Partager via

Inscription d’un agent Azure Storage Mover

  • Article

Le service Azure Storage Mover utilise des agents qui effectuent les travaux de migration que vous configurez dans le service. L’agent est une appliance basée sur des machines virtuelles que vous exécutez sur un hôte de virtualisation, proche du stockage source.

Vous devez inscrire un agent pour créer une relation d’approbation avec votre ressource Mover Stockage. Cette approbation permet à votre agent de recevoir en toute sécurité des travaux de migration et de signaler la progression. L’inscription de l’agent peut se produire sur le point de terminaison public ou privé de votre ressource Mover Stockage. Un point de terminaison privé, également appelé liaison privée à une ressource, peut être déployé dans un réseau virtuel Azure.

Vous pouvez vous connecter à un réseau virtuel Azure à partir d’autres réseaux, tels qu’un réseau d’entreprise local. Ce type de connexion est effectué via une connexion VPN telle qu’Azure Express Route. Pour en savoir plus sur cette approche, consultez la documentation Azure ExpressRoute et Azure Private Link .

Important

Actuellement, Stockage Mover peut être configuré pour router les données de migration de l’agent vers le compte de stockage de destination via Private Link. Les pulsations et certificats de calcul hybrides peuvent également être acheminés vers un point de terminaison de service Azure Arc privé dans votre réseau virtuel (VNet). Certains Stockage trafic mover ne peuvent pas être routés via Private Link et sont routés sur le point de terminaison public d’une ressource de déplacement de stockage. Ces données incluent les messages de contrôle, la télémétrie de progression et les journaux de copie.

Dans cet article, vous allez apprendre à inscrire correctement une machine virtuelle de l’agent Mover précédemment déployée Stockage.

Prérequis

Vous devez remplir deux conditions préalables avant de pouvoir inscrire un agent Mover Stockage Azure :

  1. Vous devez déployer une ressource Mover Stockage Azure.
    Suivez les étapes décrites dans l’article Créer une ressource Storage Mover pour déployer cette ressource dans l’abonnement et la région Azure de votre choix.

  2. Vous devez déployer la machine virtuelle de l’agent Mover Stockage Azure.
    Suivez les étapes décrites dans l’article de déploiement de la machine virtuelle de l’agent Mover Stockage Azure pour créer la machine virtuelle de l’agent et la connecter à Internet.

Vue d’ensemble de l’inscription

Image showing three components. The storage mover agent, deployed on-premises and close to the source data to be migrated. The storage mover cloud resource, deployed in an Azure resource group. And finally, a line connecting the two.

Le processus d’inscription de l’agent crée une approbation entre l’agent et la ressource cloud mover Stockage. L’approbation vous permet de gérer à distance l’agent et de l’affecter à des travaux de migration à exécuter.

L’inscription est toujours lancée à partir de l’agent. Dans l’intérêt de la sécurité, seul l’agent peut établir une confiance en accédant au service Stockage Mover. La procédure d’inscription utilise vos informations d’identification et autorisations Azure sur la ressource Storage Mover que vous avez déployée précédemment. Si vous ne disposez pas encore d’une ressource cloud Storage Mover ni d’une machine virtuelle d’agent déployée, reportez-vous à la section Conditions préalables.

Étape 1 : Se connecter à la machine virtuelle de l’agent

La machine virtuelle de l’agent est une appliance. Il offre un interpréteur de commandes administratif qui limite les opérations que vous pouvez effectuer sur cet ordinateur. Lorsque vous vous connectez à l’agent, l’interpréteur de commandes charge et vous fournit des options qui vous permettent d’interagir directement avec celui-ci. Toutefois, la machine virtuelle de l’agent est une appliance Linux, et les fonctionnalités de copie et de collage ne fonctionnent souvent pas dans la fenêtre hôte par défaut.

Au lieu d’utiliser la fenêtre hôte, envisagez d’utiliser une connexion SSH à la place. Cette approche offre les avantages suivants :

  • Vous pouvez vous connecter à l’interpréteur de commandes de la machine virtuelle de l’agent à partir de n’importe quel ordinateur de gestion et n’avez pas besoin d’être connecté à l’hôte.
  • L’opération de copier/coller est entièrement pris en charge.

