我們來了解下什么是Azure Arc?為什么福布斯會宣稱這是微軟一款改變了游戲規(guī)則的產品?
在2019年的Ignite大會上���,微軟CEO Satya發(fā)布了一系列Azure新的混合云產品和服務�����,而混合和多云平臺Azure Arc無疑是最重磅的產品����,在Keynote里宣布了產品的公測及微軟在混合云方面新的戰(zhàn)略方向�����。至此在混合云的技術棧里微軟不僅擁有了Azure Stack和IoT Edge���,Azure云平臺可以和任何數(shù)據(jù)中心�����,任何云環(huán)境內的服務器資源進行管理整合�����。
我們來了解下什么是Azure Arc���?為什么福布斯會宣稱這是微軟一款改變了游戲規(guī)則的產品?Azure Arc是一系列的成熟技術,它可以幫助用戶將Azure云端成熟的管理功能擴展到任何的基礎架構�,而且還能夠將Azure的服務運行于本地數(shù)據(jù)中心,跨云環(huán)境和邊緣節(jié)點上��。成功實現(xiàn)了將Azure的服務和管理帶到任何的基礎架構��。
Azure Arc在第一版的發(fā)布中會共包含了三個功能模塊����,分別為跨云服務器支持,跨云容器支持和Azure數(shù)據(jù)庫服務的跨云支持���,目前跨云服務器支持已經在Azure全球版(Global Azure)提供了公測�����,另兩個服務正在進行內測�,在不久的將來也會和公眾見面。
01
Azure Arc for Servers
實現(xiàn)通過Azure云平臺統(tǒng)一管理本地數(shù)據(jù)中心及跨云環(huán)境中的物理機或虛擬機��。
借助Azure Arc服務��,用戶可以通過Azure云門戶統(tǒng)一進行所有本地數(shù)據(jù)中心及跨云服務器的管控���,并借助于Azure云平臺上的身份認證系統(tǒng)和安全中心進行統(tǒng)一的安全管理及合規(guī)管控����。通過下圖的簡單架構我們可以清楚的看到借助Azure Arc技術我們除了可以通過本地數(shù)據(jù)中心管理軟件或其它云平臺的管理軟件對混合云的服務器進行管理��,還可以象訪問Azure云上的原生資源一樣對這些服務器進行瀏覽�����,管理���,監(jiān)控����,備份�。
而實現(xiàn)這一技術的原理其實也并不復雜��,我們知道新版的Azure云管理平臺都是基于ARM(Azure Resource Manager)來進行資源的統(tǒng)一管理�,而云平臺對于虛擬機的管理主要依靠于Azure Virtual Machine Agent(VM Agent)���,這個虛擬機代理程序是一個安全的輕量級進程運行于虛擬機內,實現(xiàn)了虛擬機和云平臺之間的所有交互�����。比如進行配置管理�,監(jiān)控,安全策略推送等等����。借助于虛擬機代理我們還可以安裝維護一定的擴展程序(Extension),通過擴展程序我們可以在虛擬機上實現(xiàn)很多額外的功能��。比如我們在忘記了虛擬機密碼時使用的重置密碼功能或不小心更改了RDP/SSH的配置文件而無法遠程登錄系統(tǒng)時就是借助于VM Access這個擴展程序從門戶進行系統(tǒng)重置的���。
關于虛擬機代理程序的安全性問題是很多小伙伴都關心的話題�����,在這里我們可以告訴大家微軟有一整套的安全策略以保護虛擬機代理及其管理的擴展程序的安全性����,大家可以放心使用,感興趣的小伙伴也可以聯(lián)系微軟技術專家探討微軟云在安全管理上的詳細技術���。
在介紹了虛擬機代理及擴展程序后���,我們就可以非常容易的理解Azure Arc的工作原理了,和Azure云管理云端的資源一樣��,Azure Arc會在本地數(shù)據(jù)中心或跨云服務器的操作系統(tǒng)內安裝一個代理程序(Azure Connected Machine Agent)�,并根據(jù)具體的功能需求安裝相應的虛擬機擴展程序以幫助實現(xiàn)這些服務器的管理,監(jiān)控及安全推送等操作�����。所以在有了安全的通訊方式之后���,對一個技術宅來說是不是沒有做不到���,只有想不到?
