Postup registrace agenta Azure Storage Mover
Služba Azure Storage Mover využívá agenty, kteří provádějí úlohy migrace, které konfigurujete ve službě. Agent je zařízení založené na virtuálních počítačích, které běží na hostiteli virtualizace v blízkosti zdrojového úložiště.
Abyste vytvořili vztah důvěryhodnosti s prostředkem Storage Mover, musíte zaregistrovat agenta. Tento vztah důvěryhodnosti umožňuje vašemu agentovi bezpečně přijímat úlohy migrace a hlásit průběh. K registraci agenta může dojít prostřednictvím veřejného nebo privátního koncového bodu vašeho prostředku služby Storage Mover. Privátní koncový bod, označovaný také jako privátní propojení s prostředkem, je možné nasadit ve virtuální síti Azure.
K virtuální síti Azure se můžete připojit z jiných sítí, jako je místní podniková síť. Tento typ připojení se provádí prostřednictvím připojení VPN, jako je Azure Express Route. Další informace o tomto přístupu najdete v dokumentaci k Azure ExpressRoute a Azure Private Linku .
Důležité
V současné době je možné nástroj Storage Mover nakonfigurovat tak, aby směroval data migrace z agenta do cílového účtu úložiště přes Private Link. Hybridní výpočetní prezenčních signálů a certifikátů je také možné směrovat do privátního koncového bodu služby Azure Arc ve vaší virtuální síti. Některé přenosy moveru úložiště se nedají směrovat přes Private Link a směrují se přes veřejný koncový bod prostředku moveru úložiště. Tato data zahrnují řídicí zprávy, průběh telemetrie a protokoly kopírování.
V tomto článku se dozvíte, jak úspěšně zaregistrovat dříve nasazený virtuální počítač agenta Storage Mover.
Požadavky
Před registrací agenta Azure Storage Mover je potřeba splnit dva požadavky:
Musíte mít nasazený prostředek Azure Storage Mover.
Podle pokynů v článku Vytvoření prostředku přesunu úložiště nasaďte tento prostředek v předplatném a oblasti Azure podle vašeho výběru.Musíte nasadit virtuální počítač agenta Azure Storage Mover.
Podle kroků v článku nasazení agenta Azure Storage Mover vytvořte virtuální počítač agenta a připojte ho k internetu.
Přehled registrace
Proces registrace agenta vytvoří vztah důvěryhodnosti mezi agentem a cloudovým prostředkem služby Storage Mover. Vztah důvěryhodnosti umožňuje vzdáleně spravovat agenta a přiřazovat úlohy migrace, které se mají provést.
Registrace se vždy zahájí od agenta. V zájmu zabezpečení může vztah důvěryhodnosti navázat pouze agent, a to kontaktováním služby Storage Mover. Postup registrace využívá vaše přihlašovací údaje a oprávnění Azure k prostředku přesunu úložiště, který jste nasadili dříve. Pokud ještě nemáte nasazený cloudový prostředek přesunu úložiště nebo virtuální počítač agenta, projděte si část s požadavky.
Krok 1: Připojení k virtuálnímu počítači agenta
Virtuální počítač agenta je zařízení. Nabízí prostředí pro správu, které omezuje operace, které můžete na tomto počítači provádět. Když se připojíte k agentu, prostředí se načte a poskytne vám možnosti, které vám umožní pracovat s ním přímo. Virtuální počítač agenta je ale zařízení s Linuxem a funkce kopírování a vkládání často nefunguje v rámci výchozího okna hostitele.
Místo použití okna hostitele zvažte použití připojení SSH. Tento přístup nabízí následující výhody:
- K prostředí virtuálního počítače agenta se můžete připojit z libovolného počítače pro správu a nemusíte se k hostiteli připojovat.
- Kopírování a vkládání je plně podporováno.
