你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对于任何一家公司而言,部署 IT 基础结构服务或业务应用程序都充满了挑战。 若要很好地执行它,并避免任何不受欢迎的意外和计划外的成本,你需要彻底规划它,以确保你尽可能准备好。 任何规模部署已启用 Azure Arc 的服务器的计划都应涵盖成功完成任务所需的设计和部署条件。
要使部署顺利进行,应在计划中明确以下方面的认知:
- 角色和职责。
- 物理服务器或虚拟机(VM)的清单,以验证它们是否符合网络和系统要求。
- 实现成功部署和持续管理所需的技能集和培训。
- 验收条件以及如何跟踪其成功结果。
- 用于自动化部署的工具或方法。
- 确定的风险和缓解计划,以避免延迟和中断。
- 有关在部署期间避免中断的计划。
- 出现重大问题时的事务升级路径。
本文可帮助你准备在环境中多个生产物理服务器或 VM 上成功部署已启用 Azure Arc 的服务器。
若要详细了解我们的大规模部署建议,还可以参考此视频。
先决条件
规划部署时,请考虑以下基本要求:
- 为了支持你的部署,计算机必须运行 受支持的操作系统 以适用于 Azure Connected Machine 代理。
- 若要连接部署,计算机必须具有从本地网络或其他云环境到 Azure 中的资源(直接或通过代理服务器)的连接。
- 要安装和配置 Connected Machine 代理,你必须在计算机上拥有一个具有提升权限的帐户(即管理员或 root)。
- 若要加入计算机,必须具有“Azure Connected Machine 接入”内置角色。
- 若要读取、修改和删除计算机,必须具有 Azure 连接计算机资源管理员内置角色。
有关详细信息,请参阅安装 Connected Machine 代理的 先决条件 和 网络要求 。
Azure 订阅和服务限制
可以在任何单个资源组、订阅或租户中注册的已启用 Azure Arc 的服务器数没有限制。
每个已启用 Azure Arc 的服务器都与一个 Microsoft Entra 对象相关联,并计入目录配额。 有关在 Microsoft Entra 目录中可以拥有的最大对象数的信息,请参阅 Microsoft Entra 服务限制和限制。
试点
在部署到所有生产计算机之前,请先评估部署过程,然后再在环境中广泛采用它。 要进行试点,请确定几台有代表性的、对公司业务运营不很关键的计算机。 请务必留出足够的时间来运行试点并评估其影响。 建议至少 30 天。
制定一个正式计划来描述试点的范围和细节。 你的计划通常应包含以下项:
- 目标:介绍导致试点是必要的决策的业务和技术驱动因素。
- 选择条件:指定用于选择试点演示的解决方案的哪些方面的条件。
- 范围:描述试点的范围,包括但不限于解决方案组件、预期计划、试点持续时间和要设定的计算机数。
- 成功条件和指标:定义用于确定成功级别的试点成功条件和特定度量值。
- 培训计划:介绍在试点期间不熟悉 Azure 及其服务的系统工程师、管理员等培训计划。
- 过渡计划:描述用于指导从试点过渡到生产的战略和标准。
- 回滚:描述从试点回滚到部署前状态的过程。
- 风险:列出执行试点的所有已识别风险,以及与生产部署相关的风险。
第 1 阶段:构建基础
在此阶段,系统工程师或管理员在其组织的 Azure 订阅中启用核心功能,以便在启用计算机由已启用 Azure Arc 的服务器和其他 Azure 服务进行管理之前启动基础。
| 任务 | 详细信息 | 预计持续时间 |
|---|---|---|
| 创建资源组。 | 专用的资源组,只包含已启用 Azure Arc 的服务器,并对这些资源进行集中式管理和监视。 | 一小时 |
| 规划 标记 以帮助组织计算机。 | 评估并制定符合 IT 部门要求的标记策略,以帮助降低管理已启用 Azure Arc 的服务器的复杂性,并简化管理决策。 | 一天 |
| 设计和部署 Azure Monitor 日志。 | 评估 设计和部署注意事项 ,以确定组织是否应使用现有的 Log Analytics 工作区或实现另一个工作区来存储混合服务器和计算机收集的日志数据。 | 一天 |
