Sehr viele Dienste und Ressourcen in Azure sind auf die Nutzung in hybriden Cloudstrukturen ausgelegt. Für den Administrator bedeutet dies, sich in zwei Welten, der Cloud und dem lokalen Rechenzentrum, zu bewegen. Ein hervorragendes Bindeglied ist das Windows Admin Center. Mit diesem steuern Sie Azure-Funktionen zentral, um zum Beispiel lokale Server in die Cloud zu replizieren oder die IT on-premises mithilfe des Azure Security Centers zu überwachen.
Das Einbinden von Azure in die lokale Infrastruktur ergibt durchaus Sinn. So sind etwa auch die Überwachung von IT-Umgebungen und Schritte für mehr Sicherheit ebenso möglich wie die Synchronisierung von Datenbanken aus lokalen Rechenzentren mit Azure. Unternehmen, die einen Cluster betreiben, können Azure zudem als Quorum-Zeugen nutzen und erhalten dadurch schneller und leichter eine Hochverfügbarkeit, auch bei verteilten Clustern.
Idealerweise verwalten Sie die Azure-Ressourcen für das lokale Rechenzentrum mit dem Windows Admin Center (WAC), das Microsoft als Ersatz für den betagten Servermanager und die MMC-Verwaltungskonsolen in Microsoft-Netzwerken positioniert hat. Nach der Registrierung des Admin Centers mit einem Azure-Abonnement steht der Menüpunkt "Azure-Hybriddienste" zur Verfügung. Hier können Sie über Assistenten die Funktionen von Azure im lokalen Rechenzentrum einbinden und diese mit dem Windows Admin Center verwalten:
- Azure Backup: Sicherung von lokalen Servern und Arbeitsstationen in einen sicheren Cloudspeicher.
Das Einbinden von Azure in die lokale Infrastruktur ergibt durchaus Sinn. So sind etwa auch die Überwachung von IT-Umgebungen und Schritte für mehr Sicherheit ebenso möglich wie die Synchronisierung von Datenbanken aus lokalen Rechenzentren mit Azure. Unternehmen, die einen Cluster betreiben, können Azure zudem als Quorum-Zeugen nutzen und erhalten dadurch schneller und leichter eine Hochverfügbarkeit, auch bei verteilten Clustern.
Idealerweise verwalten Sie die Azure-Ressourcen für das lokale Rechenzentrum mit dem Windows Admin Center (WAC), das Microsoft als Ersatz für den betagten Servermanager und die MMC-Verwaltungskonsolen in Microsoft-Netzwerken positioniert hat. Nach der Registrierung des Admin Centers mit einem Azure-Abonnement steht der Menüpunkt "Azure-Hybriddienste" zur Verfügung. Hier können Sie über Assistenten die Funktionen von Azure im lokalen Rechenzentrum einbinden und diese mit dem Windows Admin Center verwalten:
- Azure Backup: Sicherung von lokalen Servern und Arbeitsstationen in einen sicheren Cloudspeicher.
- Azure Site Recovery: Virtuelle Server in Hyper-V in die Cloud synchronisieren, für Hochverfügbarkeit und Wiederherstellung.
- Azure-Netzwerkadapter: Point-to-Site-VPNs mit Azure einrichten.
- Azure Monitor: Dient der Überwachung lokaler Server.
Die verschiedenen Dienste sind natürlich alle auch ohne WAC nutzbar. In diesem Fall nehmen Sie die Konfiguration entweder in der PowerShell oder im Webportal von Azure vor.
Cloud Witness mit Azure
In einem Failovercluster mit Windows Server 2019 ist es möglich, Azure als Zeuge einzubinden. Diese Funktion bezeichnet Microsoft als "Cloud Witness". Grundlage hierfür ist die Vorbereitung des passenden Azure-Storage-Accounts (Speicherkonto). In diesem wird das Blob-File gespeichert, das die Zeugendaten für den Cluster enthält. Auf dieses Konto greift der Cluster zu und bindet es in die Auswahl der Zeugen mit ein. Die Anbindung an Azure erfolgt im Failovercluster-Manager von Windows Server 2019.
