什么是启用了 Azure Arc 的服务器?
通过已启用 Azure Arc 的服务器,可管理 Windows 和 Linux 物理服务器和虚拟机,它们托管在 Azure 外部(在公司网络或其他云提供商处)。 就 Azure Arc 而言,这些托管在 Azure 外部的计算机被视为混合计算机。 Azure Arc 中混合计算机的管理旨在与原生 Azure 虚拟机的管理方式保持一致,它使用标准 Azure 构造(例如Azure Policy)并应用标记。 (有关混合环境的其他信息,请参阅什么是混合云?)
当混合计算机连接到 Azure 时,它将成为一台联网计算机,被视为 Azure 中的资源。 每台已连接的计算机都有一个资源 ID,使计算机能够包含在资源组中。
要将混合计算机连接到 Azure,请在每台计算机上安装 Azure Connected Machine Agent。 此代理不会取代 Azure Monitor 代理。 需要安装适用于 Windows 和 Linux 的 Azure Monitor 代理才能执行以下操作:
- 主动监视计算机上运行的 OS 和工作负荷
- 使用自动化 Runbook 或解决方案(如更新管理)来管理它
- 使用 Microsoft Defender for Cloud 之类的其他 Azure 服务
可以使用最适合你的方案的部署方法,手动安装 Connected Machine Agent,也可以大规模地在多台计算机中进行安装。
注意
此服务支持 Azure Lighthouse;通过它,服务提供商可登录自己的租户来管理客户委托的订阅和资源组。
注意
有关 Azure Arc 提供的不同服务的其他指导,请参阅为计算机选择合适的 Azure Arc 服务。
支持的云操作
将计算机连接到已启用 Azure Arc 的服务器时,可以像使用原生 Azure 虚拟机一样执行许多操作功能。 下面是一些支持用于已连接计算机的关键操作。
治理:
- 向计算机内部的审核设置分配 Azure 机器配置。 若要了解将 Azure 机器配置策略与启用了 Arc 的服务器配合使用的成本,请参阅 Azure Policy 定价指南。
保护:
- 使用 Microsoft Defender for Endpoint(通过 Microsoft Defender for Cloud 提供,用于威胁检测、漏洞管理和主动监视潜在安全威胁)保护非 Azure 服务器。 Microsoft Defender for Cloud 根据检测到的威胁提供警报和修正建议。
- 使用 Microsoft Sentinel 收集与安全相关的事件,并将这些事件与其他数据源相关联。
配置:
使用更新管理,为 Windows 和 Linux 服务器管理操作系统更新。
使用支持的已启用 Arc 的服务器 VM 扩展,为非 Azure Windows 或 Linux 计算机执行部署后配置和自动化任务。
监视:
- 使用 Azure Monitor 代理从计算机上运行的操作系统或工作负载收集其他日志数据,例如性能数据和事件。 此数据存储在 Log Analytics 工作区中。
注意
目前,不支持直接从启用了 Arc 的服务器直接启用 Azure 自动化更新管理。 请参阅从自动化帐户启用更新管理,以了解要求以及如何为非 Azure VM 启用更新管理。
从混合计算机收集并存储在 Log Analytics 工作区中的日志数据包含特定于计算机的属性(例如资源 ID),用于支持资源上下文日志访问。
支持的区域
有关已启用 Azure Arc 的服务器支持的区域的列表,请参阅 Azure 产品(按区域)页。
在大多数情况下,创建安装脚本时选择的位置应该是在地理位置上最接近你的计算机位置的 Azure 区域。 静态数据存储在包含你指定区域的 Azure 地理区域中,如果你有数据驻留要求,这可能也会影响你对区域的选择。 如果计算机连接到的 Azure 区域发生中断,则已连接的计算机将不受影响,但可能无法完成使用 Azure 的管理操作。 如果发生区域性中断,而你有多个位置支持异地冗余服务,则最好将每个位置的计算机连接到另一个 Azure 区域。
有关已连接计算机的实例元数据信息收集并存储在配置了 Azure Arc 计算机资源的区域中,这些信息包括:
- 操作系统名称和版本
- 计算机名称
- 计算机完全限定域名 (FQDN)
- Connected Machine 代理版本
例如,如果计算机在 China East 2
区域注册了 Azure Arc,则元数据存储在中国区域中。
支持的环境
启用了 Arc 的服务器支持管理在 Azure 外部托管的物理服务器和虚拟机。 若要详细了解托管 VM 的受支持的混合云环境,请参阅 Connected Machine Agent 先决条件。
注意
不能通过启用了 Arc 的服务器来管理 Azure 中运行的虚拟机,这是设计使然,本身不支持这种功能。
代理状态
可以在 Azure 门户中的“Azure Arc”>“服务器”下查看已连接计算机的状态。
Connected Machine Agent 每 5 分钟向服务发送一条定期检测信号消息。 如果服务停止从计算机接收这些检测信号消息,系统会将该计算机视为脱机,并会在 15 到 30 分钟内将其状态自动更改为“已断开连接”。 收到来自 Connected Machine Agent 的后续检测信号消息后,其状态会自动改回为“已连接”。
如果计算机保持断开连接状态 45 天,其状态可能会更改为“已过期”。 过期的计算机无法再连接到 Azure,并需要服务器管理员先断开连接,然后再将其重新连接到 Azure,才能继续使用 Azure Arc 管理它。计算机的确切到期日期取决于托管标识凭据的到期日期。该凭据的有效期最长为 90 天,并且每 45 天续订一次。
如果计算机收到 429 条错误消息或显示间歇性连接状态,可能是错误克隆的计算机。 有关详细信息,请参阅克隆准则。
服务限制
可以在资源组或订阅中部署的已启用 Arc 的服务器和 VM 扩展数没有限制。 每个资源组标准 800 个资源限制适用于 Azure Arc 专用链接范围资源类型。
若要详细了解资源类型限制,请参阅资源实例限制一文。
数据驻留
已启用 Azure Arc 的服务器可存储客户数据。 默认情况下,客户数据保留在客户部署服务实例的区域中。 对于有数据驻留要求的区域,客户数据始终保存在同一区域内。
后续步骤
- 在多台混合计算机中评估或启用已启用 Azure Arc 的服务器之前,请先查看 Connected Machine Agent 概述,以了解要求、有关代理的技术详细信息以及部署方法。
- 使用 Azure Arc 快速入门试用已启用 Arc 的服务器。
- 查看规划和部署指南,以便对按任意规模部署启用了 Azure Arc 的服务器进行规划,并实现集中管理和监视。
- 浏览面向混合云和多云的 Azure Arc 登陆区域加速器。