Partager via

Inscription d’un agent Azure Storage Mover

  • Article

Le service Azure Storage Mover utilise des agents qui effectuent les travaux de migration que vous configurez dans le service. L’agent est une appliance basée sur machine virtuelle que vous exécutez sur un hôte de virtualisation, à proximité du stockage source.

Vous devez inscrire un agent pour créer une relation d’approbation avec votre ressource Storage Mover. Cette approbation permet à votre agent de recevoir en toute sécurité des travaux de migration et de signaler la progression. L’inscription de l’agent peut se produire sur le point de terminaison public ou privé de votre ressource Storage Mover. Un point de terminaison privé, également appelé liaison privée à une ressource, peut être déployé dans un réseau virtuel (VNet) Azure.

Vous pouvez vous connecter à un réseau virtuel Azure à partir d’autres réseaux, tels qu’un réseau d’entreprise local. Ce type de connexion est effectué via une connexion VPN telle qu’Azure Express Route. Pour en savoir plus sur cette approche, consultez la documentation Azure ExpressRoute et Azure Private Link.

Important

Actuellement, vous pouvez configurer Storage Mover pour acheminer les données de migration de l’agent vers le compte de stockage de destination via Private Link. Vous pouvez également acheminer les pulsations et certificats de calcul hybrides vers un point de terminaison de service Azure Arc privé dans votre réseau virtuel (VNet). Certains trafics de Storage Mover ne peuvent pas être acheminés via Private Link et sont acheminés sur le point de terminaison public d’une ressource Storage Mover. Ces données incluent les messages de contrôle, la télémétrie de progression et les journaux de copie.

Dans cet article, vous allez apprendre à inscrire une machine virtuelle d’agent Storage Mover précédemment déployée.

Prérequis

Il existe deux conditions préalables avant de pouvoir inscrire un agent Azure Storage Mover :

  1. Vous devez disposer d’une ressource Azure Storage Mover déployée.
    Suivez les étapes décrites dans l’article Créer une ressource Storage Mover pour déployer cette ressource dans l’abonnement et la région Azure de votre choix.

  2. Vous devez déployer la machine virtuelle d’agent Azure Storage Mover.
    Suivez les étapes décrites dans l’article Déploiement de la machine virtuelle d’agent Azure Storage Mover pour créer la machine virtuelle d’agent et la connecter à Internet.

Vue d’ensemble de l’inscription

Image montrant trois composants. Agent de déplacement de stockage, déployé localement et proche des données sources à migrer. Ressource cloud Storage Mover déployée dans un groupe de ressources Azure. Enfin, une ligne reliant les deux.

Le processus d’inscription de l’agent crée une approbation entre l’agent et la ressource cloud Storage Mover. L’approbation vous permet de gérer à distance l’agent et de lui attribuer des travaux de migration à exécuter.

L’inscription est toujours lancée à partir de l’agent. Dans l’intérêt de la sécurité, seul l’agent peut établir une approbation en contactant le service Storage Mover. La procédure d’inscription utilise vos informations d’identification et autorisations Azure sur la ressource Storage Mover que vous avez déployée précédemment. Si vous ne disposez pas encore d’une ressource cloud Storage Mover ni d’une machine virtuelle d’agent déployée, reportez-vous à la section Conditions préalables.

Étape 1 : Se connecter à la machine virtuelle de l’agent

La machine virtuelle de l’agent est une appliance. Il offre un interpréteur de commandes d’administration qui limite les opérations que vous pouvez effectuer sur cette machine. Lorsque vous vous connectez à l’agent, l’interpréteur de commandes se charge et vous fournit des options qui vous permettent d’interagir directement avec celui-ci. Toutefois, la machine virtuelle de l’agent est une appliance Linux, et les fonctionnalités de copier-coller ne fonctionnent souvent pas dans la fenêtre hôte par défaut.

Au lieu d’utiliser la fenêtre hôte, envisagez d’utiliser une connexion SSH. Cette approche offre les avantages suivants :

  • Vous pouvez vous connecter à l’interpréteur de commandes de la machine virtuelle de l’agent à partir de n’importe quel ordinateur de gestion et vous n’avez pas besoin d’être connecté à l’hôte.
  • L’opération de copier/coller est entièrement pris en charge.