Dazu legen Sie im Azure-Portal über den Assistenten zum Hinzufügen von neuen Ressourcen ein neues Speicherkonto an. Wählen Sie im Bereich "Replikation" die Option "Lokal redundanter Speicher (LRS)" aus. Wichtig zur Anbindung Ihrer Clusterknoten sind die Zugriffsschlüssel des Speicherkontos. Diese müssen Sie im Azure-Portal abrufen, damit Sie sie auf den Clusterknoten verwenden können. Die beiden Schlüssel finden Sie über den Menüpunkt "Zugriffsschlüssel" in der Verwaltung des Speicherkontos. Wenn Sie ein Speicherkonto erstellen, erzeugt Azure auch eine URL, über die das Speicherkonto von extern erreichbar ist. Diese hat das Format "https://<Storage Account Name>.<Storage Type>.<Endpoint>", zum Beispiel "https://cloudwitnessjoos.blob.core.windows.net".
Bild 1: Das Konfigurieren eines Clusters für die Anbindung von Azure als Zeugenserver erfolgt über einen Assistenten
Sobald Sie das Speicherkonto erstellt haben, können Sie das Quorum des Clusters anpassen. Das ist auch nach dem Erstellen des Clusters möglich. Am schnellsten geht dies, wenn Sie im Failovercluster-Manager im Kontextmenü des Clusters die Option "Weitere Aktionen / Clusterquorumeinstellungen konfigurieren" auswählen. Hier können Sie über einen Assistenten die Quorum-Konfiguration anpassen. Für die Anbindung an Microsoft Azure verwenden Sie "Erweiterte Quorumkonfiguration" und klicken auf "Weiter", bis Sie auf der Seite "Quorumzeuge auswählen" sind. Hier wählen Sie die Option "Cloudzeugen konfigurieren".
Im nächsten Fenster geben Sie den Namen des Speicherkontos ein, das als Cloudzeuge verwendet werden soll, sowie den Zugriffsschlüssel. Danach schließt der Assistent die Anbindung an Azure ab. Sie können diese Schritte auch mit der PowerShell durchführen. Dazu verwenden Sie den folgenden Befehl:
Lassen sich die Clusterknoten nicht direkt an das Internet anbinden, können Sie testweise einen Proxy verwenden. Um die erfolgreiche Anbindung im Microsoft Azure-Portal zu überprüfen, klicken Sie auf das Speicherkonto und dann auf "Blobs". Nun sehen Sie den neuen Container "msft-cloud-witness". Dabei handelt es sich um den Container für die Blob-Datei für den Cluster. Klicken Sie auf den Container, sehen Sie die Zeugendatei. Der Name der Datei ist die GUID des Clusters.
Im Failovercluster-Manager klicken Sie auf den Cluster und sehen dann in der Mitte des Fensters bei "Hauptressourcen des Clusters" den Cloudzeugen. Dieser muss als aktiv angezeigt werden. Per Doppelklick auf die Ressourcen rufen Sie deren Eigenschaften auf. Hier muss der "Status" die Option "Online" anzeigen. In der PowerShell können Sie die Konfiguration mit Get-Clusterquorum überprüfen. Der Befehl Get-Clusterquorum |fl zeigt dabei noch weitergehende Informationen an.
Admin Center an Azure anbinden
Unternehmen, die Ressourcen in Azure nutzen, um lokale Server zu sichern (Azure Backup), zu überwachen (Azure Monitor) oder deren Sicherheit zu verbessern (Azure Security Center), sollten das Windows Admin Center installieren und in Azure registrieren. Auch die Replikation von virtuellen Maschinen für eine bessere Hochverfügbarkeit sowie Azure-VMs und Hybriddienste lassen sich mit dem WAC verwalten.
Nach der Installation des Admin Centers im lokalen Netzwerk lassen sich zunächst nur lokale Server verwalten. Um das Windows Admin Center mit Azure zu verbinden, müssen Sie einmalig eine Registrierung vornehmen. Das WAC-Gateway ist der Verbindungspunkt zwischen lokalen Servern und Azure. Als Administrator verbinden Sie sich wiederum mit Ihrem Webbrowser mit dem Gateway, um die Server im Netzwerk und die Azure-Funktionen zu verwalten.
Zur Anbindung des Gateways rufen Sie im Admin Center über das Zahnradsymbol die Einstellungen auf. Über den Menüpunkt "Azure" starten Sie dann die Registrierung. Auf der rechten Seite zeigt das Admin Center anschließend einen Code an, den Sie für die Anmeldung an Azure benötigen. Klicken Sie im Assistenten des WAC auf den angezeigten Link und geben hier den Code ein, gefolgt von den Anmeldedaten für Azure. Nach der Verbindung müssen Sie in Azure dem Portal noch Rechte zuweisen. Im Azure-Portal schalten Sie anschließend noch die Berechtigungen für das Windows Admin Center frei. Die Einstellungen dazu finden Sie im Assistenten des Admin Centers. Über das WAC erstellen Sie danach im Azure-Abonnement eine neue Azure-Active-Directory-Anwendung für das Admin Center.