À partir d’une machine du même sous-réseau que l’agent, exécutez une commande ssh :

ssh <AgentIpAddress> -l admin

Important

Un agent Storage Mover qui vient d’être déployé a un mot de passe par défaut :
Utilisateur local : admin
Mot de passe par défaut : admin

Vous êtes invité à modifier le mot de passe par défaut immédiatement après la première connexion à un agent nouvellement déployé. Prenez note du nouveau mot de passe, il n’y a aucun processus de récupération. La perte de votre mot de passe vous empêche d’accéder à l’interpréteur de commandes d’administration. La gestion cloud n’a pas besoin de ce mot de passe d’administration locale. Si l’agent a déjà été inscrit, vous pouvez toujours l’utiliser pour les travaux de migration. Les agents peuvent être supprimés. Ils n’ont que peu de valeur au-delà du travail de migration qu’ils exécutent. Vous pouvez toujours déployer un nouvel agent et l’utiliser à la place pour exécuter le travail de migration suivant.

Étape 2 : Tester la connectivité réseau

Votre agent doit être connecté à Internet.

Une fois connecté à l’interpréteur de commandes d’administration, vous pouvez tester l’état de connectivité des agents :

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

Sélectionnez l’élément de menu 2) Configuration réseau.

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

Sélectionnez l’élément de menu 3) Tester la connectivité réseau.

Important

Passez uniquement à l’étape d’inscription lorsque votre test de connectivité réseau ne retourne aucun problème.

Étape 3 : Inscrire l’agent

Dans cette étape, vous inscrivez votre agent auprès de la ressource de déplacement de stockage que vous avez déployée dans un abonnement Azure. Connectez-vous à l’interpréteur de commandes d’administration de votre agent, puis sélectionnez l’élément de menu 4) Inscrire :

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

Vous êtes invité à entrer :

  • Identifiant d’abonnement

  • Nom du groupe ressources

  • Nom de la ressource Storage Mover

  • Nom de l’agent : ce nom est affiché pour l’agent dans le Portail Azure. Sélectionnez un nom qui identifie clairement cette machine virtuelle d’agent pour vous. Consultez la convention de nommage des ressources pour choisir un nom pris en charge.

  • Étendue private Link : fournissez l’ID de ressource complet de votre étendue Private Link si vous utilisez la mise en réseau privée. Vous trouverez plus d’informations sur Azure Private Link dans l’article de la documentation Azure Private Link.

    Important

    Si vous avez configuré Stockage Mover pour migrer vos données via Private Link, vous devez fournir l’ID de ressource complet de votre étendue Private Link. Par exemple : /subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.

Une fois que vous avez fourni ces valeurs, l’agent tente l’inscription. Pendant le processus d’inscription, vous devez vous connecter à Azure avec des informations d’identification qui disposent des autorisations pour votre abonnement et votre ressource de déplacement de stockage.

Important

Les informations d’identification Azure que vous utilisez pour l’inscription doivent disposer d’autorisations de propriétaire sur le groupe de ressources et la ressource Storage Mover spécifiés.

Pour l’authentification, l’agent utilise le flux d’authentification de l’appareil avec l’ID Microsoft Entra.

L’agent affiche l’URL d’authentification de l’appareil : https://microsoft.com/devicelogin et un code de connexion unique. Accédez à l’URL affichée sur une machine connectée à Internet, entrez le code et connectez-vous à Azure avec vos informations d’identification.

L’agent affiche une progression détaillée. Une fois l’inscription terminée, vous pouvez voir l’agent dans le Portail Azure. Il se trouve sous Agents inscrits dans la ressource de déplacement de stockage avec laquelle vous avez inscrit l’agent.

Authentification et autorisation

Pour effectuer une authentification transparente avec Azure et l’autorisation sur différentes ressources Azure, l’agent est inscrit auprès des services Azure suivants :

  • Azure Storage Mover (Microsoft.StorageMover)
  • Azure Arc (Microsoft.HybridCompute)

Service Azure Storage Mover

L’inscription au service Azure Storage Mover est visible et gérable par le biais de la ressource Storage Mover que vous avez déployée dans votre abonnement Azure. Un agent inscrit est une ressource Azure Resource Manager (ARM). Vous pouvez uniquement créer cette ressource via le processus d’inscription. Vous pouvez interroger des détails sur la ressource à partir de n’importe quel client Azure Resource Manager. Les clients incluent le portail Azure, le module Az PowerShell et l’interface CLI du module Az PowerShell.