À partir d’une machine du même sous-réseau que l’agent, exécutez une commande ssh :

ssh <AgentIpAddress> -l admin

Important

Un agent Storage Mover qui vient d’être déployé a un mot de passe par défaut :
Utilisateur local : admin
Mot de passe par défaut : admin

Vous êtes invité à modifier le mot de passe par défaut immédiatement après la première connexion à un agent nouvellement déployé. Prenez note du nouveau mot de passe, il n’y a aucun processus de récupération. La perte de votre mot de passe vous empêche d’accéder à l’interpréteur de commandes d’administration. La gestion cloud n’a pas besoin de ce mot de passe d’administration locale. Si l’agent a déjà été inscrit, vous pouvez toujours l’utiliser pour les travaux de migration. Les agents peuvent être supprimés. Ils n’ont que peu de valeur au-delà du travail de migration qu’ils exécutent. Vous pouvez toujours déployer un nouvel agent et l’utiliser à la place pour exécuter le travail de migration suivant.

Étape 2 : Tester la connectivité réseau

Votre agent doit être connecté à Internet.

Une fois connecté à l’interpréteur de commandes d’administration, vous pouvez tester l’état de connectivité des agents :

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

Sélectionnez l’élément de menu 2) Configuration réseau.

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

Sélectionnez l’élément de menu 3) Tester la connectivité réseau.

Important

Passez uniquement à l’étape d’inscription lorsque votre test de connectivité réseau ne retourne aucun problème.

Étape 3 : Inscrire l’agent

Dans cette étape, vous inscrivez votre agent auprès de la ressource Storage Mover que vous avez déployée dans un abonnement Azure. Connectez-vous à l’interpréteur de commandes d’administration de votre agent, puis sélectionnez l’élément de menu 4) Inscrire :

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

Vous êtes invité à entrer les informations suivantes :

  • Identifiant d’abonnement

  • Nom du groupe ressources

  • Nom de la ressource Storage Mover

  • Nom de l’agent : ce nom s’affiche pour l’agent dans le Portail Azure. Sélectionnez un nom qui identifie clairement cette machine virtuelle d’agent pour vous. Consultez la convention de nommage des ressources pour choisir un nom pris en charge.

  • Étendue de liaison privée : fournissez l’ID de ressource complet de votre étendue de liaison privée si vous utilisez la mise en réseau privée. Vous trouverez plus d’informations sur Azure Private Link dans l’article de la documentation Azure Private Link.

    Important

    Si vous avez configuré Storage Mover pour migrer vos données via Private Link, vous devez fournir l’ID de ressource complet de votre étendue de liaison privée. Par exemple : /subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.

Une fois que vous avez fourni ces valeurs, l’agent tente l’inscription. Pendant le processus d’inscription, vous devez vous connecter à Azure avec des informations d’identification qui disposent des autorisations pour votre abonnement et votre ressource de déplacement de stockage.

Important

Les informations d’identification Azure que vous utilisez pour l’inscription doivent disposer d’autorisations de propriétaire sur le groupe de ressources et la ressource Storage Mover spécifiés.

Pour l’authentification, l’agent utilise le flux d’authentification de l’appareil avec Microsoft Entra ID.

L’agent affiche l’URL d’authentification de l’appareil : https://microsoft.com/devicelogin et un code de connexion unique. Accédez à l’URL affichée sur une machine connectée à Internet, entrez le code et connectez-vous à Azure avec vos informations d’identification.

L’agent affiche une progression détaillée. Une fois l’inscription terminée, vous pouvez voir l’agent dans le Portail Azure. Il se trouve sous Agents inscrits dans la ressource Storage Mover auprès de laquelle vous avez inscrit l’agent.

Authentification et autorisation

Pour effectuer une authentification transparente avec Azure et l’autorisation sur différentes ressources Azure, l’agent est inscrit auprès des services Azure suivants :

  • Azure Storage Mover (Microsoft.StorageMover)
  • Azure Arc (Microsoft.HybridCompute)

Service Azure Storage Mover

L’inscription au service Azure Storage Mover est visible et gérable par le biais de la ressource Storage Mover que vous avez déployée dans votre abonnement Azure. Un agent inscrit est une ressource Azure Resource Manager (ARM). Vous pouvez uniquement créer cette ressource via le processus d’inscription. Vous pouvez interroger des détails sur la ressource à partir de n’importe quel client Azure Resource Manager. Les clients incluent le portail Azure, le module Az PowerShell et l’interface CLI du module Az PowerShell.

