تقييم الخوادم التي تدعم Azure Arc على جهاز Azure الظاهري

تنبيه

تشير هذه المقالة إلى CentOS، وهو توزيع Linux هو حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

تم تصميم خوادم Azure Arc الممكنة لمساعدتك على توصيل الخوادم التي تعمل محليا أو في السحب الأخرى ب Azure. عادة، لن تقوم بتوصيل جهاز Azure الظاهري ب Azure Arc لأن جميع الإمكانات نفسها متاحة أصلا لهذه الأجهزة الظاهرية. تحتوي أجهزة Azure الظاهرية بالفعل على تمثيل في Azure Resource Manager وملحقات الجهاز الظاهري والهويات المدارة ونهج Azure. إذا حاولت تثبيت خوادم Azure Arc الممكنة على جهاز Azure الظاهري، فستتلقى رسالة خطأ تفيد بأنه غير مدعوم.

بينما لا يمكنك تثبيت خوادم Azure Arc الممكنة على جهاز Azure الظاهري لسيناريوهات الإنتاج، فمن الممكن تكوين الخوادم الممكنة ل Azure Arc للتشغيل على جهاز Azure الظاهري لأغراض التقييم والاختبار فقط. ترشدك هذه المقالة إلى كيفية إعداد جهاز Azure ظاهري ليبدو كخادم محلي لأغراض الاختبار.

إشعار

الخطوات الواردة في هذه المقالة مخصصة للأجهزة الظاهرية المستضافة في سحابة Azure. الخوادم التي تدعم Azure Arc غير مدعومة على الأجهزة الظاهرية التي تعمل على Azure Stack Hub أو Azure Stack Edge.

المتطلبات الأساسية

• تم تعيين حسابك إلى دور مساهم الجهاز الظاهري.
• يقوم الجهاز الظاهري Azure بتشغيل نظام تشغيل مدعوم من قبل خوادم Azure Arc الممكنة. إذا لم يكن لديك جهاز Azure ظاهري، يمكنك نشر جهاز ظاهري بسيط يعمل بنظام Windows أو جهاز ظاهري بسيط Ubuntu Linux 18.04 LTS.
• يمكن لجهاز Azure الظاهري الاتصال الصادر لتنزيل حزمة عامل Azure Connected Machine لنظام التشغيل Windows من مركز التنزيل ل Microsoft، وLinux من مستودع حزمة Microsoft. إذا كان الاتصال الصادر بالإنترنت مقيدا باتباع نهج أمان تكنولوجيا المعلومات، يمكنك تنزيل حزمة العامل يدويا ونسخها إلى مجلد على جهاز Azure الظاهري.
• حساب ذو امتيازات مرتفعة (أي مسؤول أو جذر) على الجهاز الظاهري، ووصول RDP أو SSH إلى الجهاز الظاهري.
• لتسجيل Azure VM وإدارته باستخدام خوادم Azure Arc الممكنة، أنت عضو في دور مسؤول موارد الجهاز المتصل Azure أو المساهم في مجموعة الموارد.

الخطة

لبدء إدارة جهاز Azure الظاهري الخاص بك كخادم يدعم Azure Arc، تحتاج إلى إجراء التغييرات التالية على جهاز Azure الظاهري قبل أن تتمكن من تثبيت وتكوين الخوادم التي تدعم Azure Arc.

1. قم بإزالة أي ملحقات VM تم نشرها على Azure VM، مثل عامل Log Analytics. بينما تدعم الخوادم التي تدعم Azure Arc العديد من الملحقات نفسها مثل أجهزة Azure الظاهرية، لا يمكن لعامل Azure Connected Machine إدارة ملحقات الجهاز الظاهري التي تم نشرها بالفعل على الجهاز الظاهري.

2. تعطيل عامل ضيف Azure Windows أو Linux. يخدم عامل ضيف Azure VM غرضا مشابها لعامل Azure Connected Machine. لتجنب التعارضات بين الاثنين، يجب تعطيل عامل Azure VM. بمجرد تعطيله، لا يمكنك استخدام ملحقات الجهاز الظاهري أو بعض خدمات Azure.

3. إنشاء قاعدة أمان لرفض الوصول إلى خدمة بيانات تعريف مثيل Azure (IMDS). IMDS هي واجهة برمجة تطبيقات REST التي يمكن للتطبيقات الاتصال بها للحصول على معلومات حول تمثيل الجهاز الظاهري في Azure، بما في ذلك معرف المورد والموقع الخاص به. يوفر IMDS أيضا الوصول إلى أي هويات مدارة تم تعيينها إلى الجهاز. توفر الخوادم التي تدعم Azure Arc تنفيذ IMDS الخاص بها وتعيد معلومات حول تمثيل Azure Arc للجهاز الظاهري. لتجنب المواقف التي تتوفر فيها نقطتا نهاية IMDS ويتعين على التطبيقات الاختيار بين الاثنين، يمكنك حظر الوصول إلى AZURE VM IMDS بحيث يكون تطبيق IMDS للخادم الذي يدعم Azure Arc هو الوحيد المتاح.

بعد إجراء هذه التغييرات، يتصرف جهاز Azure الظاهري مثل أي جهاز أو خادم خارج Azure وهو في نقطة البداية الضرورية لتثبيت الخوادم الممكنة على Azure Arc وتقييمها.

