, consulte Visão geral do agente de servidores habilitado para Azure Arc.

Depois de configurar o agente do Connected Machine, ele envia uma mensagem de pulsação regular para o Azure a cada cinco minutos. Quando a pulsação não é recebida, o Azure atribui o computador status de offline, que é refletido no portal dentro de 15 a 30 minutos. Quando o Azure recebe uma mensagem de pulsação subsequente do agente do Connected Machine, seu status é alterado automaticamente para Connected.

Há várias opções disponíveis no Azure para conectar seus computadores Windows e Linux, incluindo:

• Instalar manualmente: você pode habilitar servidores habilitados para Azure Arc para um ou mais computadores Windows ou Linux em seu ambiente usando o Windows Admin Center ou executando um conjunto de etapas manualmente.
• Instale usando um script: você pode executar a instalação automatizada do agente executando um script de modelo baixado no portal do Azure.
• Conecte computadores em escala usando uma entidade de serviço: para integrar em escala, use uma entidade de serviço e implante por meio da automação existente de suas organizações.
• Instale usando o DSC do Windows PowerShell.

Consulte as opções de implantação do agente do Azure Connected Machine para obter uma documentação abrangente sobre as várias opções de implantação disponíveis.

Habilitar a configuração de convidado do Azure Policy

Os servidores habilitados para Azure Arc dão suporte ao Azure Policy na camada de gerenciamento de recursos do Azure e também no computador de servidor individual, usando as políticas de configuração de convidado. A configuração de convidado do Azure Policy pode auditar as configurações dentro de um computador, tanto para computadores em execução em servidores habilitados para Azure quanto para Azure Arc. Por exemplo, você pode auditar configurações como:

• Configuração do sistema operacional
• Configuração ou presença do aplicativo
• Configurações do ambiente

Há várias definições internas do Azure Policy para o Azure Arc. Essas políticas fornecem configurações de auditoria e configuração para computadores baseados em Windows e Linux.

Habilitar o Gerenciador de Atualizações do Azure e o controle de alterações

É importante que você adote um processo de gerenciamento de atualizações para servidores habilitados para Azure Arc habilitando os seguintes componentes:

• Use do Gerenciador de Atualizações do Azure para gerenciar, avaliar e controlar a instalação de atualizações do Windows e linux em todos os servidores.
• Use controle de alterações e de inventário para servidores habilitados para Azure Arc para:
  • Determine qual software está instalado em seu ambiente.
  • Colete e observe o inventário de software, arquivos, daemons do Linux, serviços do Windows e chaves do Registro do Windows.
  • Acompanhe as configurações de seus computadores para identificar problemas operacionais em seu ambiente e entender melhor o estado de seus computadores.

Monitorar servidores habilitados para Azure Arc

Use o Azure Monitor para monitorar suas VMs, conjuntos de dimensionamento de máquinas virtuais do Azure e máquinas do Azure Arc em escala. Use o Azure Monitor para:

• Analise o desempenho e a integridade de suas VMs Windows e Linux.
• Monitore processos e dependências de VM em outros recursos e processos externos.
• Monitore o desempenho e as dependências do aplicativo para VMs hospedadas localmente ou em outro provedor de nuvem.

O agente do Azure Monitor deve ser implantado automaticamente em servidores Windows e Linux habilitados para Azure Arc, por meio do Azure Policy. Examine e entenda como o agente do Azure Monitor opera e coleta dados antes da implantação.

Projete e planeje sua implantação do workspace dos Logs do Azure Monitor. O workspace é o contêiner em que os dados são coletados, agregados e analisados. Um workspace dos Logs do Azure Monitor representa uma localização geográfica de seus dados, isolamento de dados e escopo para configurações como retenção de dados. Use um único workspace de Logs do Azure Monitor, conforme descrito no práticas recomendadas de gerenciamento e monitoramento do Cloud Adoption Framework para Azure.

Manter a segurança dos servidores habilitados para Azure Arc

Use o RBAC (controle de acesso baseado em função) do Azure para controlar e gerenciar as permissões para identidades gerenciadas em servidores habilitados para Azure Arc e para executar revisões de acesso periódicas para essas identidades. Controlar funções de usuário com privilégios para impedir que identidades gerenciadas pelo sistema sejam mal utilizadas para obter acesso não autorizado aos recursos do Azure.

• Use o Azure Key Vault para gerenciar certificados nos servidores habilitados para Azure Arc. Você pode usar a extensão de VM do cofre de chaves para gerenciar o ciclo de vida do certificado em computadores Windows e Linux.
• conectar servidores habilitados para Azure Arc ao Defender para Cloud. Use o Defender para Nuvem para coletar as configurações relacionadas à segurança e os logs de eventos que você precisa para recomendar ações e melhorar sua postura geral de segurança do Azure.
• Conectar servidores habilitados para Azure Arc ao Microsoft Sentinel. Use o Microsoft Sentinel para coletar eventos relacionados à segurança e correlacionar-os com outras fontes de dados.