| 制定 Azure Policy 治理计划。 | 确定如何使用 Azure Policy 在订阅或资源组范围内实施混合服务器和计算机的治理。 | 一天 |
| 配置 基于角色的访问控制。 | 制定访问计划,控制谁有权管理已启用 Azure Arc 的服务器,以及查看其他 Azure 服务和解决方案中的数据的能力。 | 一天 |
| 识别已安装 Azure Monitor 代理的计算机。 | 在 Log Analytics 中运行以下日志查询,以支持将现有 Azure Monitor 代理部署转换为扩展托管代理:Heartbeat <br> | summarize arg_max(TimeGenerated, OSType, ResourceId, ComputerEnvironment) by Computer <br> | where ComputerEnvironment == "Non-Azure" and isempty(ResourceId) <br> | project Computer, OSType |
一小时 |
第 2 阶段:部署已启用 Azure Arc 的服务器
接下来,我们通过准备并部署 Connected Machine Agent,在第 1 阶段打下的基础上补充内容。
| 任务 | 详细信息 | 预计持续时间 |
|---|---|---|
| 下载预定义的安装脚本。 | 查看并自定义用于大规模部署 Connected Machine Agent 来支持自动化部署要求的预定义安装脚本。 大规模加入资源的示例:
|
一天或多天,具体取决于要求、组织流程(例如更改和发布管理),以及所使用的自动化方法。 |
| 创建服务主体。 | 使用 Azure PowerShell 或门户创建服务主体以非交互方式连接计算机。 | 一小时。 |
| 将 Connected Machine 代理部署到目标服务器和计算机。 | 使用自动化工具将脚本部署到服务器,然后将服务器连接到 Azure。 | 一天或多天,具体取决于发布计划,以及是否遵循分阶段实施方案。 |
第 3 阶段:管理和操作
第 3 阶段是指管理员或系统工程师能够使手动任务自动化,以便在 Connected Machine Agent 和计算机的整个生命周期内对其进行管理和操作。
| 任务 | 详细信息 | 预计持续时间 |
|---|---|---|
| 创建资源运行状况警报。 | 如果服务器停止向 Azure 发送心跳信号超过 15 分钟,则可能意味着服务器脱机、网络连接被阻塞或代理未运行。 制定计划来响应和调查这些事件,并在这些事件发生时使用资源运行状况警报接收通知。 配置警报时,请指定以下项: 资源类型 = 已启用 Azure Arc 的服务器 当前资源状态 = 不可用 以前的资源状态 = 可用 |
一小时 |
| 创建 Azure 顾问警报。 | 为了获得最佳体验和最新的安全性和 bug 修复,建议使 Connected Machine 代理保持最新状态。 可以使用 Azure 顾问警报来识别已过时的代理。 配置警报时,请指定以下项: 建议类型 = 升级到最新版本的 Azure Connected Machine 代理 |
一小时 |
| 将 Azure 策略分配到 订阅或资源组范围。 | 在订阅或资源组范围分配“启用用于 VM 的 Azure Monitor”策略(以及符合需求的其他策略)。 使用 Azure Policy,可以分配策略定义,以便在整个环境中安装 VM 见解所需的代理。 | 多种多样 |
| 为已启用 Azure Arc 的服务器启用 Azure 更新管理器。 | 在已启用 Azure Arc 的服务器上配置 Azure 更新管理器,以管理 Windows 和 Linux VM 的系统更新。 可以选择按需 部署更新 ,或使用 自定义计划应用更新。 | 5 分钟 |
相关内容
- 通过面向混合云和多云的 Azure Arc 登陆区域加速器,了解最佳做法和设计模式。
- 了解如何重新配置、升级和删除 Connected Machine Agent。
- 查看代理连接问题排查指南中的故障排除信息。
- 了解如何使用其他 Azure 服务(例如 Azure 自动化 State Configuration 和其他受支持的 Azure VM 扩展)来简化部署。