Vous pouvez référencer cette ressource Azure Resource Manager (ARM) lorsque vous souhaitez affecter des travaux de migration à la machine virtuelle d’agent qu’elle symbolise.

Service Azure Arc

L’agent est également inscrit auprès du service Azure Arc. Arc est utilisé pour attribuer et gérer une identité managée Microsoft Entra pour cet agent inscrit.

Azure Storage Mover utilise une identité managée affectée par le système. L’identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Lorsqu’une identité managée est supprimée, le principal de service correspondant est également automatiquement supprimé.

Le processus de suppression est automatiquement lancé lorsque vous annulez l’inscription de l’agent. Toutefois, il existe d’autres façons de supprimer cette identité. Cela entraîne l’incapacité de l’agent inscrit et oblige l’agent à être désinscrit. Seul le processus d’inscription peut demander à un agent d’obtenir et de gérer correctement son identité Azure.

Remarque

Pendant la préversion publique, il existe un effet secondaire de l’inscription auprès du service Azure Arc. Une ressource distincte du type Server-Azure Arc est également déployée dans le même groupe de ressources que votre ressource Storage Mover. Vous ne pouvez pas gérer l’agent via cette ressource.

Il vous semblera peut-être que vous pouvez gérer les aspects de l’agent Storage Mover via la ressource Server-Azure Arc, mais dans la plupart des cas, vous ne pouvez pas. Il est préférable de gérer exclusivement l’agent via le volet Agents inscrits dans votre ressource Storage Mover ou via l’interpréteur de commandes d’administration local.

Avertissement

Ne supprimez pas la ressource de serveur Azure Arc créée pour un agent inscrit dans le même groupe de ressources que la ressource Storage Mover. Le seul moment sûr pour supprimer cette ressource est lorsque vous avez précédemment désinscrit l’agent auquel cette ressource correspond.

Autorisation

L’agent inscrit doit être autorisé à accéder à plusieurs services et ressources dans votre abonnement. L’identité managée est son moyen de prouver son identité. Le service ou la ressource Azure peut ensuite décider si l’agent est autorisé à y accéder.

L’agent est automatiquement autorisé à converser avec le service Storage Mover. Vous ne pouvez pas voir ni influencer cette autorisation à moins de détruire l’identité managée, par exemple en annulant l’inscription de l’agent.

Autorisation juste-à-temps

Pour une tâche de migration, l’accès au point de terminaison cible est peut-être la ressource la plus importante pour laquelle un agent doit être autorisé. L’autorisation a lieu via le contrôle d’accès en fonction du rôle. Pour un conteneur d’objets blob Azure en tant que cible, l’identité managée de l’agent inscrit est affectée au rôle intégré Storage Blob Data Contributor du conteneur cible (et non à l’ensemble du compte de stockage). De même, lors de l’accès à une cible de partage de fichiers Azure, l’identité managée de l’agent inscrit est affectée au rôle intégré Storage File Data Privileged Contributor.

Ces affectations sont effectuées dans le contexte de connexion de l’administrateur dans le Portail Azure. Par conséquent, l’administrateur doit être membre du rôle de plan de contrôle RBAC (contrôle d’accès en fonction du rôle) « Propriétaire » pour le conteneur cible. Cette affectation est effectuée juste-à-temps lorsque vous démarrez un travail de migration. À ce stade, vous avez sélectionné un agent pour exécuter un travail de migration. Dans le cadre de cette action de début, l’agent reçoit des autorisations sur le plan de données du conteneur cible. L’agent n’est pas autorisé à effectuer des actions de plan de gestion, telles que la suppression du conteneur cible ou la configuration de toutes les fonctionnalités sur celui-ci.

Avertissement

L’accès est accordé à un agent spécifique juste-à-temps pour exécuter un travail de migration. Toutefois, l’autorisation de l’agent d’accéder à la cible n’est pas automatiquement supprimée. Vous devez supprimer manuellement l’identité managée de l’agent d’une cible spécifique ou annuler l’inscription de l’agent pour détruire le principal de service. Cette action supprime toutes les autorisations de stockage cible, ainsi que la capacité de l’agent à communiquer avec les services Storage Mover et Azure Arc.

Étapes suivantes

Définissez vos points de terminaison source et cible en préparation de la migration de vos données.

Créer et gérer des points de terminaison source et cible