什么是已启用 Azure Arc 的服务器及其功能?

  • 5 分钟

使用 Microsoft Defender for Cloud 来改善整个数字资产的安全态势 - Microsoft Sentinel 用于其他云中的漏洞和威胁情报,Azure Monitor 用于监控本地服务 - 已启用 Azure Arc 的服务器可通过简单的体系结构为客户提供巨大的价值。

Wide World Importers 已确定其部署已启用 Azure Arc 的服务器的优先级。 你希望首先了解 Azure Arc 如何将 Azure 的管理平面扩展到 Azure 外部的服务器,并了解已启用 Azure Arc 的服务器可以为公司提供的功能。

Connected Machine Agent 概述

Azure Arc 依靠本地安装的代理在本地资源和 Azure 之间建立逻辑连接。 此代理是 Connected Machine Agent。 Connected Machine Agent 包包含多个逻辑组件,这些组件绑定在一起:

  • Hybrid Instance Metadata Service (HIMDS) 管理 Azure 的连接和已连接的计算机的 Azure 标识。

  • 来宾配置代理提供评估计算机是否符合所需的策略和强制实施符合性等功能。

  • 扩展代理管理虚拟机(VM)扩展,包括安装、卸载和升级。

当 Azure Connected Machine Agent 在 Azure 与本地资源之间建立连接时,它会有效地“经 arc 启用”资源。 作为 Azure 资源管理器平面的一部分,非 Azure 资源会自动成为混合 Azure 资源。 Azure 资源管理器充当管理界面,使你可以创建、修改和删除 Azure 资源。

显示 Connected Machine Agent 体系结构的插图。Connected Machine Agent 包括 HIMDS、来宾配置代理和扩展代理。

已启用 Azure Arc 的服务器的功能

已启用 Azure Arc 的服务器可以利用功能广度,因此,你可以将 Azure 服务带到任何位置:跨本地、多云和边缘环境。 这些功能针对安全性、可观察性和管理需求提供各种用例。

服务 描述
Azure 资源 已启用 Azure Arc 的服务器受益于 Azure 的可靠资源管理功能,包括:
  • 使用 Azure 管理组、订阅、资源组和标记来组织所有组织资源的能力。
  • 跨多云和本地的组织资产的单个全面清单,包括对使用 Azure Resource Graph 进行搜索和索引的支持。
  • 通过 Azure 门户、Azure 命令行接口 (CLI)、Azure PowerShell 和表述性状态转移 (REST) 应用程序编程接口 (API) 整合的 Azure 和已启用 Azure Arc 的资源的视图。
Microsoft Defender for Cloud Microsoft Defender for Cloud 支持客户使用 Microsoft Defender for Endpoint(包括通过 Microsoft Defender for Cloud)保护非 Azure 服务器,以进行威胁检测和漏洞管理,并主动监视潜在的安全威胁。 Microsoft Defender for Cloud 提供来自检测到的威胁的警报和修正建议,并通过高级安全评分来巩固安全态势。
Microsoft Sentinel 可以对连接到已启用 Arc 的服务器的计算机配置 Microsoft Sentinel 以收集与安全相关的事件,并将这些事件与其他数据源相关联。
Azure Monitor 监视已连接的计算机来宾操作系统性能,并发现应用程序组件,以使用 VM 见解来监视其进程以及与其他资源的依赖项。 使用 Log Analytics 代理从计算机上运行的作系统或工作负荷收集其他日志数据,例如性能数据和事件。
Azure Policy 借助 Azure Policy,客户可以管理和评估已启用 Arc 的服务器的内部和法规合规性。 用户可以根据 Azure Policy 来宾配置来定义、分配和修正,以审核计算机内部的设置,如时区或安全漏洞。
Azure 自动化 使用 PowerShell 和 Python Runbook 自动执行频繁且耗时的管理任务。 使用更改跟踪和清单评估有关已安装软件、Microsoft 服务、Windows 注册表和文件和 Linux 守护程序的配置更改。 使用更新管理管理 Windows 和 Linux 服务器的作系统更新。
Azure Automanage 将 Automanage 计算机用于已启用 Azure Arc 的服务器时,会自动加入和配置一组 Azure 服务。

已启用 Azure Arc 的服务器可以使用 Azure VM 扩展。 Azure VM 扩展是轻型软件组件,可自动执行操作系统部署后的配置和自动化任务。 通常,Azure VM 扩展仅在 Azure VM 上可用,但现在可以在已启用 Azure Arc 的服务器上使用所选扩展。

扩展 描述
自定义脚本扩展 在启用了 Azure Arc 的目标服务器上执行脚本。
所需状态配置 (DSC) 在启用了 Azure Arc 的目标服务器上应用 PowerShell DSC。
Log Analytics 代理 在启用了 Azure Arc 的目标服务器上安装 Log Analytics 代理,并将其配置为日志转发到 Log Analytics 工作区。
Dependency Agent 在启用了 Azure Arc 的目标服务器上安装依赖项代理,以便识别服务器工作负荷的内部和外部依赖项。
Azure Key Vault 代理 将证书从 Azure Key Vault 实例同步到已启用 Arc 的服务器。
Qualys 扩展 Microsoft Defender for servers 的漏洞评估扫描解决方案。