Azure Arc：可以改變游戲規(guī)則的混合云

在2019年的Ignite大會(huì)上，微軟CEO Satya發(fā)布了一系列Azure新的混合云產(chǎn)品和服務(wù)，而混合和多云平臺(tái)Azure Arc無(wú)疑是最重磅的產(chǎn)品，在Keynote里宣布了產(chǎn)品的公測(cè)及微軟在混合云方面新的戰(zhàn)略方向。至此在混合云的技術(shù)棧里微軟不僅擁有了Azure Stack和IoT Edge，Azure云平臺(tái)可以和任何數(shù)據(jù)中心，任何云環(huán)境內(nèi)的服務(wù)器資源進(jìn)行管理整合。

我們來(lái)了解下什么是Azure Arc？為什么福布斯會(huì)宣稱(chēng)這是微軟一款改變了游戲規(guī)則的產(chǎn)品?Azure Arc是一系列的成熟技術(shù)，它可以幫助用戶將Azure云端成熟的管理功能擴(kuò)展到任何的基礎(chǔ)架構(gòu)，而且還能夠?qū)zure的服務(wù)運(yùn)行于本地?cái)?shù)據(jù)中心，跨云環(huán)境和邊緣節(jié)點(diǎn)上。成功實(shí)現(xiàn)了將Azure的服務(wù)和管理帶到任何的基礎(chǔ)架構(gòu)。

Azure Arc在第一版的發(fā)布中會(huì)共包含了三個(gè)功能模塊，分別為跨云服務(wù)器支持，跨云容器支持和Azure數(shù)據(jù)庫(kù)服務(wù)的跨云支持，目前跨云服務(wù)器支持已經(jīng)在Azure全球版（Global Azure）提供了公測(cè)，另兩個(gè)服務(wù)正在進(jìn)行內(nèi)測(cè)，在不久的將來(lái)也會(huì)和公眾見(jiàn)面。

01

Azure Arc for Servers

實(shí)現(xiàn)通過(guò)Azure云平臺(tái)統(tǒng)一管理本地?cái)?shù)據(jù)中心及跨云環(huán)境中的物理機(jī)或虛擬機(jī)。

借助Azure Arc服務(wù)，用戶可以通過(guò)Azure云門(mén)戶統(tǒng)一進(jìn)行所有本地?cái)?shù)據(jù)中心及跨云服務(wù)器的管控，并借助于Azure云平臺(tái)上的身份認(rèn)證系統(tǒng)和安全中心進(jìn)行統(tǒng)一的安全管理及合規(guī)管控。通過(guò)下圖的簡(jiǎn)單架構(gòu)我們可以清楚的看到借助Azure Arc技術(shù)我們除了可以通過(guò)本地?cái)?shù)據(jù)中心管理軟件或其它云平臺(tái)的管理軟件對(duì)混合云的服務(wù)器進(jìn)行管理，還可以象訪問(wèn)Azure云上的原生資源一樣對(duì)這些服務(wù)器進(jìn)行瀏覽，管理，監(jiān)控，備份。

而實(shí)現(xiàn)這一技術(shù)的原理其實(shí)也并不復(fù)雜，我們知道新版的Azure云管理平臺(tái)都是基于ARM(Azure Resource Manager)來(lái)進(jìn)行資源的統(tǒng)一管理，而云平臺(tái)對(duì)于虛擬機(jī)的管理主要依靠于Azure Virtual Machine Agent(VM Agent)，這個(gè)虛擬機(jī)代理程序是一個(gè)安全的輕量級(jí)進(jìn)程運(yùn)行于虛擬機(jī)內(nèi)，實(shí)現(xiàn)了虛擬機(jī)和云平臺(tái)之間的所有交互。比如進(jìn)行配置管理，監(jiān)控，安全策略推送等等。借助于虛擬機(jī)代理我們還可以安裝維護(hù)一定的擴(kuò)展程序(Extension)，通過(guò)擴(kuò)展程序我們可以在虛擬機(jī)上實(shí)現(xiàn)很多額外的功能。比如我們?cè)谕浟颂摂M機(jī)密碼時(shí)使用的重置密碼功能或不小心更改了RDP/SSH的配置文件而無(wú)法遠(yuǎn)程登錄系統(tǒng)時(shí)就是借助于VM Access這個(gè)擴(kuò)展程序從門(mén)戶進(jìn)行系統(tǒng)重置的。