Nachdem Sie die Anbindung an Azure durchgeführt haben, können Sie im WAC in den Einstellungen über "Azure" mit "In Azure anzeigen" die Rechtestruktur für das Admin Center überprüfen. In den Rechteinstellungen klicken Sie danach noch im Azure-Portal auf "Administratorzustimmung erteilen". Das Portal zeigt die erfolgreich zugeteilten Rechte an. Sie können die Anbindung jederzeit über die Schaltfläche "Registrierung aufheben" wieder beenden. Die App können Sie im Azure-Portal ebenfalls löschen.
Über den Bereich "Azure" in den Einstellungen des Windows Admin Centers erfolgt lediglich die Anbindung des lokalen Gateways an Microsoft Azure. Die verschiedenen Funktionen, die Sie in Microsoft Azure nutzen und mit dem Admin Center verwalten, sehen Sie in den verschiedenen Menüpunkten des Admin Centers, wenn sie sich mit einem Server verbunden haben. Über "Azure-Hybriddienste" können Sie die verschiedenen Dienste in Azure aufrufen, die mit dem lokalen Rechenzentrum verbunden werden können.
Hier zeigt das Windows Admin Center die verschiedenen Dienste an, die im Rechenzentrum integriert werden können. Bei der Einrichtung unterstützt das Admin Center mit entsprechenden Assistenten. Sobald Sie Server im Netzwerk an Azure angebunden haben, sehen Sie hier auch die einzelnen Verbindungen. Außerdem ist über direkte Links die Steuerung der einzelnen Funktionen möglich. Möchten Sie weitere Server mit den Assistenten im Admin Center an Azure anbinden, können Sie mit "Azure-Dienste entdecken" die einzelnen Assistenten hierfür einblenden. Auf diesem Weg ist jederzeit auf Servern eine Anbindung an Azure Security Center, Azure Monitor, Azure Backup und Azure-Netzwerke möglich.
So besteht im Windows Admin Center über den Menüpunkt "Netzwerke" die Möglichkeit, eine Azure-Anbindung für lokale Netzwerke zu konfigurieren. Dadurch richten Sie auch VPNs ein, mit denen Sie Ihre lokalen Rechenzentren mit Microsoft Azure verbinden. Über den Punkt "Netzwerke" verwalten Sie im Admin Center zudem die virtuellen Switche der angebundenen Hyper-V-Hosts und -Cluster.
Bild 2: Erfolgreich zugeteilte Rechte für das Windows Admin Center in Azure.
Azure Site Recovery nutzen
Wenn Sie im Netzwerk mit Hyper-V virtualisieren, können Sie auch die zugehörigen VMs mit dem Windows Admin Center verwalten. Zusätzlich lässt sich hier eine Replikation einrichten, mit der Sie Hyper-V-VMs nach Azure replizieren. Diese Funktion steht mit "Azure Site Recovery" zur Verfügung. Über den Menüpunkt "Virtuelle Computer" lässt sich Azure Site Recovery ebenfalls einrichten. Die erste Konfiguration ist über die Schaltfläche "Einrichten" bei "Azure-Hybriddienste" möglich. Der Assistent zum Einrichten kann bei Bedarf die notwendigen Ressourcengruppen in Azure erstellen oder den Dienst an eine bereits vorhandene Gruppe anbinden. Auch den Speicherort für den notwendigen Recovery-Services-Tresor steuern Sie an dieser Stelle.
Für jeden Dienst zeigt das Admin Center einen Link zur Azure-Seite an, auf der Sie die Kosten planen können. Sobald Sie die Grundeinrichtung von Azure Site Recovery gestartet haben, lassen sich einzelne VMs in der Umgebung mit dem Dienst replizieren. Dazu zeigt das Admin Center bei "Virtuelle Computer" für die jeweiligen virtuellen Rechner den Menüpunkt "Mithilfe von Azure Site Recovery replizieren" bei "Verwalten" an.
Damit der Azure-Site-Recovery-Agent VMs von Hyper-V-Hosts nach Azure replizieren kann, müssen Sie die Server bei Azure registrieren. Dazu erfolgt die Installation des Azure-Site-Recovery-Agenten. Gesteuert wird der Vorgang über das Windows Admin Center. Sobald Sie die Hyper-V-Hosts registriert haben, lassen sich die VMs synchronisieren. Bei diesem Vorgang verbleiben die Quellserver natürlich im lokalen Rechenzentrum. Azure Site Recovery repliziert die Server vielmehr.