目前利用Azure Arc for Servers不僅能統(tǒng)一管理Azure內部和外部的服務器,還可以利用Azure的AAD進行RBAC權限管控���,通過ARM模板及Azure API進行自動化運維�����,將服務器日志發(fā)送到基于云的中央監(jiān)控系統(tǒng)Azure Monitor����,進行統(tǒng)一的安全策略設置及漏洞補丁推送?����;谠茟玫目焖俚匦?��,隨著產品推出后需求的不斷更新,相信很快會有更多符合客戶需求的功能上線��。
最后我們以實際的操作來看一下�,Azure Arc是如何做到監(jiān)控管理來自任何地方的服務器的。我們會像在云端建立資源一樣新建一個”Machine–Azure Arc”�,首先你需要選擇建立Arc虛擬機的訂閱,資源組�,區(qū)域以及選擇操作系統(tǒng)類型(Windows,Linux)�。
隨后系統(tǒng)會詢問你是否需要配置Proxy代理服務器用于和部署在內網的服務器進行通訊,由于我們使用的是虛擬機代理程序����,所以只要能夠借助Proxy訪問Azure云服務即可�����,無需在企業(yè)防火墻上開放任何網絡端口���。最后系統(tǒng)就會根據(jù)你的配置信息生成一個腳本文件,Windows系統(tǒng)為PowerShell腳本��,Linux系統(tǒng)為Bash腳本�,你可以根據(jù)提示下載腳本到需要接受管理的服務器并運行腳本。以Windows 2016服務器為例�����,我們來看一下下載的腳本內容
#Downloadthe package
Invoke-WebRequest-Uri https://aka.ms/AzureConnectedMachineAgent-OutFileAzureConnectedMachineAgent.msi
#Install the package
msiexec/iAzureConnectedMachineAgent.msi/l*v installationlog.txt/qn|Out-String
#Runconnect command
&"$env:ProgramFilesAzureConnectedMachineAgentazcmagent.exe"connect--resource-group"win2016"--tenant-id"72fxxxx-86f1-41af-91ab-2d7cd0xxxxx"--location"southeastasia"--subscription-id"e2xxxxx-12b4-439c-82ab-6bb12xxxxxxx"
根據(jù)前面前面的介紹,我們可以非常清楚的看到它下載了Azure連接代理程序到本地���,并在服務器上進行了靜默安裝��,隨后啟動了連接代理程序�,啟動后會使用Azure云的身份證認證系統(tǒng)Azure AD對當前服務器進行登記認證����,并要求輸入云端管理賬號的用戶名����,密碼進行身份認證���。認證完成后我們就會在Azure的門戶上看到一個類型為Machine–Azure Arc的機器�,并且處于連接狀態(tài)����。
點擊這臺服務器�,和云端虛擬機資源一樣���,我們可以看到這臺服務器的系統(tǒng)版本�����,能夠基于IAM(Identity and Access Management)對它進行訪問控制���,能夠基于Azure安全中心進行策略推送及監(jiān)控管理。當然如果你還有更多好的混合云服務器的管理需求也可以向微軟產品組提出�����,一起來不斷完善產品的功能。
02
Azure Arc for Kubernetes
實現(xiàn)通過Azure平臺統(tǒng)一管理本地數(shù)據(jù)中心及跨云環(huán)境中的Kubernetes集群�,如AWS的EKS谷歌的GSK都可以向Azure Arc注冊,讓Azure來管理這些外部Kubernetes集群�����。
和Azure Arc for Servers管理服務器不同����,Azure Arc for Kubernetes實現(xiàn)了針對不同Kubernetes集群的監(jiān)控管理��,并使用DevOps技術在整個環(huán)境中大規(guī)模部署和管理Kubernetes應用程序�。
03
Azure Data Service on Azure Arc
通過Azure Arc技術實現(xiàn)Azure Data Service anywhere的目標,它借助了容器化技術�,實現(xiàn)了將數(shù)據(jù)庫服務部署到本地數(shù)據(jù)中心或跨云的容器中�,并在Azure門戶中實現(xiàn)統(tǒng)一管理��。解決了云端數(shù)據(jù)庫產品使用中常見的延時較大及數(shù)據(jù)合規(guī)性問題。實現(xiàn)了跨本地數(shù)據(jù)中心,云和邊緣節(jié)點的無縫管理和數(shù)據(jù)資產的安全保護���。在第一個發(fā)布版本中將先推出基于SQL Server 2019的Azure SQL Database及Azure Database for PostgreSQL Hyperscale服務。其它的數(shù)據(jù)庫服務支持將在后續(xù)版本中陸續(xù)推出��。
最后我們以一個完整架構來展現(xiàn)Azure Arc的設計�,概況一下Azure Arc是如何通過一系列的技術,通過安全交互實現(xiàn)一個統(tǒng)一的云管平臺����,讓客戶既可以使用原有的管理工具進行系統(tǒng)管理�����,也可以借助Azure云成熟的監(jiān)控和安全管理平臺對混合云服務進行更好的安全管控�。
Azure Arc真正吸引人們的是基于Azure ARM堅實基礎,微軟通過Azure Arc和Azure Stack實現(xiàn)了硬件和軟件的戰(zhàn)略結合����,將多云服務器���,容器和云端托管服務實現(xiàn)了無縫的融合���,締造了一個真正的混合云平臺�����。
閩公網安備 35010202001226號
