Azure Arc – Management von On-Premises-Systemen aus der Cloud

Immer mehr Firmen beschäftigen sich mit dem Thema „Cloud“. Oft ist das Ziel dabei, IT-Aufwände und dadurch Kosten zu reduzieren. Doch ähnlich oft gibt es auch Vorbehalte oder externe Hinderungsgründe, Workloads dann tatsächlich in die Cloud zu verlagern.

Wenn es Ihnen auch so geht – oder es für Ihr Unternehmen schlicht noch zu früh ist, Dienste in der Public Cloud zu betreiben, dann könnte Azure Arc eine interessante Lösung für Sie sein. Schauen wir sie uns einmal näher an!

Azure Arc ist ein Cloud Service in Microsofts Public Cloud Umgebung Azure. Dieser ermöglicht es, Systeme jeder Art und unabhängig von deren aktuellem Ort in Azure zu verwalten. Vereinfacht gesagt wird über Arc eine Verbindung zwischen den zu verwaltenden Betriebssystemen und der Azure Cloud hergestellt, so dass diese Systeme, obwohl sie nicht in Azure laufen, dort „sichtbar“ sind. Dabei spielt es keine Rolle, ob es sich um ein Windows- oder Linux-System handelt. Ebenso ist es unerheblich, ob das System als Bare-Metal-Server läuft, bereits eine VM im On-Premises-Rechenzentrum ist oder gar bei einem anderen Cloud-Anbieter betrieben wird.

Azure Arc ist leider noch nicht in der Lage, eine beliebige VM exakt so zu behandeln, als wäre es eine Azure VM – dafür sind die Umgebungen und Möglichkeiten einfach zu unterschiedlich. Nichts desto trotz sind bereits viele Optionen, die Azure für „seine“ nativen VMs bietet, welche auch für die sogenannten Arc-enabled VMs möglich. Dazu gehört unter anderem:

Über den Connected Machine Agent, der beim Azure Arc Onboarding auf dem Zielsystem installiert wird, ist eine Anbindung an Azure Policies möglich. Dadurch können diese Policies eben auch auf On-Premises Systeme wirken. Hierbei gilt jedoch die Einschränkung, dass nur Policies der Kategorie „Guest Configuration“ verwendet werden können – was aber bei genauerem Nachdenken auch logisch ist. Die anderen Policies, die zum Beispiel die Größe von VMs oder auch deren Location beschränken können, wirken immer direkt beim Erzeugen der VMs. Azure Arc kann aber erst zum Einsatz kommen, wenn die VMs bereits vollständig installiert sind. Außerdem greifen die anderen Policies über den „Azure Resource Manager (ARM)“ in die Vorgänge ein. ARM ist die zentrale Azure-Komponente, die letztlich alle Deployments und Ressourcenänderungen durchführt – kommt aber bei On-Premises-Systemen nicht zum Einsatz.

Mit den Guest Configuration Policies sind aber immer noch sehr viele Szenarien umsetzbar. So können damit insbesondere gewünschte Zielkonfigurationen für die on-prem Systeme vorgegeben und über Policy Compliance überwacht werden. Out-of-the Box können damit zum Beispiel Vorgaben zum Passwort-Management auf den Systemen gemacht werden oder aber das Vorhandensein oder Nicht-Vorhandensein vorgegebener Software kontrolliert werden. Außerdem ist es über Policies möglich, den Azure Monitor Agent oder den Log Analytics Agent auf die Arc-enabled Server zu installieren und zu konfigurieren.

Mit dem installierten Log Analytics Agent oder dem etwas älteren Azure Monitor Agent ist eine Anbindung der On-Premises-Systeme an Azure Log Analytics möglich. Dabei senden die Systeme Metriken zu verschiedenen Performance-Indikatoren wie CPU, RAM, Disk und Netzwerk sowie die verschiedenen Protokolleinträge der Event Logs an einen konfigurierten Log Analytics Workspace, wo sie dann durch die umfangreiche und mächtige Abfragesprache KQL abgefragt und ausgewertet werden können. Außerdem ist die Anbindung an Log Analytics die Grundlage für weitere Funktionen wie Update Management oder auch das Security Center.

Über den sogenannten Automation Account können Azure VMs und eben auch über Azure Arc angebundene non-Azure Systeme automatisiert mit Updates versorgt werden. Dies funktioniert sowohl für Windows- als auch Linux-Systeme. Ähnlich wie bei einem WSUS-Server kann man über Update-Management steuern, welche Update-Kategorien installiert werden sollen, wann dies geschieht, wieviel Zeit maximal für die Updates aufgewendet werden darf, ob ein ggf. notwendiger Reboot durchgeführt werden soll und vieles mehr. Auch können sogenannte Pre- und Post-Scripts angelegt werden, die dann jeweils vor und/oder nach den Updates ausgeführt werden, um zum Beispiel laufende Dienste vorab zu beenden oder noch offene Benutzersitzungen sauber zu beenden. Dabei können die Updates entweder direkt aus dem Internet oder auch aus konfigurierten Repositories oder eben auch einem WSUS-Server abgerufen werden. Und über Update-Management ist jederzeit ein Einblick in bereits installierte oder noch offene Updates möglich.

Azure Arc Maschinen, die an einen Log Analytics Workspace angebunden sind, der wiederum mit einem Automation Account verbunden ist, werden automatisch inventarisiert. Dabei wird die installierte Software sowie definierte Registry Keys, Dateien und Dienste erfasst. Dadurch kann einerseits analysiert werden, was auf einem bestimmten System installiert oder an Dateien vorhanden ist oder auch, auf welchen Systemen ein bestimmter Registry Key gesetzt ist.

Unter denselben Voraussetzungen wie für Inventory kann auch das Change Tracking genutzt werden. Hierbei werden Änderungen an Windows und Linux Diensten, installierter Software, Registry Keys und Dateien erfasst und aufgezeigt. Dabei kann man jeweils sehen, wann eine Änderung stattgefunden hat, wie der Zustand jeweils vor und nach der Änderung aussieht und wer die Änderung durchgeführt hat.

Durch die Anbindung einer Azure Arc Maschine an einen Log Analytics Workspace ist auch die Verwendung des Azure Security Center und damit auch die Nutzung von Security Empfehlungen und der „Threat Intelligence“ möglich. Hierbei werden Empfehlungen zur Verbesserung der Sicherheit eines Systems ausgesprochen und aktuelle sicherheitsrelevante Vorfälle und Alarmmeldungen angezeigt, wie zum Beispiel der unerlaubte Versuch, sich am System anzumelden.

Sie haben Fragen zu Azure Arc, hybriden Umgebungen oder planen die Umstellung von Workloads auf Azure? Gern unterstützen Sie unsere Experten bei der Konzeption, Umsetzung oder Verwaltung von Azure-Umgebungen.