Validar topologia de rede

O agente do Connected Machine para Linux e Windows comunica a saída com segurança ao Azure Arc pela porta TCP 443. O agente do computador conectado pode se conectar ao painel de controle do Azure usando os seguintes métodos:

• Conexão direta com pontos de extremidade públicos do Azure, opcionalmente por trás de um firewall ou de um servidor proxy.
• O Azure Private Link usando um modelo de escopo de link privado para permitir que vários servidores ou computadores se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.

Consulte a topologia e a conectividade de rede para servidores habilitados para Azure Arc para obter diretrizes abrangentes de rede para sua implementação de servidores habilitados para Azure Arc.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design parade confiabilidade.

• Na maioria dos casos, o local selecionado durante a criação do script de instalação deve ser a região do Azure mais próxima à localização do seu computador. O restante dos dados é armazenado dentro da geografia do Azure que contém a região especificada, o que também pode afetar sua escolha de região se você tiver requisitos de residência de dados. Se uma interrupção afetar a região do Azure à qual o computador está conectado, a interrupção não afetará o servidor habilitado para Azure Arc. No entanto, as operações de gerenciamento usando o Azure podem não estar disponíveis.
• Se o agente de computador conectado do Azure parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar tarefas operacionais nele. Portanto, você deve desenvolver um plano para notificações e respostas.
• Configure os alertas de Resource Health para receber notificações quase em tempo real quando esses recursos tiverem uma alteração no seu status de integridade. Defina uma política de monitoramento e alerta no Azure Policy que identifique servidores habilitados para Azure Arc não íntegros.
• Estenda sua atual solução de backup para o Azure ou configure facilmente nossa replicação com reconhecimento de aplicativos e nosso backup consistente com aplicativos dimensionado segundo as necessidades comerciais. A interface de gerenciamento centralizada para de Backup do Azure e do Azure Site Recovery simplifica a definição de políticas para proteger, monitorar e gerenciar os servidores Windows e Linux habilitados para Azure Arc.
• Analise as diretrizes de continuidade de negócios e de recuperação de desastres para determinar se seus requisitos corporativos são atendidos.
• Para obter outras considerações de confiabilidade para sua solução, consulte princípios de design de confiabilidade no Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança.

• O RBAC do Azure apropriado deve ser gerenciado para servidores habilitados para Azure Arc. Para os computadores de integração, você deve ser membro da função Integração do Azure Connected Machine. Para ler, modificar, reintegrar e excluir um computador, é necessário ser membro da função Administrador de Recursos do Azure Connected Machine.
• O Defender para Nuvem pode monitorar sistemas locais, VMs do Azure e VMs hospedadas por outros provedores de nuvem. Habilite o Microsoft Defender para servidores para todas as assinaturas que contêm servidores habilitados para Azure Arc para monitoramento de linha de base de segurança, gerenciamento de postura de segurança e proteção contra ameaças.
• O Microsoft Sentinel pode ajudar a simplificar a coleta de dados em diferentes fontes, inclusive o Azure, soluções locais e em nuvens usando conectores integrados.
• Você pode usar o Azure Policy para gerenciar políticas de segurança em seus servidores habilitados para Azure Arc, incluindo a implementação de políticas de segurança no Defender para Nuvem. Uma política de segurança define a configuração desejada das suas cargas de trabalho e ajuda a garantir que você esteja em conformidade com os requisitos de segurança da sua empresa ou das agências reguladoras. As políticas do Defender para Nuvem são baseadas nas iniciativas de políticas criadas no Azure Policy.
• Para limitar quais extensões podem ser instaladas no servidor habilitado para Azure Arc, você pode configurar as listas de extensões que deseja permitir e bloquear no servidor. O gerenciador de extensões avalia todas as solicitações para instalar, atualizar ou atualizar extensões na lista de permissões e na lista de bloqueios para determinar se a extensão pode ser instalada no servidor.
• O Link Privado do Azure permite vincular com segurança os serviços PaaS do Azure a sua rede virtual usando pontos de extremidade privados. Você pode conectar seus servidores locais ou de várias nuvens ao Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. Você pode usar um modelo de escopo de link privado para permitir que vários servidores ou computadores se comuniquem com os respectivos recursos do Azure Arc usando um só ponto de extremidade privado.
• Consulte Visão geral da segurança de servidores habilitados para Azure Arc para obter uma visão geral abrangente dos recursos de segurança no servidor habilitado para Azure Arc.
• Para obter outras considerações de segurança para sua solução, consulte Princípios de design de segurança no Well-Architected Framework.

