探索在 Azure Arc 上大規模讓伺服器上線的各種方法
Wide World Importers 有數千部機器位於數多間辦公室。 由於部署規模龐大,當務之急是如何讓所有伺服器成功上線。
若為單一伺服器,上線選項包括 Azure 入口網站、Azure PowerShell、Azure PowerShell DSC 和 Windows Admin Center。 若為多部伺服器,上線選項包括 Azure 服務主體和 Azure 自動化更新管理。 此外,您還可以使用所選的組態管理工具 (例如群組原則、Systems Center Configuration Manager、Ansible 等),將服務主體方法自動化。
在許多部署方法中,您可以使用最符合組織需求和專長的工具,大規模部署已啟用 Azure Arc 的伺服器。
部署至單一伺服器
有一系列選項可以為單一伺服器啟用 Arc,包括 Azure 入口網站、PowerShell、PowerShell DSC 和 Windows Admin Center。
| 方法 | 描述 |
|---|---|
| Azure 入口網站 | 在 Azure 入口網站中提交資源和部署詳細資料之後,系統會向您提供指令碼以為伺服器啟用 Arc。 您必須下載此指令碼,並以較高的權限在 Windows 或 Linux 伺服器上執行。 此方法會要求您針對每個安裝以互動方式向 Azure 訂用帳戶進行驗證。 |
| PowerShell | 您可以使用 PowerShell Cmdlet Connect-AzConnectedMachine 下載 Connected Machine 代理程式,安裝代理程式,然後向 Azure Arc 註冊機器。此 Cmdlet 可從 Microsoft 下載中心下載 Windows 代理程式封裝 (Windows Installer),以及從 Microsoft 封裝存放庫下載 Linux 代理程式封裝。 |
| PowerShell DSC | 您可以使用 Windows PowerShell Desired State Configuration (DSC),將 Windows 電腦的軟體安裝和設定自動化。 您可以安裝 ConnectedMachine DSC 模組,其專門用於管理 Azure Connected Machine Agent 設定。 此模組也包含名為 AzureConnectedMachineAgent.ps1 的 PowerShell 指令碼,可將下載和安裝自動化,並與 Azure Arc 建立連線。此資源可以新增至現有的 DSC 設定,以代表機器的端對端設定。 |
| Windows Admin Center | 您可以使用 Windows Admin Center 來部署 Connected Machine 代理程式和註冊內部部署伺服器,而不需要在此工具外面執行任何步驟。 在 Windows Admin Center 的 [Azure 混合式服務] 下,選取 [利用 Azure 原則和解決方案來透過 Azure Arc 管理您的伺服器] 服務。 |
部署至多部伺服器
若要大規模部署已啟用 Arc 的伺服器,您可以搭配服務主體使用特殊權限身分識別。 您可以將此指令碼與大量設定管理工具相互結合,以自動化多部伺服器的上線。 相反地,您可以直接從 Azure 入口網站上線已由更新管理所管理的非 Azure 機器。
| 方法 | 描述 |
|---|---|
| 使用服務主體來連線多部機器 | 若要大規模將機器安全地連線至 Azure Arc 伺服器,您可以使用 Microsoft Entra 服務主體,而不是使用特殊權限身分識別以互動方式來連線機器。 特殊的有限管理身分識別,服務主體只會獲得使用 azcmagent 命令將機器連線到 Azure 所需的最低許可權。 此方法比使用較高特殊權限更安全,而且遵循我們的存取控制安全性最佳做法。 服務主體只會在上線期間使用。 它不會用於任何其他用途。 |
| 更新管理 (Azure 入口網站) | 您可以透過 Azure Arc 輕鬆地將更新管理服務所管理的非 Azure 服務器連線到 Azure。您可以直接在 Azure 入口網站中選取這些非 Azure 伺服器,就會自動部署。 |
您可以使用一系列現有的軟體設定產品,將已啟用 Arc 的伺服器代理程式大規模部署至機器。 部署指令碼應該依賴 Azure 服務主體方法,因為單一伺服器的部署指令碼需要個別驗證每部伺服器。
組策略:定義執行 PowerShell 腳本的新組策略物件 (GPO),將 GPO 指派給所需的組織單位,並排程要部署到多部伺服器的工作。
Systems Center Configuration Manager:對裝置集合,撰寫、核准和執行自訂 PowerShell 指令碼。 請參閱建立和執行指令碼 - Configuration Manager。
您也可以使用其他自動化工具 (例如 Chef、Puppet 或 Ansible),將指令碼部署至受控伺服器。