關(guān)于虛擬機(jī)代理程序的安全性問(wèn)題是很多小伙伴都關(guān)心的話題，在這里我們可以告訴大家微軟有一整套的安全策略以保護(hù)虛擬機(jī)代理及其管理的擴(kuò)展程序的安全性，大家可以放心使用，感興趣的小伙伴也可以聯(lián)系微軟技術(shù)專(zhuān)家探討微軟云在安全管理上的詳細(xì)技術(shù)。

在介紹了虛擬機(jī)代理及擴(kuò)展程序后，我們就可以非常容易的理解Azure Arc的工作原理了，和Azure云管理云端的資源一樣，Azure Arc會(huì)在本地?cái)?shù)據(jù)中心或跨云服務(wù)器的操作系統(tǒng)內(nèi)安裝一個(gè)代理程序(Azure Connected Machine Agent)，并根據(jù)具體的功能需求安裝相應(yīng)的虛擬機(jī)擴(kuò)展程序以幫助實(shí)現(xiàn)這些服務(wù)器的管理，監(jiān)控及安全推送等操作。所以在有了安全的通訊方式之后，對(duì)一個(gè)技術(shù)宅來(lái)說(shuō)是不是沒(méi)有做不到，只有想不到?

目前利用Azure Arc for Servers不僅能統(tǒng)一管理Azure內(nèi)部和外部的服務(wù)器，還可以利用Azure的AAD進(jìn)行RBAC權(quán)限管控，通過(guò)ARM模板及Azure API進(jìn)行自動(dòng)化運(yùn)維，將服務(wù)器日志發(fā)送到基于云的中央監(jiān)控系統(tǒng)Azure Monitor，進(jìn)行統(tǒng)一的安全策略設(shè)置及漏洞補(bǔ)丁推送。基于云應(yīng)用的快速迭代特性，隨著產(chǎn)品推出后需求的不斷更新，相信很快會(huì)有更多符合客戶需求的功能上線。

最后我們以實(shí)際的操作來(lái)看一下，Azure Arc是如何做到監(jiān)控管理來(lái)自任何地方的服務(wù)器的。我們會(huì)像在云端建立資源一樣新建一個(gè)”Machine–Azure Arc”，首先你需要選擇建立Arc虛擬機(jī)的訂閱，資源組，區(qū)域以及選擇操作系統(tǒng)類(lèi)型(Windows，Linux)。

隨后系統(tǒng)會(huì)詢(xún)問(wèn)你是否需要配置Proxy代理服務(wù)器用于和部署在內(nèi)網(wǎng)的服務(wù)器進(jìn)行通訊，由于我們使用的是虛擬機(jī)代理程序，所以只要能夠借助Proxy訪問(wèn)Azure云服務(wù)即可，無(wú)需在企業(yè)防火墻上開(kāi)放任何網(wǎng)絡(luò)端口。最后系統(tǒng)就會(huì)根據(jù)你的配置信息生成一個(gè)腳本文件，Windows系統(tǒng)為PowerShell腳本，Linux系統(tǒng)為Bash腳本，你可以根據(jù)提示下載腳本到需要接受管理的服務(wù)器并運(yùn)行腳本。以Windows 2016服務(wù)器為例，我們來(lái)看一下下載的腳本內(nèi)容

#Downloadthe package

Invoke-WebRequest-Uri https://aka.ms/AzureConnectedMachineAgent-OutFileAzureConnectedMachineAgent.msi

#Install the package

msiexec/iAzureConnectedMachineAgent.msi/l*v installationlog.txt/qn|Out-String

#Runconnect command

&"$env:ProgramFilesAzureConnectedMachineAgentazcmagent.exe"connect--resource-group"win2016"--tenant-id"72fxxxx-86f1-41af-91ab-2d7cd0xxxxx"--location"southeastasia"--subscription-id"e2xxxxx-12b4-439c-82ab-6bb12xxxxxxx"