Bild 3: Dienste in Azure binden Sie über das WAC im lokalen Rechenzentrum ein.
Server mit Azure Backup sichern
Mit Azure Backup können Unternehmen Daten von physischen und virtuellen Servern in Azure sichern. Auch hier bietet sich die Einrichtung über das Windows Admin Center an. Über den Menüpunkt "Azure Backup" überprüfen Sie zunächst die Anmeldung an Azure oder nehmen diese vor. Danach legen Sie fest, welche Ressourcengruppe Sie verwenden möchten, an welchem Standort das Speichern der Sicherungsdaten stattfinden soll und welches Azure-Abonnement zum Einsatz kommt, falls mehrere verfügbar sind.
In den nächsten Schritten geben Sie an, welche Daten auf einem Server zu sichern sind und zu welchen Zeiträumen die Sicherung stattfindet. Auch die Aufbewahrungsfristen legen Sie hier fest. Anschließend richten Sie über das Admin Center den Azure-Backup-Agenten auf dem Server ein und definieren die Sicherungsrichtlinie. Danach steht Azure Backup auf dem Server zur Verfügung. Über das Admin Center sehen Sie dann bei "Azure Backup" die Informationen zu den Sicherungen. Hier zeigt das WAC zum Beispiel auch die nächste geplante Sicherung an sowie die verschiedenen Aufträge. Sind Sicherungen erfolgt, lassen sich über "Wiederherstellungspunkte" auch Wiederherstellungen durchführen. Bei "Übersicht" starten Sie mit "Jetzt sichern" eine Datensicherung. Die Sicherungen können an dieser Stelle auch beendet und Daten können gelöscht werden.
Die bereits durchgeführten Aktionen für Azure Backup auf dem Server sehen Sie unter dem Punkt "Aufträge". Klicken Sie einen Auftrag an, erhalten Sie weitere Informationen zu diesem. Wie bei den meisten Aufgaben, die Sie mit dem Admin Center durchführen, müssen Sie das Fenster nicht geöffnet haben, wenn ein neuer Auftrag gestartet wird. Sie können es jederzeit schließen und wieder öffnen. Natürlich ist die Verwaltung von Azure Backup auch weiterhin über das Azure-Portal möglich.
Bild 4: Auch das Azure-Backup lässt sich über das WAC steuern und überwachen.
Server mit Azure Monitor überwachen
"Azure Monitor" erlaubt es, lokale Server im Rechenzentrum über Azure zu überwachen. Auch ist die Koniguration komplett über das Windows Admin Center möglich. Azure Monitor ist auch gut dazu geeignet, Cluster zu überwachen. Das Überwachungstool vermag es ferner in hyperkonvergenten Netzwerken, den Zustand der Cluster zu monitoren und die Überwachungsdaten in einem Log-Analytics-Bereich von Azure zur späteren Analyse zu speichern.
Im Windows Admin Center steuern Sie alle notwendigen Optionen zur Anbindung der Server an Azure Monitor. Das beinhaltet auch die notwendige Ressourcengruppe und das Onboarding des Clusters. Dabei nutzt das Admin Center die Verbindungsdaten, die Sie bei der Anbindung an Azure hinterlegt haben. Bei der Anbindung von Clustern an Azure Monitor wird der Microsoft-Monitoring-Agent auf den Clusterknoten installiert, die Sie überwachen wollen. Das Admin Center übernimmt die Bereitstellung des Azure-Log-Analytics-Arbeitsbereichs und die Installation des Agenten auf den Clusterknoten. Die Knoten werden von Azure Monitor getrennt, wenn Sie den Agent auf den Servern im Rechenzentrum deinstallieren. Natürlich stehen die Azure-Monitor-Funktionen auch im Azure-Webportal und der Azure-Cloud-Shell zur Verfügung.
Azure Security Center lokal verwenden
Mit dem "Azure Security Center" (ASC) überwachen Sie Ressourcen in Azure, aber auch Serverdienste in lokalen Rechenzentren auf deren Sicherheitseinstellungen hin. Vor allem beim Einsatz von hybriden
Cloudinfrastrukturen kann das Azure Security Center die zentrale Instanz darstellen, die alle beteiligten Server überwacht. Das ASC lässt sich, wie Azure Monitor und Azure Backup, komplett über das WAC einrichten und verwalten. Dadurch wird das Windows Admin Center zu einem zentralen Steuerwerkzeug, das dabei hilft, die Ressourcen im Netzwerk zu überwachen.
