Azure Arc – Onboarding Servidores Utilizando Group Policy (GPO)

Posted onAutor: Jádson AlvesDeixe um comentário

O Azure Arc simplifica a governança e o gerenciamento ao fornecer uma plataforma de gerenciamento local e de várias nuvens consistente.

O Azure Arc fornece uma forma centralizada e unificada para:

  • Gerenciar todo o seu ambiente projetando os recursos existentes que não são do Azure e/ou locais no Azure Resource Manager.
  • Gerencie máquinas virtuais, clusters do Kubernetes e bancos de dados como se eles estivessem em execução no Azure.
  • Use as funcionalidades familiares de gerenciamento e serviços do Azure, independentemente de onde eles estejam hospedados.
  • Continuar usando a ITOps tradicional, introduzindo práticas de DevOps para dar suporte a novos padrões nativos de nuvem no seu ambiente.
  • Configurar localizações personalizadas como uma camada de abstração no cluster de Kubernetes habilitado para Azure Arc e nas extensões de cluster.Azure Arc management control plane diagram

Atualmente, o Azure Arc permite que você gerencie os seguintes tipos de recursos hospedados fora do Azure:

  • Servidores: gerencie servidores físicos do Windows e do Linux e máquinas virtuais hospedadas fora do Azure.
  • Clusters de Kubernetes: anexe e configure clusters de Kubernetes em execução em qualquer lugar, com várias distribuições compatíveis.
  • Serviços de dados do Azure: execute serviços de dados do Azure no local, na borda e em nuvens públicas usando o Kubernetes e a infraestrutura de sua escolha. Os serviços de Instância Gerenciada de SQL e PostgreSQL de Hiperescala (versão prévia) já estão disponíveis.
  • SQL Server: estenda os serviços do Azure para as instâncias do SQL Server hospedadas fora do Azure.

Principais recursos e benefícios

Alguns dos principais cenários aos quais o Azure Arc dá suporte são:

  • Implementar inventário, gerenciamento, governança e segurança consistentes nos servidores do ambiente.
  • Configurar as extensões de VM do Azure para que usem os serviços de gerenciamento do Azure para monitorar, proteger e atualizar os seus servidores.
  • Gerenciar e controlar os clusters do Kubernetes em escala.
  • Usar o GitOps para implantar a configuração em um ou mais clusters de repositórios Git.
  • Conformidade e configuração sem toque para clusters de Kubernetes usando o Azure Policy.
  • Executar os serviços de dados do Azure em qualquer ambiente do Kubernetes como se ele fosse executado no Azure (especialmente na Instância Gerenciada de SQL do Azure e no Banco de Dados do Azure para PostgreSQL – Hiperescala, com benefícios como upgrades, atualizações, segurança e monitoramento). Usar a escala elástica e aplicar atualizações sem nenhum tempo de inatividade do aplicativo, mesmo sem uma conexão contínua com o Azure.
  • Crie locais personalizados sobre seus clusters do Kubernetes habilitado para Azure Arc, usando-os como locais de destino para implantar instâncias de serviços do Azure. Implante suas extensões de cluster de serviço do Azure para Serviços de Dados habilitados para Azure ArcServiços de Aplicativos no Azure Arc (incluindo aplicativos Web, lógicos e de funções) e a Grade de Eventos no Kubernetes.
  • Uma experiência unificada de exibição dos recursos habilitados para Azure Arc, independentemente de você estar usando o portal do Azure, a CLI do Azure, o Azure PowerShell ou a API REST do Azure.

Preços

Servidores habilitados para Azure Arc

A seguinte funcionalidade do painel de controle do Azure Arc é oferecida sem nenhum custo extra:

  • Organização de recursos por meio de tags e grupos de gerenciamento do Azure
  • Pesquisa e indexação por meio do Azure Resource Graph
  • Acesso e segurança por meio do RBAC e das assinaturas do Azure
  • Ambientes e automação por meio de modelos e extensões
  • Gerenciamento de atualizações

Qualquer serviço do Azure usado em servidores habilitados para Azure Arc, como o Microsoft Defender for cloud ou o Azure Monitor, será cobrado de acordo com o preço do serviço. Para obter mais informações, confira a página de preços do Azure.

Kubernetes habilitado para Azure Arc

Qualquer serviço do Azure usado em Kubernetes habilitados para o Azure Arc, como o Microsoft Defender for cloud ou o Azure Monitor, será cobrado de acordo com o preço do serviço.

Para saber mais sobre o preço das configurações baseadas no Kubernetes habilitado para Azure Arc, confira a página de preços do Azure.

