Azure Arc for dummies

Azure Arc er brobyggende ved at den kobler sammen servere i andre skyer enn Azure og på bakken.

Hvis tjenester som ikke er Azure-ressurser skal kommunisere med for eksempel Microsoft Defender for Server må de være Arc-enabled.

Dette kan for eksempel være virtuelle servere i Amazon- eller Google Cloud.  

En ukjent notifikasjon

Du har kanskje lagt merke varselet som dukket opp i Notifications? I Oktober-oppdateringen KB5031364 ble Azure Arc Setup feature lansert på alle Windows Server 2022.

Det dukket da opp et varsel i Notification-feltet på serveren med spørsmål om å konfigurere / kople server til Azure Arc. Ditt første instinkt var kanskje å fjerne den?

Les "Removing Azure Arc Setup Feature on Windows Server 2022" hos Windows OS Hub. 

I denne artikkelen skal jeg fortelle deg litt mer om tjenesten og hvordan den kan tas i bruk.  

Nøkkelfunksjoner og fordeler

Implementer konsistent inventar, styring, governance og sikkerhet for servere i hele miljøet ditt.

Konfigurer Azure VM-utvidelser for å bruke Azure-styringstjenester til å overvåke, sikre og oppdatere serverne dine.

Administrer og styrer Kubernetes-klynger i stor skala.

Azure Arc-aktiverte datatjenester

Automatiser administrasjon av databaseoppgaver for administrasjon i stor skala.

Få rask klargjøring, elastisk skalerbarhet etter behov, oppdatering, konfigurering av høy tilgjengelighet, sikkerhetskopiering, gjenoppretting og overvåkning.

Med Azure Arc kan du bygge og modernisere skyopprinnelige apper på alle Kubernetes-plattformer.

Løsningen tillater deg å innlemme Azure-overvåking, sikkerhet og forskriftssamsvar i DevOps-verktøysettet ditt.

I tillegg kan du redusere feil ved hjelp av GitOps og policydrevet distribusjon og konfigurasjon på tvers av miljøer.

Hvorfor bør man ta i bruk tjenesten?

Med Azure Arc kan du administrere servere, Kubernetes-klynger og databaser fra ett sted, uavhengig av hvor de kjører.

Dette gir deg en konsekvent opplevelse for styring, overvåking og sikkerhet.

Azure Arc lar deg utvide Azure-tjenester til miljøer utenfor Azure. Lokale datasentre, andre skyplattformer og kantservere er noen eksempler på det.

Dette gir deg muligheten til å bruke Azure-verktøy og -tjenester der det gir mening.

Du kan bruke Azure Policy og Azure Security Center for å håndheve retningslinjer og sikkerhetskrav på tvers av alle dine distribuerte ressurser.

Dette gir bedre samsvar og reduserer risikoen for feilkonfigurasjoner. Et eksempel er sikkerhets-baseline for bedriftens servere på bakken.

Disse vil da også påvirke den totale sikkerhets-scoren (Secure score) for det abonnementet hvor ressursene plasseres.

Les mer om Secure Score i "Strengthen your security posture" hos Microsoft Learn. 

Azure Monitor gir deg innsikt i ytelse, tilgjengelighet og feilsøking for alle dine ressurser i alle miljøene dine. Du kan også bruke Azure Log Analytics for å samle og analysere loggdata fra alle kilder.  

Azure Arc gir deg muligheten til å skalere opp eller ned ressurser etter behov. Dette gir deg fleksibilitet til å tilpasse deg endrede krav og belastninger.

Hva trenger man for å installere Azure Connected Machine-agenten

Forutsetninger
– Du trenger en Azure-konto med et aktivt subscription/abonnement.

– Administratorrettigheter for å installere og konfigurere agenten.

– På Linux installerer og konfigurerer du den ved hjelp av root-kontoen. I Windows bruker du en konto som er medlem av Local Administrators-gruppen.

– Registrer ressursleverandørene: Microsoft.HybridCompute, Microsoft.GuestConfiguration og Microsoft.HybridConnectivity i subscription/abonnementet ditt.

