Voraussetzungen für den Connected Machine-Agent

Achtung

Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, die sich dem EOL (End Of Life)-Status nähert. Sie sollten Ihre Nutzung entsprechend planen.

In diesem Thema werden die grundlegenden Anforderungen für die Installation des Connected Machine-Agents zum Integrieren eines physischen Servers oder virtuellen Computers in Server mit Azure Arc-Unterstützung beschrieben. Einige Onboarding-Methoden haben möglicherweise mehr Anforderungen.

Unterstützte Umgebungen

Azure Arc-fähige Server unterstützen die Installation des Connected Machine-Agents auf physischen Servern und virtuellen Computern, die außerhalb von Azure gehostet werden. Dies schließt Unterstützung für virtuelle Computer ein, die auf Plattformen laufen wie:

  • VMware (einschließlich Azure VMware Solution)
  • Azure Stack HCI
  • Andere Cloud-Umgebungen

Sie sollten Azure Arc nicht auf virtuellen Computern installieren, die in Azure, Azure Stack Hub oder Azure Stack Edge gehostet werden, da sie bereits über ähnliche Funktionen verfügen. Sie können jedoch eine Azure-VM verwenden, um eine lokale Umgebung nur zu Testzwecken zu simulieren.

Seien Sie besonders vorsichtig, wenn Sie Azure Arc auf Systemen verwenden, die Folgendes sind:

  • Geklont
  • Von der Sicherung als zweite Instanz des Servers wiederhergestellt
  • Verwendet werden, um ein „goldenes Image“ zu erstellen, aus dem andere virtuelle Computer erstellt werden

Wenn zwei Agents dieselbe Konfiguration verwenden, treten inkonsistente Verhaltensweisen auf, wenn beide Agents versuchen, als eine Azure-Ressource zu fungieren. Die bewährte Methode für diese Situationen ist die Verwendung eines Automatisierungstools oder Skripts zum Onboarding des Servers in Azure Arc, nachdem er geklont, aus der Sicherung wiederhergestellt oder aus einem goldenen Image erstellt wurde.

Hinweis

Weitere Informationen zur Verwendung von Azure Arc-fähigen Servern in VMware-Umgebungen finden Sie in den Häufig gestellten Fragen (FAQ) zu VMware.

Unterstützte Betriebssysteme

Azure Arc unterstützt die folgenden Windows- und Linux-Betriebssysteme. Es werden nur x86-64-Architekturen (64-Bit) unterstützt. Der Azure Connected Machine-Agent wird nicht auf x86(32-Bit)- oder ARM-basierten Architekturen ausgeführt.

  • Amazon Linux 2 und 2023
  • Azure Linux (CBL-Mariner) 1.0, 2.0
  • Azure Stack HCI
  • CentOS Linux 7 und 8
  • Debian 10, 11 und 12
  • Oracle Linux 7 und 8
  • Red Hat Enterprise Linux (RHEL) 7, 8 und 9
  • Rocky Linux 8 und 9
  • SUSE Linux Enterprise Server (SLES) 12 SP3-SP5 und 15
  • Ubuntu 16.04, 18.04, 20.04 und 22.04 LTS
  • Windows 10, 11 (siehe Leitfaden zum Clientbetriebssystem)
  • Windows IoT Enterprise
  • Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016, 2019 und 2022
    • Desktop- und Server Core-Funktionen werden unterstützt
    • Azure-Editionen werden auf Azure Stack HCI unterstützt.

Der Azure Connected Machine-Agent wurde nicht auf Betriebssystemen getestet, die vom Benchmark Center für Informationssicherheit (CIS) gehärtet wurden.

Anleitungen zum Clientbetriebssystem

Der Azure Arc-Dienst und der Azure Connected Machine Agent werden nur unter Windows 10- und 11-Clientbetriebssystemen unterstützt, wenn diese Computer in einer serverähnlichen Umgebung verwendet werden. Das heißt, der Computer sollte immer sein:

  • Verbindung mit dem Internet vorhanden
  • Verbunden mit einer Stromquelle
  • Eingeschaltet

Beispielsweise ist ein Computer mit Windows 11, der für digitale Beschilderung, Point-of-Sale-Lösungen und allgemeine Back-Office-Verwaltungsaufgaben verantwortlich ist, ein guter Kandidat für Azure Arc. Produktivitätscomputer für Endbenutzer, z. B. einen Laptop, der für längere Zeit offline sein kann, sollten Azure Arc nicht verwenden und stattdessen Microsoft Intune oder Microsoft Configuration Manager in Betracht ziehen.

Kurzlebige Server und virtuelle Desktopinfrastruktur

Microsoft empfiehlt nicht, Azure Arc auf kurzlebigen (kurzlebigen) Servern oder virtuellen Desktopinfrastruktur-VMs (VDI) auszuführen. Azure Arc wurde für die langfristige Verwaltung von Servern entwickelt und ist nicht für Szenarien optimiert, in denen Sie regelmäßig Server erstellen und löschen. Azure Arc weiß zum Beispiel nicht, ob der Agent aufgrund einer geplanten Systemwartung offline ist oder ob die VM gelöscht wurde, sodass Serverressourcen, die keine Heartbeats mehr senden, nicht automatisch bereinigt werden. Daher könnte ein Konflikt auftreten, wenn Sie den virtuellen Computer mit demselben Namen neu erstellen und eine vorhandene Azure Arc-Ressource mit demselben Namen vorhanden ist.

