Azure Arc zur Verwaltung lokaler Server einrichten

Warum Azure Arc ein leistungsfähiges Tool für das Patchen ist

Größere Unternehmen verlassen sich häufig entweder auf WSUS oder auf ein Patch-Management-Tool eines Drittanbieters. Diese Dienstprogramme können auf viele Server skaliert werden und bieten gleichzeitig umfangreiche Berichtsfunktionen, mit denen Unternehmen ihren Patch-Management-Status bewerten können.

Obwohl WSUS Windows-Rechner zuverlässig mit den neuesten Korrekturen auf dem aktuellen Stand hält, ist es in erster Linie für die lokale Patch-Verwaltung konzipiert. Unternehmen, die Workloads sowohl lokal als auch in der Azure-Cloud hosten, verwenden möglicherweise ein Patch-Verwaltungs-Tool in ihrem Rechenzentrum und ein weiteres in Azure. Es gibt jedoch eine bequeme Möglichkeit, den Azure Update Manager für die Patch-Verwaltung sowohl in der Cloud als auch lokal zu verwenden.

Der Schlüssel zur Verwendung von Azure Arc mit lokalen Servern ist die Arc-Aktivierung der Server, wie Microsoft es nennt. Azure Arc ist ein Dienst zur Verwaltung physischer Server und VMs sowohl lokal als auch in Azure und anderen Clouds. Azure Arc kann auch Kubernetes-Cluster und Datenbanken verwalten.

Um einen Server oder eine VM für Arc zu aktivieren, muss lediglich der Azure Connected Machine Agent auf dem Server installiert werden. Es ist nicht erforderlich, ein VPN einzurichten oder eine direkte Verbindung zu Azure herzustellen, solange der Computer über einen Internetzugang verfügt. Ports und Firewalls müssen aber offen sein, damit der Agent kommunizieren kann.

Microsoft stellt die Azure Arc-Steuerungsebene kostenlos zur Verfügung. Das bedeutet, dass Sie Azure Arc verwenden können, um Ressourcen zu kennzeichnen und die Suche und Indizierung für diese Ressourcen zu aktivieren. Mit dem kostenlosen AzureArc-Plan können Sie auch die Vorteile der rollenbasierten Zugriffskontrolle (RBAC) nutzen und Vorlagen zur Automatisierung verschiedener Aufgaben verwenden. Wenn eine Organisation VMware vCenter oder System Center Virtual Machine Manager verwendet, können Sie die Azure-Arc-Steuerungsebene verwenden, um Ihre Ressourcen zu inventarisieren und das Lebenszyklusmanagement für Ihre VMs durchzuführen. Die Kosten der Verwendung von Azure Update Manager in Arc-fähigen VMs lassen sich über die die Pricing-Optionen ermitteln.

In diesen bestimmten Szenarien fallen keine Gebühren an, wenn ein Kunde Azure Update Manager verwendet:

• Die Arc-fähige VM verfügt über erweiterte Sicherheitsupdates (ESUs).
• Das Abonnement, das die Arc-fähige VM hostet, verfügt auch über Microsoft Defender für Server Plan 2.
• Die Arc-fähige VM verwendet Windows-Server-Lizenzen mit entweder einer aktiven Software-Assurance-Lizenz oder Windows Server Pay-as-you-go.

Microsoft gewährt zwar kostenlosen Zugriff auf die Azure-Arc-Steuerungsebene, für alle Azure-Cloud-Dienste, die über SCVMM oder VMware vCenter bereitgestellt werden, fallen jedoch die üblichen Azure-Nutzungsgebühren an. Gleiches gilt für Azure-Dienste, die über Arc-fähige Kubernetes-Cluster genutzt werden. Microsoft erhebt außerdem eine Gebühr für erweiterte Sicherheitsupdates (ESUs) für Legacy und für die Verwendung von Azure Arc zur Verwaltung von SQL-Server-Instanzen.

Azure Arc über das Azure-Portal mit einem Server verbinden

Um Server für die Verwendung von Azure Arc zu konfigurieren, müssen Sie den Azure Connected Machine Agent auf den VMs bereitstellen. Dazu können Sie das Azure-Portal, Azure CLI oder PowerShell verwenden.

Melden Sie sich zunächst beim Azure-Portal an und öffnen Sie den Azure Arc-Dienst. Klicken Sie auf die Schaltfläche Ressourcen hinzufügen und dann auf die Schaltfläche Hinzufügen/Erstellen im Abschnitt Maschinen. Wählen Sie nach der Aufforderung die Option Maschine hinzufügen, um den Onboarding-Prozess zu starten.

