Hybryda: Azure Arc i łączenie środowisk
Mało kto jest dziś "tylko w chmurze" albo "tylko on-prem". Rzeczywistość to hybryda — maszyny w centrum danych, zasoby w Azure, AWS i GCP, połączone w jeden organizm. Azure Arc to narzędzie Microsoftu do zarządzania tym wszystkim z jednej płaszczyzny — i ważny element ekosystemu, w którym działa ZEUS.
Czym jest Azure Arc
Azure Arc rozszerza płaszczyznę zarządzania Azure (ARM) na zasoby poza Azure: serwery on-prem, VM w innych chmurach, klastry Kubernetes, a nawet bazy danych. Po zainstalowaniu agenta maszyna staje się zasobem Arc-enabled i pojawia się w portalu Azure jak natywny zasób.
# Połączenie serwera on-prem do Azure Arc (po instalacji agenta)
azcmagent connect \
--resource-group rg-arc \
--tenant-id <tenant-id> \
--subscription-id <sub-id> \
--location westeurope
Co daje Arc
| Możliwość | Korzyść |
|---|---|
| Inwentarz w ARM | maszyny on-prem widoczne jak zasoby Azure |
| Azure Policy | wymuszanie polityk na hostach poza Azure |
| Defender for Cloud | ochrona i posture serwerów on-prem |
| Update Management | centralne zarządzanie poprawkami |
| GitOps dla k8s | spójne wdrożenia na klastrach hybrydowych |
Wskazówka: Arc-enabled servers z włączonym Defender for Servers dają ten sam poziom telemetrii bezpieczeństwa dla maszyn on-prem co dla VM w Azure. To realny most między światem on-prem a chmurowym posture.
Wzorce hybrydowe
- Tożsamość hybrydowa — Entra ID Connect synchronizuje AD on-prem z Entra ID, dając SSO i jeden katalog (patrz lekcja 01 o AD).
- Sieć hybrydowa — VPN site-to-site lub ExpressRoute łączą sieci (lekcja 04).
- Zarządzanie hybrydowe — Azure Arc daje jedną płaszczyznę dla zasobów z różnych miejsc.
Granice Arc
Arc to most do ekosystemu Microsoftu. Nie obejmuje natywnie głębokiej inwentaryzacji VMware vCenter, surowego LDAP/ADFS czy specyficznej telemetrii WinRM tak, jak robi to dedykowany konektor. Dlatego pełny obraz on-prem wymaga narzędzia, które łączy oba światy.
Jak to widzi ZEUS
ZEUS odczytuje zasoby Arc-enabled przez ten sam konektor Azure (ARM, Resource Graph, Defender — patrz ścieżka Azure, lekcja 07) co natywne zasoby chmurowe — więc maszyny on-prem podłączone do Arc są widoczne automatycznie. Jednocześnie konektor ZEUS on-prem sięga głębiej tam, gdzie Arc nie dociera: bezpośrednio do AD/ADFS, LDAP, vCenter i WinRM przez reverse-SSH tunnel. Te dwa podejścia uzupełniają się, dając jeden spójny widok całego środowiska hybrydowego — niezależnie od tego, gdzie fizycznie stoi maszyna.
W ostatniej lekcji tej ścieżki zobaczymy pełną mechanikę konektora ZEUS on-premise.