快速回答:Azure Arc 將 Azure 的管理能力延伸到任何環境(地端、其他公雲、邊緣),讓企業用統一的 Azure Portal 管理所有伺服器、Kubernetes 叢集和資料服務。核心功能:統一監控與合規、Azure Policy 跨環境套用、Microsoft Defender 保護非 Azure 資源。Azure Arc 本身免費,依使用的管理功能計費。
前言:為什麼需要混合雲統一管理?
典型的台灣中大型企業 IT 環境往往是:部分工作負載在地端機房(Windows Server、VMware vSphere、SQL Server),部分已遷移至 Azure 或 AWS,加上少量 SaaS 服務。結果 IT 人員需要在多個管理介面之間切換,政策難以統一,可視性破碎。
Azure Arc 是 Microsoft 的答案:「把 Azure 的管理面板延伸到任何地方」。無論資源在地端、AWS 還是 GCP,都能用 Azure Portal 統一管理、套用 Policy、部署更新、收集監控資料。
一、Azure Arc 支援資源類型
| 資源類型 | Arc 功能 | 典型使用場景 |
|---|---|---|
| Arc-enabled Servers | 代理安裝後統一管理 Win/Linux | 地端或他雲 VM 納管 |
| Arc-enabled Kubernetes | 跨叢集 GitOps 配置管理 | 多 K8s 叢集統一策略 |
| Arc-enabled SQL Server | Azure 授權追蹤、資安功能 | 地端 SQL Server 納管 |
| Arc-enabled VMware vSphere | vCenter 納管、VM 自助服務 | 現有 VMware 環境延伸 |
| Arc-enabled Azure Stack HCI | 超融合一體機雲端延伸 | 邊緣/分支機構場景 |
| Arc-enabled Azure Kubernetes Service | HCI 上跑 AKS | 地端容器化平台 |
二、核心功能詳解
1. Azure Policy 跨環境合規
傳統 Azure Policy 只能管理 Azure 資源。透過 Arc,可將相同 Policy 套用到地端 Windows/Linux Server:
- 確認所有伺服器已安裝防毒、已啟用稽核記錄
- 確認 Linux 伺服器已安裝特定套件版本
- 合規報告統一呈現,包含地端資源
2. Microsoft Defender for Cloud(MDC)整合
Arc-enabled Servers 可自動啟用 Defender for Cloud,獲得:
- 安全態勢評分(Secure Score)含地端資源
- 漏洞評估(Qualys 整合)
- Just-in-Time VM Access 延伸至地端
- 威脅偵測(Defender for Servers Plan 2)
3. Azure Monitor + Log Analytics 統一監控
- Azure Monitor Agent 部署至地端 VM
- Log Analytics Workspace 收集系統、應用、安全事件
- 統一儀表板(Azure Workbooks)呈現混合環境健康狀態
- 與 Microsoft Sentinel 整合(SIEM)
4. GitOps for Kubernetes
Arc-enabled Kubernetes 叢集可透過 GitOps(Flux)管理配置:
- Git Repository 為唯一事實來源
- 自動將 Git 變更同步至所有叢集(含地端 K8s)
- 支援 Helm Chart 部署
- 配置偏移自動偵測與修復
三、VMware vSphere 深度整合
對於已有大量 VMware 投資的企業,Arc for VMware vSphere 特別重要(尤其在 Broadcom 收購後授權費用上升、企業重新評估 VMware 路線的背景下):
- vCenter 連接 Arc 後,所有 VM 可在 Azure Portal 管理
- 提供自助服務入口(開機/關機/建立 VM)
- Guest Management:安裝 Arc Agent 後取得完整管理能力
- 可逐步遷移至 Azure VMware Solution(AVS)
四、定價模式
| 功能 | 費用 |
|---|---|
| Arc 代理安裝(基本管理) | 免費 |
| Azure Policy Guest Configuration | 免費 |
| Defender for Servers Plan 1 | ~$5/server/月 |
| Defender for Servers Plan 2 | ~$15/server/月 |
| Azure Monitor Log Analytics | 依資料量計費(約 $2.76/GB) |
| Arc for VMware vSphere(基本) | 免費 |
五、企業導入建議
適合的起點
- 選 10–20 台關鍵地端伺服器安裝 Arc Agent(15 分鐘完成)
- 啟用 Defender for Cloud,取得第一份安全態勢評分
- 建立第一個 Azure Policy:確認所有 Arc Server 已安裝 Log Analytics Agent
- 評估 4–6 週後,根據可見度價值決定是否擴大部署
與 SCCM/MECM 的關係
Azure Arc 不是要取代 SCCM,而是補充:
- SCCM 繼續管理 Windows 更新、軟體部署、OS 映像
- Arc 提供雲端可視性、資安整合、合規報告
- 長期可評估遷移至 Intune co-management 架構
重點摘要
- Azure Arc 讓你用 Azure Portal 統一管理地端+多雲資源
- Arc Agent 免費安裝,依使用的管理功能(Defender/Policy)計費
- 適合已用 Azure 且有地端或多雲資源需要統一管理的企業
- 核心價值:統一合規、統一監控、統一安全
有任何問題,歡迎與我們討論。
預約混合雲架構評估 →