Serviços de dados habilitados para Azure Arc

Para saber mais, confira a página de preços do Azure.

O que são servidores habilitados para Azure Arc?

Os servidores habilitados para Azure Arc permitem que você gerencie servidores físicos e máquinas virtuais Windows e Linux hospedados fora do Azure, em sua rede corporativa ou em outro provedor de nuvem. Essa experiência de gerenciamento foi projetada para ser consistente com a maneira como você gerencia máquinas virtuais nativas do Azure. Quando um computador híbrido é conectado ao Azure, ele se torna um computador conectado e é tratado como um recurso no Azure. Cada computador conectado tem uma ID de recurso que permite que o computador seja incluído em um grupo de recursos. Agora você pode usufruir de constructos padrão do Azure, como o Azure Policy e a aplicação de marcas. Os provedores de serviços que gerenciam a infraestrutura local de um cliente podem gerenciar seus computadores híbridos, assim como eles fazem hoje com recursos nativos do Azure, em vários ambientes de clientes usando o Azure Lighthouse.

Para fornecer essa experiência com máquinas híbridas, você precisa instalar o agente do Azure Connected Machine em cada computador. Esse agente não oferece nenhuma outra funcionalidade e não substitui o agente do Azure Log Analytics. É necessário o agente do Log Analytics para Windows e Linux nas seguintes situações:

  • Você deseja monitorar proativamente o sistema operacional e as cargas de trabalho em execução no computador,
  • Gerencie-o usando runbooks de Automação ou soluções como o Gerenciamento de Atualizações.
  • Use outros serviços do Azure, como o Microsoft Defender para Nuvem.

Operações de nuvem com suporte

Quando você conecta seu computador a servidores habilitados para o Azure Arc, ele permite que você execute as seguintes funções operacionais, conforme descrito na tabela a seguir.

FUNÇÃO OPERATIONSDESCRIPTION
Administrar
Azure PolicyAtribua a Configuração de Convidado do Azure Policy usada para auditar configurações dentro de computadores. Para entender o custo de usar políticas de Configuração de Convidado do Azure Policy com servidores habilitados para Arc, confira o guia de preços do Azure Policy
Proteger
Microsoft Defender para NuvemProteja servidores que não são do Azure com o Microsoft Defender para Ponto de Extremidade, incluído por meio do Microsoft Defender para Nuvem, para detecção de ameaças, para gerenciamento de vulnerabilidades e para monitorar, de maneira proativa, possíveis ameaças à segurança. O Microsoft Defender para Nuvem apresenta os alertas e sugestões de correção das ameaças detectadas.
Microsoft SentinelComputadores conectados a servidores habilitados para o Arc podem ser configurados com o Microsoft Sentinel para coletar eventos relacionados à segurança e correlacioná-los a outras fontes de dados.
Configurar
Automação do AzureAutomatize tarefas de gerenciamento frequentes e demoradas usando runbooks do PowerShell e do Python.
Avalie alterações de configuração sobre software instalado, serviços da Microsoft, registro e arquivos do Windows e daemons do Linux usando o Controle de Alterações e Inventário.
Use o Gerenciamento de Atualizações para gerenciar as atualizações do sistema operacional nos servidores Windows e Linux.
Gerenciamento Automatizado do Azure (versão prévia)Automatize a integração e a configuração de um conjunto de serviços do Azure ao usar o Computador de Gerenciamento Automatizado para servidores habilitados para Arc.
Extensões de VMForneça tarefas de configuração e automação pós-implantação usando extensões de VM de servidores habilitados para Arc com suporte para computadores não Azure com Windows ou Linux.
Monitorar
Azure MonitorMonitore o desempenho do sistema operacional convidado do computador conectado e descubra os componentes do aplicativo para monitorar os respectivos processos e dependências com outros recursos usando os insights da VM. Colete outros dados de log, como dados de desempenho e eventos, do sistema operacional ou das cargas de trabalho em execução no computador com o agente do Log Analytics. Os dados são armazenados em tabelas no seu workspace do Log Analytics.

Já escrevi um artigo aqui no site mostrando como adicionar servidor on-premises ao Azure Arc

Como adicionar servidor on-premises ao Azure Arc

Passo a passo

01 – Faça login no portal do Azure.

https://portal.azure.com

02 – No portal do Azure crie o grupo de recursos onde as máquinas do Arc que serão adicionadas.

03 – No portal pesquise por Azure ARC.

04 – Na tela Azure ARC em Infrastructure clique em Servers.