Otimização de custos

A Otimização de Custos trata-se de procurar maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design parade Otimização de Custos.

• A funcionalidade de painel de controle do Azure Arc é fornecida sem custo adicional. Isso inclui suporte para a organização de recursos por meio de grupos de gerenciamento e marcas do Azure e controle de acesso por meio do RBAC do Azure. Os serviços do Azure usados em conjunto com servidores habilitados para Azure Arc incorrem em custos de acordo com seu uso.
• Consulte Governança de custos para servidores habilitados para Azure Arc para obter mais diretrizes de otimização de custo do Azure Arc.
• Para outras considerações de otimização de custo para sua solução, consulte princípios de design de Otimização de Custos no Well-Architected Framework.
• Use a Calculadora de Preços do Azure para estimar os custos.
• Na hora de executar a implementação de referência do Jumpstart ArcBox for IT Pros para essa arquitetura, lembre-se de que os recursos do ArcBox geram cobranças de consumo do Azure a partir dos recursos subjacentes do Azure. Esses recursos incluem computação principal, armazenamento, rede e serviços auxiliares.

Excelência Operacional

A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design parade Excelência Operacional.

• Automatize a implantação do ambiente de servidores habilitados para Azure Arc. A implementação de referência dessa arquitetura é totalmente automatizada usando uma combinação de modelos do Azure ARM, extensões de VM, configurações do Azure Policy e scripts do PowerShell. Você também pode reutilizar esses artefatos para suas próprias implantações. Para obter mais informações, consulte disciplinas de Automação para servidores habilitados para Azure Arc.
• Há várias opções disponíveis no Azure para automatizar o integração de servidores habilitados para Azure Arc. Para integrar em grande escala, use uma entidade de serviço e implante por meio da plataforma de automação existente da sua organização.
• As extensões de VM podem ser implantadas em servidores habilitados para Azure Arc para simplificar o gerenciamento de servidores híbridos durante todo o ciclo de vida. Considere automatizar a implantação de extensões de VM por meio do Azure Policy ao gerenciar servidores em escala.
• Habilite o Gerenciamento de patches e atualizações em seus servidores habilitados para Azure Arc integrados para facilitar o gerenciamento do ciclo de vida do sistema operacional.
• Consulte Casos de Uso de Operações Unificadas do Azure Arc Jumpstart para saber mais sobre cenários de excelência operacional adicionais para servidores habilitados para Azure Arc.
• Para obter outras considerações de excelência operacional para sua solução, consulte princípios de design de Excelência Operacional no Well-Architected Framework.

Eficiência de desempenho

A Eficiência de Desempenho é a capacidade da sua carga de trabalho de dimensionar para atender às demandas colocadas nele pelos usuários de maneira eficiente. Para obter mais informações, consulte Lista de verificação de design parade Eficiência de Desempenho.

• Antes de configurar seus computadores com os servidores habilitados para Azure Arc, examine os limites de assinatura e os limites de grupo de recursos do Azure Resource Manager para planejar o número de computadores a serem conectados.
• Uma abordagem de implantação em fases, conforme descrito no guia de implantação, pode ajudar a determinar os requisitos de capacidade de recursos para sua implementação.
• Use o Azure Monitor para coletar dados diretamente de seus servidores habilitados para Azure Arc em um workspace dos Logs do Azure Monitor para análise detalhada e correlação. Examine as opções de implantação para o agente do Azure Monitor.
• Para obter mais considerações de eficiência de desempenho para sua solução, consulte princípios de Eficiência de Desempenho no Well-Architected Framework.

Implantar este cenário

A implementação de referência dessa arquitetura pode ser encontrada noJumpstart ArcBox for IT Pros, incluído como parte do projeto Azure Arc Jumpstart. O ArcBox foi projetado para ser autocontido em uma única assinatura e grupo de recursos do Azure. O ArcBox torna mais fácil para um usuário obter experiência prática com toda a tecnologia Azure Arc disponível com nada mais do que uma assinatura disponível do Azure.

Para implantar a implementação de referência, selecione Jumpstart ArcBox para profissionais de TI e siga as etapas no repositório GitHub.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Pieter de Bruin | Gerente de Programas Sênior

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Saiba mais sobre o Azure Arc
• Saiba mais sobre os servidores habilitados para Azure Arc
• Roteiro de aprendizagem do Azure Arc
• Examinar os cenários do Jumpstart do Azure Arc no Jumpstart do Azure Arc
• Examinar o acelerador de zona de destino de servidores habilitados para Azure Arc no Cloud Adoption Framework

Recursos relacionados

Explorar arquiteturas relacionadas:

• Otimizar o SQL Server usando o Azure Arc
• Gerenciamento híbrido do Azure Arc e implantação para clusters do Kubernetes