你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用 Azure Arc 的服务器后,Azure 外部的 Windows 和 Linux 计算机(在数据中心或其他云中)将成为 Azure 资源。 这意味着可以像 Azure 虚拟机(VM)一样管理它们:将它们组织到资源组中、应用策略、运行脚本并标记它们进行搜索,全部在 Azure 门户中或使用 Azure CLI 等工具进行搜索。 这一旅程不仅仅是将 VM 迁移到 Azure;它涉及将整个管理体验(清单、配置、治理、脚本、修补、标识)转移到 Azure 的统一平台。
通过 Azure Connected Machine 代理连接服务器后,它将获取唯一的 Azure 资源 ID,并连同本机 Azure 资源一起显示在订阅中。 可以通过 Azure 完成用于需要不同本地工具(例如 Active Directory 组策略、Microsoft Configuration Manager(SCCM)、Microsoft Endpoint Configuration Manager(MECM)或 PowerShell 远程处理)的任务。 例如,可以使用 Azure Policy 审核或强制实施 OS 设置(类似于 GPO)、 Azure 更新管理器 来计划修补程序(替换 WSUS/SCCM 维护计划),以及 运行命令 以远程执行脚本(而不是将 RDP/SSH 连接到每个服务器)。 Azure Arc 将云做法(例如集中式管理、大规模自动化和统一治理)引入到所有服务器,使你能够以系统管理员身份从 Azure 中的“单一玻璃窗格”管理混合基础结构。
如果熟悉 Active Directory 和 System Center,Azure Arc 和 Azure VM 管理Microsoft的下一代模拟服务器,这与 intune 适用于客户端终结点的Microsoft非常类似。 你仍将使用熟悉的概念(组、策略、标识),但通过 Azure 的镜头。 大局是整体转变:不仅基础结构逐渐迁移到 Azure,而且管理该基础结构的控制平面也是如此。
下表概述了启用云原生服务器管理的关键 Azure 服务和概念。
| 核心功能 | Azure Arc 功能 |
|---|---|
| 统辖 | Azure Policy 提供了跨已启用 Azure Arc 的服务器和本机 Azure VM 定义和强制实施策略的统一方法。 可以审核符合性、强制实施配置并修正不符合资源。 Azure 计算机配置 通过允许你创作自定义的 Desired State Configurations 来扩展这些功能,确保服务器机群的一致性。 |
| 修补 | Azure 更新管理器 提供一个集中式解决方案,用于跨 Windows 和 Linux 进行更新评估和管理。 热修补 可以提供 OS 安全更新,而无需重新启动。 |
| 库存 | Azure 资源管理器 提供了一个用于创建、更新和删除资源的管理层,以及访问控制、锁定和标记等功能,用于在部署后保护和组织资源。 Azure 更改跟踪和清单 监视更改,并为 Azure、本地和其他云环境中的服务器提供详细的清单日志。 Azure Resource Graph 可用于跨服务器群进行自定义查询和报告。 |
| 脚本 | 运行命令 允许管理员远程安全地执行各种服务器管理任务的脚本,包括应用程序管理、安全强制和诊断。 通过 SSH 访问已启用 Arc 的服务器 ,无需公共 IP 地址或其他开放端口即可建立连接。 |
| 软件部署 | 虚拟机应用程序 (VM 应用程序)允许管理员安全地打包软件并将其分发到其 Azure VM。 虽然已启用 Azure Arc 的服务器目前不支持 VM 应用程序,但可以使用运行命令脚本和自定义的计算机配置进行软件分发。 |
| 许可 | Windows Server 和 SQL Server 的即用即付许可使你只需为使用它时使用的内容付费。 通过 Azure Arc 扩展安全更新(ESU)简化了将安全更新传送到本地 Windows Server 2012 计算机的过程。 |
| 身份 | Microsoft Entra 可帮助管理用户标识、应用和对Microsoft资源的访问。 Azure 基于角色的访问控制(Azure RBAC) 允许分配特定角色,以遵循最低特权原则。 |
浏览本部分中的文章,了解如何通过启用 Azure-Arc 的服务器通过云原生方法实现典型的本地系统管理任务。