Azure Lighthouse 可帮助服务提供商使用 Azure Arc 管理客户的混合环境,并查看所有托管的 Microsoft Entra 租户。
Azure Arc 简化了跨本地、边缘和多云的复杂分布式环境,从而跨基础结构扩展 Azure 管理。
借助启用 Azure Arc 的服务器,客户可以在其公司网络上管理在 Azure 之外托管的 Windows 和 Linux 计算机,管理方式与管理本机 Azure 虚拟机的方式相同。 通过 Azure Lighthouse,服务提供商可以管理这些连接的非 Azure 机器及其客户的 Azure 资源。
通过 Azure Lighthouse,服务提供商可以使用 Azure Arc 启用的 Kubernetes 将 Kubernetes 群集连接到 Azure。 然后,可以将这些群集与客户的 Azure Kubernetes 服务(AKS)群集和其他 Azure 资源一起管理。
提示
虽然本文指的是服务提供商和客户,但本指南也适用于 使用 Azure Lighthouse 管理多个租户的企业。
通过 Azure Lighthouse 使用已启用 Azure Arc 的服务器大规模管理混合服务器
作为服务提供商,你可以将 Azure 外部的本地 Windows Server 或 Linux 计算机连接到客户的订阅,也可以断开连接。 当你生成用于连接服务器的脚本时,请使用 --user-tenant-id 参数来指定管理租户,用 --tenant-id 参数指明客户的租户。
在 Azure 门户中查看委派订阅的资源时,将看到这些连接的计算机带有“Azure Arc”标签。可以使用 Azure 构造(如 Azure Policy 和标记)管理这些连接的计算机,就像管理客户的 Azure 资源一样。 还可以跨客户租户工作,以同时管理所有连接的计算机。
例如,可以确保在客户的混合计算机上应用一组相同的策略。 你可以在所有客户混合环境中使用 Microsoft Defender for Cloud 来监视合规性,或使用 Azure Monitor 直接收集数据并将其传输到 Log Analytics 工作区。 可将虚拟机扩展部署到非 Azure Windows 和 Linux VM,简化客户混合计算机的管理。
使用已启用 Azure Arc 的 Kubernetes 大规模管理混合 Kubernetes 群集
可以管理使用 Azure Arc 连接到客户订阅的 Kubernetes 群集,就像它们在 Azure 中运行一样。
如果客户使用服务主体帐户将 Kubernetes 群集载入 Azure Arc,则你可以访问此帐户以便能够载入和管理群集。 为此,请将 Kubernetes 群集 - Azure Arc 入门内置角色 分配给管理租户中的用户,当包含服务主体帐户的订阅 加入 Azure Lighthouse 时。
可以使用 GitOps 管理连接的集群,将 配置和 Helm 图表 部署到已启用 Arc 的 Kubernetes 集群。
还可以使用 Azure Monitor 监视连接的群集,使用标记来组织群集,使用适用于 Kubernetes 的 Azure Policy 来管理和报告符合性状态。