根據(jù)前面前面的介紹，我們可以非常清楚的看到它下載了Azure連接代理程序到本地，并在服務(wù)器上進(jìn)行了靜默安裝，隨后啟動(dòng)了連接代理程序，啟動(dòng)后會(huì)使用Azure云的身份證認(rèn)證系統(tǒng)Azure AD對(duì)當(dāng)前服務(wù)器進(jìn)行登記認(rèn)證，并要求輸入云端管理賬號(hào)的用戶名，密碼進(jìn)行身份認(rèn)證。認(rèn)證完成后我們就會(huì)在Azure的門(mén)戶上看到一個(gè)類(lèi)型為Machine–Azure Arc的機(jī)器，并且處于連接狀態(tài)。

點(diǎn)擊這臺(tái)服務(wù)器，和云端虛擬機(jī)資源一樣，我們可以看到這臺(tái)服務(wù)器的系統(tǒng)版本，能夠基于IAM(Identity and Access Management)對(duì)它進(jìn)行訪問(wèn)控制，能夠基于Azure安全中心進(jìn)行策略推送及監(jiān)控管理。當(dāng)然如果你還有更多好的混合云服務(wù)器的管理需求也可以向微軟產(chǎn)品組提出，一起來(lái)不斷完善產(chǎn)品的功能。

02

Azure Arc for Kubernetes

實(shí)現(xiàn)通過(guò)Azure平臺(tái)統(tǒng)一管理本地?cái)?shù)據(jù)中心及跨云環(huán)境中的Kubernetes集群，如AWS的EKS谷歌的GSK都可以向Azure Arc注冊(cè)，讓Azure來(lái)管理這些外部Kubernetes集群。

和Azure Arc for Servers管理服務(wù)器不同，Azure Arc for Kubernetes實(shí)現(xiàn)了針對(duì)不同Kubernetes集群的監(jiān)控管理，并使用DevOps技術(shù)在整個(gè)環(huán)境中大規(guī)模部署和管理Kubernetes應(yīng)用程序。

03

Azure Data Service on Azure Arc

通過(guò)Azure Arc技術(shù)實(shí)現(xiàn)Azure Data Service anywhere的目標(biāo)，它借助了容器化技術(shù)，實(shí)現(xiàn)了將數(shù)據(jù)庫(kù)服務(wù)部署到本地?cái)?shù)據(jù)中心或跨云的容器中，并在Azure門(mén)戶中實(shí)現(xiàn)統(tǒng)一管理。解決了云端數(shù)據(jù)庫(kù)產(chǎn)品使用中常見(jiàn)的延時(shí)較大及數(shù)據(jù)合規(guī)性問(wèn)題。實(shí)現(xiàn)了跨本地?cái)?shù)據(jù)中心，云和邊緣節(jié)點(diǎn)的無(wú)縫管理和數(shù)據(jù)資產(chǎn)的安全保護(hù)。在第一個(gè)發(fā)布版本中將先推出基于SQL Server 2019的Azure SQL Database及Azure Database for PostgreSQL Hyperscale服務(wù)。其它的數(shù)據(jù)庫(kù)服務(wù)支持將在后續(xù)版本中陸續(xù)推出。

最后我們以一個(gè)完整架構(gòu)來(lái)展現(xiàn)Azure Arc的設(shè)計(jì)，概況一下Azure Arc是如何通過(guò)一系列的技術(shù)，通過(guò)安全交互實(shí)現(xiàn)一個(gè)統(tǒng)一的云管平臺(tái)，讓客戶既可以使用原有的管理工具進(jìn)行系統(tǒng)管理，也可以借助Azure云成熟的監(jiān)控和安全管理平臺(tái)對(duì)混合云服務(wù)進(jìn)行更好的安全管控。

Azure Arc真正吸引人們的是基于Azure ARM堅(jiān)實(shí)基礎(chǔ)，微軟通過(guò)Azure Arc和Azure Stack實(shí)現(xiàn)了硬件和軟件的戰(zhàn)略結(jié)合，將多云服務(wù)器，容器和云端托管服務(wù)實(shí)現(xiàn)了無(wú)縫的融合，締造了一個(gè)真正的混合云平臺(tái)。