利用 Azure Arc 大规模管理混合基础结构

Azure Lighthouse 可以帮助服务提供商使用 Azure Arc 来管理客户的混合环境,并且可以跨所有托管的 Microsoft Entra 租户进行查看。

Azure Arc 有助于简化跨本地、边缘和多云的复杂分布式环境,以便可在任何位置部署 Azure 服务并将 Azure 管理扩展到任何基础结构。

借助启用 Azure Arc 的服务器,客户可以在其公司网络上管理在 Azure 之外托管的 Windows 和 Linux 计算机,管理方式与管理本机 Azure 虚拟机的方式相同。 通过 Azure Lighthouse,服务提供商可以管理这些连接的非 Azure 机器及其客户的 Azure 资源。

借助启用 Azure Arc 的 Kubernetes,客户可以在 Azure 外部附加和配置 Kubernetes 群集。 将 Kubernetes 群集连接到 Azure Arc 后,它将显示在 Azure 门户中,并具有 Azure 资源管理器 ID 和托管标识。 通过 Azure Lighthouse,服务提供商可以连接 Kubernetes 群集,并将其与客户的 Azure Kubernetes 服务 (AKS) 群集和其他 Azure 资源一起管理。

提示

尽管本主题中提及的是服务提供商和客户,但本指南同样适用于使用 Azure Lighthouse 管理多个租户的企业

使用启用了 Azure Arc 的服务器大规模管理混合服务器

作为服务提供商,你可以将 Azure 外部的本地 Windows Server 或 Linux 计算机连接到客户的订阅,也可以断开连接。 当你生成用于连接服务器的脚本时,请使用 --user-tenant-id 参数来指定管理租户,用 --tenant-id 参数指明客户的租户。

在 Azure 门户中查看委派订阅的资源时,将看到这些连接的计算机带有“Azure Arc”标签。可以使用 Azure 构造(如 Azure Policy 和标记)管理这些连接的计算机,就像管理客户的 Azure 资源一样。 还可以跨客户租户工作,以同时管理所有连接的计算机。

例如,可以确保在客户的混合计算机上应用一组相同的策略。 还可以使用 Microsoft Defender for Cloud 来监视所有客户混合环境的合规性,或使用 Azure Monitor 直接收集数据并将其传输到 Log Analytics 工作区。 可将虚拟机扩展部署到非 Azure Windows 和 Linux VM,简化客户混合计算机的管理。

使用已启用 Azure Arc 的 Kubernetes 大规模管理混合 Kubernetes 群集

可以管理使用 Azure Arc 连接到客户订阅的 Kubernetes 群集,就像它们在 Azure 中运行一样。

如果客户创建了服务主体帐户以将 Kubernetes 群集载入 Azure Arc,则你可以访问此帐户以载入和管理群集。 为此,当包含服务主体帐户的订阅载入 Azure Lighthouse 时,管理租户中的用户必须被授予 Kubernetes 群集 - Azure Arc 载入内置角色

可以使用适用于已连接群集的 GitOps 部署配置和 Helm chart

还可以使用 Azure Monitor 监视连接的群集,使用标记来组织群集,使用适用于 Kubernetes 的 Azure Policy 来管理和报告符合性状态。

后续步骤