05 – Na tela Azure Arc | Servers clique em + Add.

06 – Na tela Add servers with Azure Arc em Add multiple servers e clique em Generate script.

07 – Na tela Prerequisites precisamos liberar as URLs  do ARC em nosso firewall, também precisamos cumprir os requisitos de Local administrator permission, Connectivity method, An Azure Active Directory service principal e HTTPS access to Azure services.

Nesse link temos todas as URLs que o Azure ARC precisa que estejam liberadas no firewall.

https://aka.ms/arc-server-outbound-url-requirements

Após cumprir todos os requisitos mencionados clique em Next.

08 – Na tela Resource details selecione a assinatura e grupo de recursos que deseja adicionar os servidores, em Server details selecione a região que deseja adicionar os recursos e o sistema operacional.

Em Connectivity method podemos utilizar as conexões Public endpoint, Proxy server e Private endpoint, em nosso exemplo vamos vamos utilizar o  Public endpoint.

Para a opção Authentication em Service principal clique Create or manage service principals with Azure Arc related roles.

Na tela Service principals clique em +Add.

Na tela New Azure Arc service principal digite um nome para o service principal, em Scope assignment level selecione subscription.

Em Client secret em Description digite um nome, em Expires selecione 1 week em Role assignment em Roles selecione Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator em seguida clique em Create.

09 – Na tela Download service principal ID and secret clique em Download and close.

10 – Retorne a tela Add multiple servers with Azure Arc.

11 – Na tela Add multiple servers with Azure Arc em Service principal selecione Azure_ARC e clique em Next.

12 – Na tela Tags deixe os valores padrão e clique em Next.

13 – Na tela Download and run script em Deployment method selecione Group Policy, baixe os arquivos Prepare a remote share e Download files to a local directory.

14 – Em Run command with remote share details em Domain name adicione o nome do dominio “jadsonalves.com.br, em Report server domain name adicione o nome do domain controller “srv-ad.jadsonalves.com.br”, em Remote share name adicione o nome do compartilhamento de rede, em seguide clique em Copy to clipboard e adicione o script PowerShell no servidor, em seguida clique em Close.

Remote share name – compartilhamento de rede onde os arquivos de instalação serão adicionados.

15 – Copie o script de instalação para o AD DS.

Criar compartilhamento de rede

Vamos precisar adicionar os arquivos Windows Installer packag e script de deployment em um compartilhamento de rede.

16 – Vamos criar a pasta “Arc” e compartilhar com o grupo “Domain Computers” com a permissão Change e Read, precisamos dar permissão de segurança para Everyone.

17 – Copie o arquivo AzureConnectMAchineAgent.msi para o compartilhamento Arc, extraia o conteúdo  da pasta ArcEnabledServersGroupPolicy_v1.0.4 na pasta compartilhada Arc.

18 – Precisamos alterar as políticas de execução do PowerShell para computadores Windows.

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

19 – Execute o Porweshell ISE como Adminsitrador, navegue até a pasta Arc “cd C:\Arc“onde os arquivos foram adiconados.

20 – No PowerShell ISE execute o script de instalação do Azure Arc.

Para a opção $ServicePrincipalSecret adicione o secret do service principal criado para o Arc, em seguida clique em Run script.

$ServicePrincipalClientSecret=cql8Q~Vztkj.zd.heGyMBGPrQ-~AxuIGbK3QmaS_

21 – Como podemos observar o script foi executado com sucesso.

22 – Como podemos observar a GPO para o Azure Arc foi criada com sucesso.

23 – Precisamos associar a GPO a OU onde estão os nossos servidores, abra o Group Policy, selecione a OU “Servidores” e clique em Link an Existenting GPO.

OU Servidores

24 – Na tela Select GPO selecione a GPO Azure Arc Servers Onboarding e clique em Ok.

25 – Como podemos observar a GPO foi associada a OU Servidores.

26 – Abra o prompt de comando no servidor que faz parte da OU Servidores e digite o comando “gpresult/r” para visualizar as GPOs aplicadas para o servidor, observe que a GPO de onboarding do Azure Arc foi aplicada ao servidor.

27 – Abra o Control Panel em Programs clique em Uninstall a program, observe que temos o agente do Azure Arc instalado no servidor.

28 – No portal do Azure pesquise por Azure Arc.

29 – No Azure Arc em Infrastructure clique em Servers, em Servers observe que temos nosso servidor adicionado ao Arc com o Status Connected.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Me siga nas redes sociais:
https://lnkd.in/enx4eSV

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *