已啟用 Azure Arc 的伺服器的核心管理和治理功能為何?
Azure Arc 可讓您將數個 Azure 服務的範圍延伸到非 Azure 的 Windows 和 Linux 伺服器。 當像是 Contoso 的公司在混合式案例中運作時,這可協助其將管理策略標準化。 在此單元中,您將了解 Azure Arc 的功能,並著重於專門供 Azure 和已啟用 Azure Arc 的伺服器使用的功能。
已啟用 Azure Arc 的伺服器的核心資源管理功能為何?
某些 Azure Arc 優點與資源類型無關,因為這些優點是反映出 Azure Resource Manager 的功能。 這些優點包括:
能夠使用 Azure 管理群組、訂用帳戶、資源群組和標記來組織所有組織資源。
橫跨多個雲端與內部部署的單一且完整組織資產詳細目錄,包括支援使用 Azure Resource Graph 進行搜尋和索引編製。
可透過 Azure 入口網站、Azure 命令列介面 (CLI)、Azure PowerShell 和具象狀態傳輸 (REST) 應用程式開發介面 (API) 來統一檢視 Azure 和已啟用 Azure Arc 的資源。
可直接從 Azure 入口網站存取「已啟用 Azure Arc 的伺服器」的大部分管理功能:
- 角色型存取控制 (RBAC),用於檢視記錄和伺服器詳細目錄資料
- VM 擴充功能,用來在您的伺服器上部署軟體代理程式及執行指令碼
- Azure 原則來賓設定,用來稽核作業系統和軟體設定
- Microsoft Entra 系統指派的受控識別,以供在伺服器上執行的應用程式在向其他 Azure 服務進行驗證時使用
另外還有一些已啟用 Azure Arc 的伺服器特有的優點,例如:
- 能夠以一致的方式套用 Azure 虛擬機器 (VM) 擴充功能,以自動設定 Azure 和非 Azure 的 Windows 及 Linux 伺服器。
- 支援 Azure 原則來賓設定。 Azure 原則支援稽核已啟用 Azure Arc 的伺服器,方法與其在 Azure 中的對應項目相同。 這可讓您使用相同方法來評估環境中所有伺服器的設定是否符合組織標準。
VM 延伸模組為何,以及如何與已啟用 Azure Arc 的伺服器搭配使用?
VM 延伸模組功能是輕量的軟體元件,可將作業系統部署後的設定和自動化工作自動化。 傳統上,VM 延伸模組只能在 Azure VM 上使用,但現在您可以在已啟用 Azure Arc 的伺服器上使用經過選取的延伸模組。 下表描述有哪些延伸模組功能可供您新增至執行 Windows Server 或 Linux 作業系統的「已啟用 Azure Arc 的伺服器」:
| 副檔名 | 其他資訊 |
|---|---|
| Log Analytics 代理程式 | 在目標已啟用 Arc 的伺服器上安裝 Log Analytics 代理程式,並加以設定以將記錄轉送至 Log Analytics 工作區。 |
| 相依性代理程式 | 在目標已啟用 Arc 的伺服器上安裝相依性代理程式,以輔助識別伺服器工作負載的內部與外部相依性。 |
| Azure Key Vault 代理程式 | 將憑證從 Azure Key Vault 執行個體同步至已啟用 Arc 的伺服器。 |
| Qualys 擴充功能 | 適用於伺服器的 Microsoft Defender 弱點評量掃描解決方案。 |
| Desired State Configuration | 在已啟用 Arc 的目標伺服器上套用 PowerShell DSC 設定。 |
| 自訂指令碼延伸模組 | 在目標已啟用 Arc 的伺服器上執行指令碼。 |
Azure 原則為何,以及如何用於已啟用 Azure Arc 的伺服器治理?