Als Nächstes werden Sie in der Konsole aufgefordert, den Typ der zu integrierenden Ressource anzugeben. Wählen Sie für die Zwecke dieses Artikels Einzelnen Server mit Installationsprogramm hinzufügen. Azure Arc bietet auch Optionen zum gleichzeitigen Integrieren mehrerer Server, einschließlich Linux-VMs. Azure Arc lädt eine Installationsdatei in Ihren Browser herunter. Kopieren Sie die Installationsdatei auf den Server, den Sie mit Azure Arc verwalten möchten.

Wechseln Sie anschließend zu der zu verwaltenden VM und starten Sie die ausführbare Datei. Das Installationsprogramm startet einen Assistenten für den Installationsprozess, für den Sie sich bei Azure anmelden und das Abonnement auswählen müssen. Nach Abschluss des Vorgangs kann Azure Arc die VM nun über den Azure Connected Machine Agent verwalten.

Patches für Arc-fähige Server verwalten

Konfigurieren Sie den Server nach dem Onboarding in Azure Arc so, dass er Updates empfängt. Öffnen Sie zunächst den Azure Update Manager im Azure-Portal, wählen Sie dann die Registerkarte Ressourcen aus und klicken Sie auf Maschinen. Der Arc-fähige Server sollte auf der Registerkarte Maschinen aufgeführt sein.

Der Screenshot zeigt eine Konsolenmeldung mit dem Hinweis 1 von 1 Maschine(n) verfügt(en) über keine Aktualisierungsdaten. Um automatische Aktualisierungen für die Maschine zu aktivieren, klicken Sie auf den Link Jetzt aktivieren am Ende der Meldung. Alternativ können Sie auf die Schaltfläche Nach Aktualisierungen suchen klicken, um eine sofortige Aktualisierungsprüfung für die VM zu starten.

Nach der Aktualisierungsbewertung zeigt das Azure-Update-Manager-Dashboard möglicherweise eine Meldung zu ausstehenden Aktualisierungen an. Klicken Sie auf die Meldung, um die Ergebnisse anzuzeigen. Sie haben die Möglichkeit, die Updates entweder sofort zu installieren oder sie während eines Wartungsfensters zu planen. Beachten Sie, dass es bei der Erzwingung eines sofortigen Updates zu Verzögerungen kommen kann. Während des Tests dauerte es 30 Minuten vom Start des Updates bis zur Aktualisierung des Status der VM im Dashboard. IT-Administratoren müssen diese Verzögerung bei der Überprüfung der Update-Konformität berücksichtigen, um unnötiges Troubleshooting zu vermeiden.

Einen Server mit Azure Arc über PowerShell anbinden

Anstelle des Azure-Portals ist PowerShell eine weitere Option für Administratoren, die diese Methode bevorzugen. Installieren Sie zunächst das Modul Az.ConnectedMachine mit diesem Befehl:

Install-Module -Name Az.ConnectedMachine

Melden Sie sich anschließend mit dem Befehl Connect-AZAccount bei Azure an. Installieren Sie abschließend den Azure-Connected-Machine-Agent mit diesem Befehl:

Connect-AzConnectedMachine -ResourceGroupName myResourceGroup -Name myMachineName -Location <Region>

Der Befehl lädt den Connected Machine Agent herunter, installiert ihn auf dem Server, erstellt die Azure-Arc-fähige Serverressource und verknüpft sie mit dem Agenten. Der Onboarding-Prozess dauert einige Minuten.

Damit ist die Einrichtung für die Verwendung von Azure Arc für das Patch-Management abgeschlossen. Für andere Aufgaben, die einen sicheren Remotezugriff erfordern, ermöglicht Azure Arc jedoch Verbindungen zu Arc-fähigen Computern über das Remote Desktop Protocol (RDP) und die Erweiterung Windows Admin Center in Azure oder SSH mit Azure CLI oder PowerShell.

Die Berichtsfunktion in Azure Arc verwenden

Während das Dashboard des Azure Update Managers Informationen zum Patch-Management-Status von Arc-fähigen Computern bereitstellt, kann Azure Arc detailliertere Berichte erstellen.

Erweitern Sie zunächst den Container „Überwachung” der Konsole und klicken Sie dann auf die Registerkarte Berichte. Klicken Sie anschließend im Abschnitt Azure Update Manager auf den Bericht Übersicht.

Wählen Sie im Bildschirm Berichte das Abonnement aus dem Menü aus. Standardmäßig umfasst der Bericht den gesamten Mandanten, daher ist es hilfreich, nach Region, Ressourcentyp und Zeitbereich zu filtern. Sie können den Bericht speichern, indem Sie auf das Symbol Speichern klicken.

Sie können den Bericht nach Standort, Ressourcentyp oder Zeitbereich filtern. Azure Workbooks stellen eine Verbindung zu Azure Arc her, um noch detailliertere Informationen zu Patches zu erhalten, darunter den Compliance-Status der gesamten Infrastruktur, die Erfolgsraten bei der Installation von Sicherheitsupdates und den Verlauf der Update-Bereitstellung.