Azure Virtual Desktop auf Azure Stack HCI verwendet keine kurzlebigen VMs und unterstützt die Ausführung von Azure Arc auf den Desktop-VMs.

Softwareanforderungen

Windows-Betriebssysteme:

Linux-Betriebssysteme:

  • systemd
  • wget (zum Herunterladen des Installationsskripts)
  • openssl
  • gnupg (nur Debian-basierte Systeme)

Lokale Benutzeranmeldung für Windows-Systeme

Der Azure Hybrid Instance Metadata Service wird unter einem virtuellen Konto mit geringen Berechtigungen ausgeführt, NT SERVICE\himds. Dieses Konto benötigt die „Anmeldung als Dienst“ direkt in Windows, um ausgeführt werden zu können. In den meisten Fällen müssen Sie nichts tun, da dieses Recht standardmäßig virtuellen Konten gewährt wird. Wenn Ihre Organisation jedoch Gruppenrichtlinien zum Anpassen dieser Einstellung verwendet, müssen Sie der Liste der Konten NT SERVICE\himds hinzufügen, die zum Anmelden als Dienst zulässig sind.

Sie können die aktuelle Richtlinie auf Ihrem Computer überprüfen, indem Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc) im Startmenü öffnen und zum folgenden Richtlinienelement navigieren:

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmeldung als Dienst

Überprüfen Sie, ob eines von NT SERVICE\ALL SERVICES, NT SERVICE\himds oder S-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083 (der statische Sicherheitsbezeichner für NT SERVICE\himds) in der Liste enthalten ist. Wenn sich keine in der Liste befinden, müssen Sie mit Ihrem Gruppenrichtlinienadministrator zusammenarbeiten, um NT SERVICE\himds zu den Richtlinien hinzuzufügen, die Benutzerrechtezuweisungen auf Ihren Servern konfigurieren. Der Gruppenrichtlinienadministrator muss die Änderung auf einem Computer vornehmen, auf dem der Azure Connected Machine-Agent installiert ist, damit die Objektauswahl die Identität ordnungsgemäß aufgelöst. Der Agent muss nicht konfiguriert oder mit Azure verbunden sein, um diese Änderung vorzunehmen.

Screen capture of the Local Group Policy Editor showing which users have permissions to log on as a service.

Erforderliche Berechtigungen

Sie benötigen die folgenden integrierten Azure-Rollen für verschiedene Aspekte der Verwaltung verbundener Computer:

  • Zum Durchführen des Onboardings für Computer benötigen Sie die Rolle Onboarding von Azure Connected Machine oder Mitwirkender für die Ressourcengruppe, in der Sie die Server verwalten.
  • Zum Lesen, Ändern oder Löschen eines Computers müssen Sie über die Rolle Ressourcenadministrator für Azure Connected Machine für die Ressourcengruppe verfügen.
  • Um eine Ressourcengruppe aus der Dropdown-Liste auszuwählen, wenn Sie die Methode Skript generieren verwenden, benötigen Sie auch die Rolle Leser für diese Ressourcengruppe (oder eine andere Rolle, die den Zugriff Leser beinhaltet).

Einschränkungen von Azure-Abonnements und -Diensten

Es gibt keine Beschränkungen für die Anzahl von Azure Arc-fähigen Servern, die Sie in einer einzelnen Ressourcengruppe, einem Abonnement oder Mandanten registrieren können.

Jeder Azure Arc-fähige Server ist mit einem Microsoft Entra-Objekt verbunden und wird auf Ihr Verzeichniskontingent angerechnet. Informationen zur maximalen Anzahl von Objekten, die Sie in einem Microsoft Entra-Verzeichnis haben können, finden Sie unter Microsoft Entra-Dienstbeschränkungen und Einschränkungen.

Azure-Ressourcenanbieter

Um Server mit Azure Arc-Unterstützung zu verwenden, müssen die folgenden Azure-Ressourcenanbieter in Ihrem Abonnement registriert sein:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureArcData (wenn Sie SQL Server Arc-fähig machen möchten)
  • Microsoft.Compute (für Azure Update Manager und automatische Erweiterungsupgrades)

Sie können die Ressourcenanbieter mithilfe der folgenden Befehle registrieren:

Azure PowerShell:

Connect-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridConnectivity
Register-AzResourceProvider -ProviderNamespace Microsoft.AzureArcData

Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'
az provider register --namespace 'Microsoft.HybridConnectivity'
az provider register --namespace 'Microsoft.AzureArcData'

Sie können die Ressourcenanbieter auch im Azure-Portal registrieren.

Nächste Schritte