Z počítače ve stejné podsíti jako agent spusťte příkaz ssh:
ssh <AgentIpAddress> -l admin
Důležité
Nově nasazený agent služby Storage Mover má výchozí heslo: Místní uživatel:
výchozí heslo správce
: správce
Zobrazí se výzva a doporučujeme okamžitě po připojení k nově nasazenému agentovi změnit výchozí heslo. Poznamenejte si nové heslo a není možné ho obnovit. Ztráta hesla vás zamkne z prostředí pro správu. Správa cloudu nevyžaduje toto heslo místního správce. Pokud byl agent dříve zaregistrovaný, můžete ho přesto použít pro úlohy migrace. Agenti jsou na jedno použití. Mají malou hodnotu nad rámec aktuální úlohy migrace, kterou provádí. Vždy můžete nasadit nového agenta a použít ho místo toho ke spuštění další úlohy migrace.
Krok 2: Testování připojení k síti
Váš agent musí být připojený k internetu.
Při přihlášení do prostředí pro správu můžete otestovat stav připojení agentů:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Vyberte položku nabídky 2) Konfigurace sítě.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Vyberte položku nabídky 3) Otestujte připojení k síti.
Důležité
Pokud test připojení k síti nevrátí žádné problémy, pokračujte krokem registrace.
Krok 3: Registrace agenta
V tomto kroku zaregistrujete agenta s prostředkem pro přesun úložiště, který jste nasadili v předplatném Azure. Připojení do prostředí pro správu vašeho agenta a pak vyberte položku nabídky 4) Zaregistrujte:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Zobrazí se výzva k zadání:
ID předplatného
Název skupiny prostředků
Název prostředku moveru úložiště
Název agenta: Tento název se zobrazí pro agenta na webu Azure Portal. Vyberte název, který jasně identifikuje tento virtuální počítač agenta za vás. Pokud chcete zvolit podporovaný název, přečtěte si zásady vytváření názvů prostředků.
Obor služby Private Link: Zadejte plně kvalifikované ID prostředku oboru privátního propojení, pokud využíváte privátní sítě. Další informace o službě Azure Private Link najdete v článku dokumentace k Azure Private Linku.
Důležité
Pokud jste nakonfigurovali nástroj Storage Mover pro migraci dat přes Private Link, musíte zadat plně kvalifikované ID prostředku oboru služby Private Link. Například
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Po zadání těchto hodnot se agent pokusí o registraci. Během procesu registrace se musíte přihlásit k Azure pomocí přihlašovacích údajů, které mají oprávnění k vašemu předplatnému a prostředku moveru úložiště.
Důležité
Přihlašovací údaje Azure, které používáte k registraci, musí mít oprávnění vlastníka k zadané skupině prostředků a prostředku moveru úložiště.
Pro ověření agent využívá tok ověřování zařízení s ID Microsoft Entra.
Agent zobrazí adresu URL ověřování zařízení: https://microsoft.com/devicelogin a jedinečný přihlašovací kód. Přejděte na zobrazenou adresu URL na počítači připojeném k internetu, zadejte kód a přihlaste se k Azure pomocí svých přihlašovacích údajů.
Agent zobrazí podrobný průběh. Po dokončení registrace uvidíte agenta na webu Azure Portal. Nachází se v části Zaregistrovaní agenti v prostředku moveru úložiště, u něhož jste agenta zaregistrovali.
Ověřování a autorizace
K bezproblémovému ověřování pomocí Azure a autorizaci k různým prostředkům Azure se agent zaregistruje pomocí následujících služeb Azure:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Služba Azure Storage Mover
Registrace do služby Azure Storage mover je viditelná a spravovatelná prostřednictvím prostředku moveru úložiště, který jste nasadili ve svém předplatném Azure. Registrovaný agent je prostředek Azure Resource Manageru (ARM). Tento prostředek můžete vytvořit pouze prostřednictvím procesu registrace. Podrobnosti o prostředku můžete dotazovat z libovolného klienta Azure Resource Manageru. Klienti zahrnují Azure Portal, Modul Az PowerShell a Rozhraní příkazového řádku modulu Az PowerShell.
Na tento prostředek Azure Resource Manageru (ARM) můžete odkazovat, když chcete přiřadit úlohy migrace konkrétnímu virtuálnímu počítači agenta, který symbolizuje.