Das Azure Security Center überprüft, ob VMs zum Beispiel mit IP-Adressen kommunizieren, die als potenziell gefährlich gelten. Auch Malware-Attacken kann das System generell erkennen. Im Windows Admin Center stehen dabei Links zur Verfügung, mit denen Sie direkt zum Azure Security Center wechseln. So erhalten Sie etwa Zugriff auf Protokolle im hinterlegten Log-Analytics-Bereich. Nach der Anbindung eines Servers an das Azure Security Center zeigt das Admin Center mögliche Sicherheitsrisiken an und gibt Hinweise, wie Sie die Probleme lösen.
Listing: Azure-Freigabe einbinden
$connectTestResult = Test-NetConnection -ComputerName smbfreigaben.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
# Speichern Sie das Kennwort, damit das Laufwerk bei einem Neustart erhalten bleibt.
cmd.exe /C "cmdkey /add:`"smbfreigaben.file.core.windows.net`" /user:`"Azure\smbfreigaben`" /pass:`"Ks8u7q9+wARYHBaD4ZsB5ZkOZzSHs5I/cr678KDzra/wUUbaAr/RiGFYYvXkYn+q/4lgzZKotse2WeEegvl1vw==`""
# Laufwerk einbinden
New-PSDrive -Name V -PSProvider FileSystem -Root "\\smbfreigaben.file.core.windows.net\joossmb" -Persist
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Updateverwaltung und Dateifreigaben
Sie können das Update-Management in Azure Automation verwenden, um Betriebssystemupdates für virtuelle Windows- und Linux-Maschinen in Azure, in lokalen Umgebungen und in anderen Clouds zu verwalten. Dabei lässt sich der Status der verfügbaren Updates auf allen Servern überwachen und der Prozess der Installation von erforderlichen Updates für Server verwalten. Über den Menüpunkt "Updates" steuern Sie die Installation der Windows-Updates auf einem Server, den Sie im Admin Center ausgewählt haben. Hier besteht die Möglichkeit der Anbindung an die Azure Automation Updateverwaltung.
Mit Azure Files richten Sie derweil SMB-Freigaben in Azure ein, die sich auch in lokalen Rechenzentren als Freigaben nutzen lassen. Diese Funktion hat Microsoft noch nicht im Windows Admin Center integriert. Für die Freigabe benötigen Sie keinen Server, die Daten liegen vielmehr in einem sicheren Speicherkonto in Azure. Die Authentifizierung an den Freigaben kann über das Active Directory und natürlich über das Azure AD erfolgen. Im Azure-Dashboard können Sie jederzeit in das Speicherkonto wechseln. Über die Kachel "Dateifreigaben" unten im Portal erstellen Sie serverlose Dateifreigaben für dieses Speicherkonto. Durch einen Klick auf die Kachel zeigt das Azure-Portal die Oberfläche zum Erstellen und Anpassen von Dateifreigaben an. Über den Punkt "+ Dateifreigabe" legen Sie dann eine neue Freigabe an.
Hierbei steht zunächst die Möglichkeit zur Verfügung, den Namen und das Kontingent festzulegen. Mit "Auf Maximum festlegen" verwenden Sie für die Dateifreigabe die maximale Quota, die auf Basis der bisherigen Einstellungen des Speicherkontos möglich ist. Die Freigabe steht nach dem Einbinden als herkömmliches Netzlaufwerk zur Verfügung. Um eine Freigabe zum Beispiel in Windows einzubinden, können Sie sich am Beispielskript im Listing-Kasten orientieren.
Bild 5: Im Azure Security Center sichern Admins ihre Cloudumgebung ab, auch über das WAC.
Fazit
In Azure stehen zahlreiche Dienste zur Verfügung, die auch im lokalen Rechenzentrum einen echten Mehrwert bringen. Mit Azure Backup sichern Sie lokale Server komplett in der Microsoft-Cloud. Das Azure Security Center sorgt für die Sicherheit und mit dem Azure Monitor behalten Sie die Leistung von Servern im Auge. Auch die Anbindung per VPN an Azure lässst sich steuern. Das WAC ist ein ideales Werkzeug für die Anbindung der lokalen Ressourcen an die Cloud, da die Registrierung in Azure nur einmal erfolgen muss. Danach können Sie mit entsprechenden Rechten die einzelnen Funktionen mit Assistenten im Admin Center einrichten.