Vous pouvez référencer cette ressource Azure Resource Manager (ARM) lorsque vous souhaitez affecter des travaux de migration à la machine virtuelle d’agent qu’elle symbolise.

Service Azure Arc

L’agent est également inscrit auprès du service Azure Arc. Arc est utilisé pour attribuer et gérer une identité managée Microsoft Entra pour cet agent inscrit.

Azure Storage Mover utilise une identité managée affectée par le système. L’identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Lorsqu’une identité managée est supprimée, le principal de service correspondant est également automatiquement supprimé.

Le processus de suppression est automatiquement lancé lorsque vous annulez l’inscription de l’agent. Toutefois, il existe d’autres façons de supprimer cette identité. Cela permet d’annuler l’inscription de l’agent inscrit et d’annuler l’inscription de l’agent. Seul le processus d’inscription peut demander à un agent d’obtenir et de gérer correctement son identité Azure.

Remarque

Pendant la préversion publique, il existe un effet secondaire de l’inscription auprès du service Azure Arc. Une ressource distincte du type Server-Azure Arc est également déployée dans le même groupe de ressources que votre ressource Storage Mover. Vous ne pouvez pas gérer l’agent via cette ressource.

Il vous semblera peut-être que vous pouvez gérer les aspects de l’agent Storage Mover via la ressource Server-Azure Arc, mais dans la plupart des cas, vous ne pouvez pas. Il est préférable de gérer exclusivement l’agent via le volet Agents inscrits dans votre ressource Storage Mover ou via l’interpréteur de commandes d’administration local.

Avertissement

Ne supprimez pas la ressource de serveur Azure Arc créée pour un agent inscrit dans le même groupe de ressources que la ressource de déplacement de stockage. Le seul moment sûr pour supprimer cette ressource est lorsque vous avez précédemment désinscrit l’agent auquel cette ressource correspond.

Autorisation

L’agent inscrit doit être autorisé à accéder à plusieurs services et ressources dans votre abonnement. L’identité managée est son moyen de prouver son identité. Le service ou la ressource Azure peut ensuite décider si l’agent est autorisé à y accéder.

L’agent est automatiquement autorisé à converser avec le service Storage Mover. Vous ne pouvez pas voir ou influencer cette autorisation en cas de destruction de l’identité managée, par exemple en annulant l’inscription de l’agent.

Autorisation juste-à-temps

Pour une tâche de migration, l’accès au point de terminaison cible est peut-être la ressource la plus importante pour laquelle un agent doit être autorisé. L’autorisation a lieu via le contrôle d’accès en fonction du rôle. Pour un conteneur d’objets blob Azure en tant que cible, l’identité managée de l’agent inscrit est affectée au rôle Storage Blob Data Contributor intégré du conteneur cible (et non à l’ensemble du compte de stockage). De même, lors de l’accès à une cible de partage de fichiers Azure, l’identité managée de l’agent inscrit est affectée au rôle Storage File Data Privileged Contributorintégré.

Ces affectations sont effectuées dans le contexte de connexion de l’administrateur dans le Portail Azure. Par conséquent, l’administrateur doit être membre du rôle de plan de contrôle RBAC (contrôle d’accès en fonction du rôle) « Propriétaire » pour le conteneur cible. Cette affectation est effectuée juste-à-temps lorsque vous démarrez un travail de migration. À ce stade, vous avez sélectionné un agent pour exécuter un travail de migration. Dans le cadre de cette action de début, l’agent reçoit des autorisations sur le plan de données du conteneur cible. L’agent n’est pas autorisé à effectuer des actions de plan de gestion, telles que la suppression du conteneur cible ou la configuration de toutes les fonctionnalités sur celui-ci.

Avertissement

L’accès est accordé à un agent spécifique juste-à-temps pour exécuter un travail de migration. Toutefois, l’autorisation de l’agent d’accéder à la cible n’est pas automatiquement supprimée. Vous devez supprimer manuellement l’identité managée de l’agent d’une cible spécifique ou annuler l’inscription de l’agent pour détruire le principal de service. Cette action supprime toutes les autorisations de stockage cible ainsi que la capacité de l’agent à communiquer avec les services Mover et Azure Arc Stockage.

Étapes suivantes

Définissez vos points de terminaison source et cible en préparation de la migration de vos données.

Créer et gérer des points de terminaison source et cible