Generer et installasjonsskript
1. Gå til Azure-portalen og søk etter Servers – Azure Arc.

2. Velg “Add”, og deretter “Generate script”.

3. Angi subscription/abonnement, ressursgruppe, region, operativsystem og tilkoblingsmetode.

4. Last ned skriptet.

Installer agenten
Kjør skriptet på målmaskinen. Dette laster ned og installerer agenten fra Microsoft Download Center.

Agenten oppretter en Azure Arc-aktivert serverressurs og kobler den til agenten.

Lokalt på maskinen hvor agenten installeres vil man blir promptet for å logge på med bruker som har nok rettigheter i subscription/abonnoment for å legge til agenten.

Verifiser tilkoblingen med tjenesten

Gå tilbake til Azure-portalen og se etter den opprettede serverressursen under Servers – Azure Arc.

Hva koster Azure Arc

Mange av tjenestene i Azure Arc er gratis. Det inkluderer automatisering, enkel konfigurasjon av Azure-tjenester innen sikkerhet, overvåking og styring.

Data som lagres i Log Analytics Workspaces på sin side koster penger. Det blir belastet det subscription/abonnementet der dataene sendes og lagres.

Det er også mulig å få utvidede sikkerhetsoppdateringer for Windows Server 2012 R2 og SQL Server 2012. Dette er tjenester som belastes hver måned per kjerne som administreres.

En annen mulighet for Azure Arc-ressurser er at disse kan aktiveres med Defender for Servere (enten Plan 1 eller 2).

Les mer om planene i artikkelen "Select a Defender for Servers plan and deployment scope" hos Microsoft Learn. 

Defender for Servers er en betalbar tjeneste som tilbys av Microsoft Defender for Cloud.

Hvordan håndteres sikkerheten i Azure Arc Agenten?

Azure rollebasert tilgangskontroll (RBAC) brukes til å kontrollere hvilke kontoer som kan se og administrere dine Azure Arc-aktiverte servere.

Vær oppmerksom på at brukere og applikasjoner med bidragsyter- eller administratorrolle kan gjøre endringer på ressursen. Det inkluderer å distribuere eller slette utvidelser på maskinen.

Utvidelser kan inkludere vilkårlige skript som kjører i en privilegert kontekst. Derfor bør alle bidragsytere på Azure-ressursen betraktes som indirekte administratorer av serveren.

For å administrere Azure Connected Machine-agenten (azcmagent) på Windows, må brukerkontoen din være medlem av den lokale administratorer-gruppen.

På Linux må du ha root-tilgang.

Agenten består av tre tjenester som kjører på maskinen

– Hybrid Instance Metadata Service (himds): Ansvarlig for kjernefunksjonaliteten til Arc. Det inkluderer å sende hjerteslag til Azure, eksponere en lokal instansmetadata-tjeneste og hente Microsoft Entra-token for autentisering mot andre Azure-tjenester.

– Guest Configuration Service (GCService): Evaluerer Azure Policy på maskinen.

– Guest Configuration Extension Service (ExtensionService): Installerer, oppgraderer og sletter utvidelser (agenter, skript eller annen programvare) på maskinen.

– Lokale agent-sikkerhetskontroller

Fra agentversjon 1.16 kan du valgfritt begrense hvilke utvidelser som kan installeres på serveren din og deaktivere Guest Configuration.

En tjeneste som hjelper deg å få bedre oversikt

Fordelene med Azure Arc i korthet: Tjenesten gir deg bedre oversikt over alle serverne dine innenfor og utenfor Azure.

Ved å ha tjenesten aktivert kan du ha Azure-native miljøer direkte koblet opp mot servere i skyer utenfor Azure og på bakken.

At man kan forholde seg til ulike servere på ett sted, sørger man for at data ikke kommer så lett på avveie.

Istedenfor å falle for fristelsen til å fjerne en «plagsom» notifikasjon. Strømlinjeform heller serveroversikten din.