Azure 原則是一項服務,可協助組織針對已啟用 Arc 的伺服器和各種 Azure 服務管理及評估內部與法規合規性。 Azure 原則使用以目標資源類型屬性為基礎的宣告式規則,包括 Windows 及 Linux 作業系統。 這些規則會形成原則定義,系統管理員可以透過將原則指派至資源群組、訂用帳戶或裝載已啟用 Azure Arc 的伺服器之管理群組以套用這些定義。 若要簡化原則定義管理,您可以將多個原則合併成計畫,然後建立幾個計畫指派,而不是多個原則指派。
Azure 原則支援使用來賓設定原則稽核已啟用 Arc 的伺服器之狀態。 來賓設定原則不會套用設定,但會稽核目標作業系統內的設定並評估其合規性。 但是,您可以使用 Azure 原則來套用代表已啟用 Arc 的伺服器之 Azure 資源設定。 您也可以使用 VM 延伸模組,使用 Azure 原則以部署設定。
例如:Contoso 可以使用 Azure 原則以實作下列規則:
- 在註冊資源期間,將特定標記指派給代表已啟用 Arc 的伺服器之資源。
- 識別執行 Windows 且已停用 Windows Defender 惡意探索防護之已啟用 Arc 的伺服器。
- 識別執行 Windows 但未加入特定 Active Directory Domain Services (AD DS) 網域之已啟用 Arc 的伺服器。
- 識別執行 Windows 或 Linux 但未安裝 Log Analytics 代理程式之已啟用 Arc 的伺服器。
- 識別執行 Linux 但未使用 SSH 金鑰進行驗證之已啟用 Arc 的伺服器。
注意
支援補救措施的原則不需要評估「已啟用 Azure Arc 的伺服器」作業系統內的原則邏輯,而是會仰賴 Azure 資源的中繼資料。 這類原則的範例包括強制執行標記合規性或部署 VM 延伸模組。
注意
Azure 原則支援 Azure VM 和已啟用 Azure Arc 的伺服器,可讓您以一致的方式檢視全組織的合規性資訊。
如何將 Azure 原則指派給已啟用 Azure Arc 的伺服器?
您可以直接從 Azure 入口網站管理 Azure 原則,並將其指派給已啟用 Azure Arc 的伺服器。
![Azure 入口網站中 [指派原則] 頁面的螢幕擷取畫面。系統管理員正在從可用原則清單中選取。](media/3-assign-policy.png)
在建立好原則指派後不久,您就能夠在作為目標的「已啟用 Azure Arc 的伺服器」上,檢閱原則評估的結果。
混合式案例中的 Azure 更新管理員有何優點?
Azure 更新管理員是統一的服務,可協助管理和控管所有機器的更新,包括混合式機器。 您可以從單一管理窗格監視混合式機器的 Windows 和 Linux 更新合規性。 您還可以使用更新管理員,以即時進行更新,或將更新排程在定義的維護視窗內執行。
Azure 更新管理員可讓您:
- 立即檢查更新或部署安全性或重大更新,以協助保護您的混合式機器。
- 啟用定期評量,以檢查混合式機器可用的最新更新。
- 使用彈性修補選項,例如客戶定義的維護排程和熱修補。
- 建置用於報告更新狀態的自訂報告儀表板,並設定特定條件的警示。
- 監督所有混合式機器的更新合規性。
混合式情節中的 Azure 自動化 Desired State Configuration (DSC) 有何優點?
PowerShell DSC 技術會透過結合 PowerShell 指令碼和作業系統功能來實作宣告式的設定管理。 設定過程可以簡單到像是確保啟用了特定的 Windows 功能,也可以複雜到像部署 SharePoint。 您可以部署採用推送模式或提取模式的 DSC 設定。 推送模式牽涉到從管理電腦對一或多部受控電腦叫用部署。 在提取模式中,受控電腦會根據指定位置 (稱為提取伺服器) 的設定資料自動執行部署。 Azure 自動化包含受控的 Azure 常駐 DSC 提取伺服器。 您可以使用 VM 延伸模組將採用推送模式的 DSC 設定套用至非 Azure 電腦,包括已啟用 Azure Arc 的伺服器。 或者,您也可以將這兩種類型的系統同時上線至 Azure 自動化,並透過提取伺服器來管理其設定。
混合式案例中的 Azure Automanage 有何優點?
Azure Automanage 機器最佳做法服務不需要探索、了解如何上線,以及如何設定 Azure 中可讓已啟用 Arc 的伺服器受益的特定服務。 將機器上線至 Azure Automanage 之後,每個最佳做法服務都會設定為其建議的設定。 Azure Automanage 也會在偵測到時自動監視漂移並校正。 參與的服務包括:
- 機器深入解析監視
- 變更追蹤與清查
- Azure 來賓設定
- Azure 自動化帳戶
- Log Analytics 工作區
針對下列每個問題選擇最佳回答,然後選取 [檢查答案]。