Služba Azure Arc
Agent je také zaregistrovaný ve službě Azure Arc. Arc slouží k přiřazení a údržbě spravované identity Microsoft Entra pro tohoto registrovaného agenta.
Azure Storage Mover používá spravovanou identitu přiřazenou systémem. Spravovaná identita je instanční objekt speciálního typu, který lze použít pouze s prostředky Azure. Po odstranění spravované identity se automaticky odebere také odpovídající instanční objekt.
Proces odstranění se automaticky zahájí při zrušení registrace agenta. Existují ale i jiné způsoby, jak tuto identitu odebrat. Tím dojde k omezení registrovaného agenta a vyžaduje zrušení registrace agenta. Agenta může získat a udržovat správnou identitu Azure pouze proces registrace.
Poznámka:
Ve verzi Public Preview existuje vedlejší účinek registrace ve službě Azure Arc. Samostatný prostředek typu Server-Azure Arc je také nasazen ve stejné skupině prostředků jako prostředek přesunu úložiště. Agenta nebudete moct spravovat prostřednictvím tohoto prostředku.
Může se zdát, že můžete spravovat aspekty agenta přesunu úložiště prostřednictvím prostředku Server-Azure Arc , ale ve většině případů to nejde. Nejlepší je spravovat agenta prostřednictvím podokna Zaregistrovaní agenti ve vašem úložišti přesunout prostředek nebo přes místní prostředí pro správu.
Upozorňující
Neodstraňovat prostředek serveru Azure Arc vytvořený pro zaregistrovaného agenta ve stejné skupině prostředků jako prostředek přesunu úložiště. Jediný bezpečný čas k odstranění tohoto prostředku je, když jste dříve zrušíte registraci agenta, který tento prostředek odpovídá.
Autorizace
Registrovaný agent musí mít oprávnění pro přístup k několika službám a prostředkům ve vašem předplatném. Spravovaná identita je její způsob, jak prokázat svou identitu. Služba nebo prostředek Azure se pak může rozhodnout, jestli má agent oprávnění k přístupu.
Agent je automaticky autorizovaný ke spolupráci se službou Storage Mover. Tuto autorizaci nemůžete zobrazit ani ovlivnit, když zneškodníte spravovanou identitu, například zrušením registrace agenta.
Autorizace za běhu
Pro úlohu migrace je možná nejdůležitějším prostředkem, pro který musí být agent autorizovaný, přístup k cílovému koncovému bodu. Autorizace probíhá prostřednictvím řízení přístupu na základě role. Pro kontejner objektů blob Azure jako cíl se spravovaná identita zaregistrovaného agenta přiřadí k předdefinované roli Storage Blob Data Contributor cílového kontejneru (ne k celému účtu úložiště). Podobně se při přístupu k cíli sdílené složky Azure přiřadí spravovaná identita registrovaného agenta k předdefinované roli Storage File Data Privileged Contributor.
Tato přiřazení se provádějí v přihlašovacím kontextu správce na webu Azure Portal. Správce proto musí být členem role řízení přístupu na základě role (RBAC) role "Vlastník" cílového kontejneru. Toto přiřazení se provádí za běhu při spuštění úlohy migrace. V tuto chvíli jste vybrali agenta, který spustí úlohu migrace. V rámci této spouštěcí akce má agent udělená oprávnění k rovině dat cílového kontejneru. Agent nemá oprávnění provádět žádné akce roviny správy, jako je odstranění cílového kontejneru nebo konfigurace jakýchkoli funkcí.
Upozorňující
Přístup je udělen konkrétnímu agentovi za běhu pro spuštění úlohy migrace. Autorizace agenta pro přístup k cíli se ale automaticky neodebere. Pokud chcete zničit instanční objekt, musíte buď ručně odebrat spravovanou identitu agenta z konkrétního cíle, nebo zrušit registraci agenta. Tato akce odebere veškerou autorizaci cílového úložiště a také schopnost agenta komunikovat se službami Storage Mover a Azure Arc.
Další kroky
Při přípravě na migraci dat definujte zdrojové a cílové koncové body.