通过使用 已启用 Azure Arc 的服务器,Azure 外部的 Windows 和 Linux 计算机(在数据中心或其他云中)将成为 Azure 资源。 可以像 Azure 虚拟机(VM)一样管理它们:将它们组织到资源组中、应用策略、运行脚本,并标记它们以便搜索,可以在 Azure 门户或使用 Azure CLI 等工具。 这一历程不仅仅是将 VM 迁移到 Azure;更是要将整个管理体验(清单、配置、治理、脚本编写、修补、身份)迁移到 Azure 的统一平台中。
使用 Azure Connected Machine 代理连接服务器时,它会获取唯一的 Azure 资源 ID,并连同本机 Azure 资源一起显示在订阅中。 可以使用 Azure 执行以前需要各种本地工具的任务(诸如 Active Directory 组策略、Microsoft Configuration Manager(SCCM)、Microsoft Endpoint Configuration Manager(MECM)或 PowerShell 远程处理)。 例如,你可以使用 Azure Policy 审核或强制执行 OS 设置(类似于组策略对象)、使用 Azure 更新管理器安排修补程序(替代 WSUS/SCCM 维护计划),以及使用运行命令远程执行脚本(而不是通过 RDP/SSH 连接到每台服务器)。 Azure Arc 将云做法(例如集中式管理、大规模自动化和统一治理)引入到所有服务器。 作为系统管理员,可以从 Azure 中的“单一玻璃窗格”管理混合基础结构。
如果您熟悉 Active Directory 和 System Center,那么您会发现 Azure Arc 和 Azure VM 的管理是 Microsoft 为服务器提供的下一代解决方案,就像 Microsoft Intune 是针对客户端终端的解决方案一样。 你仍然使用熟悉的概念(群组、策略、身份),但通过 Azure 的视角。 总体而言,这是一次全面的转变:不仅基础结构正逐步迁移到 Azure,管理该基础结构的控制平面也在向 Azure 迁移。
下表概述了支持云原生服务器管理的关键 Azure 服务和概念。
| 核心功能 | Azure Arc 功能 |
|---|---|
| 治理 | Azure Policy 提供了一种统一的方式,可跨 Azure Arc 启用服务器和原生 Azure VM 定义和强制执行策略。 你可以审核合规性、强制执行配置,并修正不合规的资源。 |
| 修补 | Azure 更新管理器提供了一个集中式解决方案,用于跨 Windows 和 Linux 进行更新评估和管理。 热修补可以交付 OS 安全更新,而无需重启。 |
| 库存 | Azure 资源管理器提供了一个管理层,用于创建、更新和删除资源,具备访问控制、锁定和标记等功能,可在部署后保护和组织资源。 Azure Resource Graph 可用于跨服务器群进行自定义查询和报告。 |
| 脚本 | 运行命令允许管理员远程、安全地执行用于各种服务器管理任务的脚本,包括应用程序管理、安全强制执行和诊断。 通过 SSH 访问 Arc 启用服务器,无需公共 IP 地址或额外开放端口即可建立连接。 |
| 软件部署 | 虚拟机应用程序 (VM Applications) 允许管理员安全地打包软件并将其分发给他们的 Azure VM。 虽然 Azure Arc 启用服务器目前不支持 VM 应用程序,但你可以使用运行命令脚本和自定义计算机配置进行软件分发。 |
| 身份 | Microsoft Entra 可帮助管理用户标识、应用和对 Azure 资源的访问。 Azure 基于角色的访问控制 (Azure RBAC) 允许你分配特定角色,以遵循最小权限原则。 |
若要了解如何通过启用 Azure-Arc 的服务器使用云原生方法实现典型的本地系统管理任务,请浏览本部分中的文章。