雲端原生任務自動化使管理伺服器更像管理程式碼。 中央可編寫腳本的控制意味著您花更少的時間遠程登入或編寫一次性腳本,而是專注於通過 Azure 進行流程編排。
在傳統環境中,您可以使用遠端桌面通訊協定 (RDP) 連線到 Windows 伺服器並執行 PowerShell 腳本,或針對 Linux 盒子使用 SSH,或使用 System Center Configuration Manager (SCCM) 中的執行腳本功能等工具。 Azure 將這些功能帶入雲端平台,讓您從 Azure 入口網站或命令列在任何伺服器上執行工作,而不需要直接登入。 Azure 也可讓您確保只有授權的個人才能使用 Azure 角色型存取控制 (Azure RBAC) 來執行這些命令。 所有動作都會記錄在 Azure 活動記錄中以進行稽核。
讓我們探索可協助簡化和自動化工作的關鍵工具:Azure 執行命令、透過 Azure Arc 的 SSH,以及與已啟用 Arc 的伺服器搭配使用的相關自動化。
Azure 指令執行工具
Azure Run Command 功能允許您從 Azure 遠端在虛擬機器(VM)或已啟用 Arc 的伺服器上執行腳本或命令,就像遠端操作鍵盤一樣,而不需要使用遠端桌面或 SSH 連接。 適用於已啟用 Azure Arc 的伺服器的 Run Command 目前處於公開預覽階段,可將該功能帶到內部部署機器。
執行命令類似於使用 RDP 和 PowerShell,但更有效率且可編寫腳本。 使用 [執行命令],您可以執行安裝或更新軟體、變更設定或在目標伺服器上重新啟動服務等操作,所有這些都是透過 Azure 傳送命令。 想像一下一次在 50 部伺服器上執行快速腳本,您可以在 Azure CLI 中建立腳本,以平行在一組已啟用 Arc 的伺服器上叫用 [執行命令],這對於手動 RDP 來說會很乏味。 在已啟用 Arc 的伺服器上使用 Run Command 可降低額外負荷,並有助於改善安全性,因為不需要額外的開啟埠。 命令會透過現有的 Arc 代理程式連線執行,因此您不需要為每個伺服器開啟入站埠或使用 VPN。
Run Command 也支援集中式腳本管理。 您可以將腳本儲存在 Azure 中,並視需要呼叫它們,以便在需要時準備就緒常見的自動化工作。 例如,您可以建立並儲存清除伺服器上暫存檔案的腳本,然後視需要在任何已啟用 Arc 的伺服器上執行它。 對於關鍵的安全配置或修補程式,您可以透過執行指令碼來快速部署,而無需單獨登入每部伺服器。 這些功能支援現代雲端實踐,將腳本視為資產,並在最少的人為干預下執行。
透過 Azure Arc 進行 SSH 存取
透過 對已啟用 Arc 的伺服器進行 SSH 存取,您可以透過 Azure 開啟 Linux 或 Windows 伺服器的互動式殼層會話,而不需要公用 IP 或直接網路存取。 基本上,Azure 充當跳躍主機,不需要 VPN 或公開的 SSH。 您可以連線到伺服器的 Arc 代理程式,以執行 Azure CLI 命令或使用 Azure 入口網站 (或針對 Linux,Azure 可以開啟瀏覽器型 SSH) 來代理 SSH 工作階段。 也支援透過 SSH 進行 PowerShell 遠端處理,而且您可以使用本機帳戶登入。 針對 Linux,也支援使用 Microsoft Entra 驗證。 只有具有擁有者或參與者角色的 Azure 使用者才能起始 SSH 功能。
想想您需要快速跳到伺服器上檢查某些內容的所有時候。 現在,您可以從任何地方執行此操作,並且您的連線由 Azure 代理,並遵守 Azure RBAC。 這會將您的協助修正和維修工作流程移至 Azure 的軌道,並避免擺弄跳躍方塊或 IP 允許清單。 身為系統身為系統管理員,你會欣賞只要執行 az ssh 命令就能連上機器,以及 Azure 的記錄能透明地記錄誰在何時連線。
Azure 自動化和邏輯應用程式
除了隨選腳本之外,已啟用 Arc 的伺服器可讓您將 Azure 自動化 帳戶用於 PowerShell 和 Python Runbook,並將 Azure Logic Apps 和 Azure Functions 用於伺服器管理工作。 例如,您可以排程 Runbook 以每週清除所有已啟用 Arc 的伺服器上之記錄,類似於排程工作或 SCCM 基準指令碼。 雖然這些是更廣泛的自動化工具,但它們透過協調流程和排程來補充隨選指令碼,有效地將 Windows 工作排程器或 SCCM 工作作業替換為雲端式 Runbook。
範例
將這些雲端原生腳本和自動化工具與已啟用 Arc 的伺服器結合使用,您可以更有效率地完成各種工作。 例如,以下是您可以使用雲端原生腳本執行的範例:
- 跨數十部伺服器執行腳本,以收集記錄檔,並將其推送至儲存體帳戶,而不需要個別登入任何伺服器。
- 透過伺服器上的執行命令執行安裝程式來安裝應用程式或更新(Arc 的代理程式將以 LocalSystem 的形式執行它)。 您也可以使用此方法自動將代理程式推出至多部伺服器。
- 透過製作指令碼並在所有受影響的電腦上執行它,快速觸發組態變更,例如解決零時差漏洞所需的單行修復。 這可以在內部部署和雲端上在幾分鐘內完成,而傳統上,您會透過擁有的任何遠端執行工具編寫腳本。
- 將 Azure 變更追蹤與資源清單 與「Run Command」搭配使用。 例如,您可以偵測到某個服務在伺服器上停止,當某個服務在伺服器上停止時,觸發執行命令以重新啟動該服務。 您甚至可以使用觸發呼叫 Run 命令的邏輯應用程式的警示來自動化此動作。 這是透過 Azure 連接所有系統後所能實現的自我修復。