عند تكوين خوادم Azure Arc الممكنة على الجهاز الظاهري، سترى تمثيلين له في Azure. أحدهما هو مورد Azure VM، مع Microsoft.Compute/virtualMachines نوع مورد، والآخر هو مورد Azure Arc، مع Microsoft.HybridCompute/machines نوع مورد. نتيجة لمنع إدارة نظام التشغيل الضيف من خادم المضيف الفعلي المشترك، فإن أفضل طريقة للتفكير في الموردين هي مورد Azure VM هو الجهاز الظاهري للجهاز الظاهري الخاص بك، ودعونا نتحكم في حالة الطاقة ونعرض معلومات حول تكوينات SKU والشبكة والتخزين الخاصة به. يدير مورد Azure Arc نظام التشغيل الضيف في هذا الجهاز الظاهري، ويمكن استخدامه لتثبيت الملحقات وعرض بيانات التوافق لنهج Azure وإكمال أي مهمة أخرى مدعومة بواسطة خوادم Azure Arc الممكنة.

إعادة تكوين Azure VM

إشعار

بالنسبة للنوافذ، قم بتعيين متغير البيئة لتجاوز ARC على تثبيت Azure VM.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

1. أزل أي ملحقات جهاز ظاهري على جهاز Azure الظاهري.

   في مدخل Microsoft Azure، انتقل إلى مورد جهاز Azure الظاهري ومن الجزء الأيسر، حدد Extensions. إذا كان هناك أي ملحقات مثبتة على الجهاز الظاهري، حدد كل ملحق على حدى ثم حدد Uninstall. انتظر حتى تنتهي جميع الملحقات من إلغاء التثبيت قبل المتابعة إلى الخطوة 2.

2. عطّل عامل ضيف جهاز Azure الظاهري.

   لتعطيل عامل Azure VM Guest، اتصل بجهازك الظاهري باستخدام اتصال سطح المكتب البعيد (Windows) أو SSH (Linux) وقم بتشغيل الأوامر التالية لتعطيل عامل الضيف.

   بالنسبة إلى Windows، قم بتشغيل أوامر PowerShell التالية:

   Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
   Stop-Service WindowsAzureGuestAgent -Force -Verbose
   

   بالنسبة إلى Linux، قم بتشغيل الأوامر التالية:

   sudo systemctl stop walinuxagent
   sudo systemctl disable walinuxagent
   

3. احظر الوصول إلى نقطة نهاية Azure IMDS.

   إشعار

   يجب تطبيق التكوينات أدناه على 169.254.169.254 و169.254.169.253. هذه هي نقاط النهاية المستخدمة ل IMDS في Azure وAzure Stack HCI على التوالي.

   أثناء الاتصال بالخادم، قم بتشغيل الأوامر التالية لمنع الوصول إلى نقطة نهاية Azure IMDS. بالنسبة إلى Windows، قم بتشغيل أمر PowerShell التالي:

   New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
   

   بالنسبة إلى Linux، راجع وثائق التوزيع للحصول على أفضل طريقة لمنع الوصول الصادر إلى 169.254.169.254/32 عبر منفذ TCP 80. عادة ما تقوم بحظر الوصول الصادر باستخدام جدار الحماية المضمن، ولكن يمكنك أيضا حظره مؤقتا باستخدام iptables أو nftables.

   إذا كان جهاز Azure الظاهري الخاص بك يقوم بتشغيل Ubuntu، فقم بتنفيذ الخطوات التالية لتكوين جدار الحماية غير المحوسب (UFW):

   sudo ufw --force enable
   sudo ufw deny out from any to 169.254.169.254
   sudo ufw default allow incoming
   

   إذا كان جهاز Azure الظاهري يقوم بتشغيل CentOS أو Red Hat أو SUSE Linux Enterprise Server (SLES)، فقم بتنفيذ الخطوات التالية لتكوين جدار الحماية:

   sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
   sudo firewall-cmd --reload
   

   بالنسبة إلى التوزيعات الأخرى، راجع مستندات جدار الحماية أو قم بتكوين قاعدة iptables عامة باستخدام الأمر التالي:

   sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT
   

   إشعار

   يجب تعيين تكوين iptables بعد كل إعادة تمهيد ما لم يتم استخدام حل iptables مستمر.

4. تثبيت وتكوين عامل Azure Connected Machine.

   الجهاز الظاهري جاهز الآن لبدء تقييم الخوادم التي تدعم Azure Arc. لتثبيت وتكوين عامل Azure Connected Machine، راجع توصيل الأجهزة المختلطة باستخدام مدخل Microsoft Azure واتبع الخطوات لإنشاء برنامج نصي للتثبيت والتثبيت باستخدام الأسلوب النصي.

   إشعار

   إذا كان الاتصال الصادر بالإنترنت مقيدا من جهاز Azure الظاهري، يمكنك تنزيل حزمة العامل يدويا. انسخ حزمة العامل إلى Azure VM، وقم بتعديل البرنامج النصي لتثبيت الخوادم التي تدعم Azure Arc للإشارة إلى المجلد المصدر.

إذا فاتتك إحدى الخطوات، يكتشف البرنامج النصي للتثبيت أنه يعمل على جهاز Azure الظاهري وينتهي بخطأ. تحقق من إكمال الخطوات من 1 إلى 3، ثم أعد تشغيل البرنامج النصي.

تحقق من الاتصال بـ Azure Arc

بعد تثبيت العامل وتكوينه للتسجيل مع خوادم Azure Arc الممكنة، انتقل إلى مدخل Microsoft Azure للتحقق من اتصال الخادم بنجاح. عرض جهازك في مدخل Microsoft Azure.

الخطوات التالية

• تعرف على كيفية تخطيط وتمكين عدد كبير من الأجهزة للخوادم التي تدعم Azure Arc لتبسيط تكوين قدرات إدارة الأمان والمراقبة الأساسية في Azure.

• تعرف على ملحقات Azure VM المدعومة المتوفرة لتبسيط النشر مع خدمات Azure الأخرى مثل Automation وKeyVault وغيرها لجهاز Windows أو Linux.

• عند الانتهاء من الاختبار، قم بإلغاء تثبيت عامل Azure Connected Machine.