Azure Arc-kompatibilis kiszolgálók kiértékelése Egy Azure-beli virtuális gépen

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

Az Azure Arc-kompatibilis kiszolgálókat úgy tervezték, hogy segítsenek a helyszíni vagy más felhőkben futó kiszolgálók Azure-hoz való csatlakoztatásában. Általában nem csatlakoztatna Azure-beli virtuális gépet az Azure Archoz, mert ezekhez a virtuális gépekhez natív módon minden képesség elérhető. Az Azure-beli virtuális gépek már rendelkeznek képviseletekkel az Azure Resource Managerben, a virtuálisgép-bővítményekben, a felügyelt identitásokban és az Azure Policyban. Ha Azure Arc-kompatibilis kiszolgálókat próbál telepíteni egy Azure-beli virtuális gépre, hibaüzenet jelenik meg, amely szerint az nem támogatott.

Bár éles környezetben nem telepíthet Azure Arc-kompatibilis kiszolgálókat azure-beli virtuális gépekre, az Azure Arc-kompatibilis kiszolgálók csak kiértékelési és tesztelési célokra konfigurálhatók azure-beli virtuális gépeken való futtatásra. Ez a cikk bemutatja, hogyan készíthet elő azure-beli virtuális gépeket helyszíni kiszolgálóként tesztelési célokra.

Feljegyzés

A cikkben szereplő lépések az Azure-felhőben üzemeltetett virtuális gépekre szolgálnak. Az Azure Arc-kompatibilis kiszolgálók nem támogatottak az Azure Stack Hubon vagy az Azure Stack Edge-en futó virtuális gépeken.

Előfeltételek

• A fiók hozzá van rendelve a virtuális gép közreműködői szerepköréhez .
• Az Azure-beli virtuális gép az Azure Arc-kompatibilis kiszolgálók által támogatott operációs rendszert futtat. Ha nem rendelkezik Azure-beli virtuális géppel, üzembe helyezhet egy egyszerű Windows rendszerű virtuális gépet vagy egy egyszerű Ubuntu Linux 18.04 LTS virtuális gépet.
• Az Azure-beli virtuális gép kimenő kommunikációval töltheti le a Windowshoz készült Azure Csatlakozás ed Machine Agent-csomagot a Microsoft letöltőközpontból, a Linuxot pedig a Microsoft csomagtárából. Ha a kimenő internetkapcsolat az informatikai biztonsági szabályzatot követve korlátozott, manuálisan letöltheti az ügynökcsomagot, és átmásolhatja az Azure-beli virtuális gép egyik mappájába.
• A virtuális gépen emelt szintű (azaz rendszergazdai vagy gyökérszintű) jogosultságokkal rendelkező fiók, valamint a virtuális gép RDP- vagy SSH-hozzáférése.
• Az Azure-beli virtuális gép Azure Arc-kompatibilis kiszolgálókon való regisztrálásához és kezeléséhez tagja az Azure Csatlakozás gépi erőforrás-Rendszergazda istrator vagy közreműködői szerepkörnek az erőforráscsoportban.

Felkészülés

Az Azure-beli virtuális gép Azure Arc-kompatibilis kiszolgálóként való kezelésének megkezdéséhez a következő módosításokat kell végrehajtania az Azure-beli virtuális gépen, mielőtt telepítené és konfigurálhatja az Azure Arc-kompatibilis kiszolgálókat.

1. Távolítsa el az Azure-beli virtuális gépen üzembe helyezett virtuálisgép-bővítményeket, például a Log Analytics-ügynököt. Bár az Azure Arc-kompatibilis kiszolgálók számos olyan bővítményt támogatnak, mint az Azure-beli virtuális gépek, az Azure Csatlakozás ed Machine-ügynök nem tudja kezelni a virtuális gépen már üzembe helyezett virtuálisgép-bővítményeket.

2. Tiltsa le az Azure Windows- vagy Linux-vendégügynököt. Az Azure-beli virtuálisgép-vendégügynök az Azure Csatlakozás ed Machine-ügynökhöz hasonló célt szolgál. A kettő közötti ütközések elkerülése érdekében le kell tiltani az Azure-beli virtuálisgép-ügynököt. A letiltás után nem használhat virtuálisgép-bővítményeket vagy egyes Azure-szolgáltatásokat.

3. Hozzon létre egy biztonsági szabályt az Azure Instance Metadata Service (IMDS) hozzáférésének megtagadásához. Az IMDS egy REST API, amelyet az alkalmazások meghívhatnak, hogy információt szerezzenek a virtuális gép Azure-beli megjelenítéséről, beleértve annak erőforrás-azonosítóját és helyét. Az IMDS hozzáférést biztosít a géphez rendelt felügyelt identitásokhoz is. Az Azure Arc-kompatibilis kiszolgálók saját IMDS-implementációt biztosítanak, és információkat ad vissza a virtuális gép Azure Arc-ábrázolásáról. Annak érdekében, hogy elkerülje azokat a helyzeteket, amikor mindkét IMDS-végpont elérhető, és az alkalmazásoknak választaniuk kell a kettő között, letilthatja az Azure-beli virtuális gépek IMDS-hozzáférését, hogy az Azure Arc-kompatibilis kiszolgálóI IMDS-implementáció legyen az egyetlen elérhető.

A módosítások elvégzése után az Azure-beli virtuális gép úgy viselkedik, mint bármely, az Azure-on kívüli gép vagy kiszolgáló, és a szükséges kiindulópont az Azure Arc-kompatibilis kiszolgálók telepítéséhez és kiértékeléséhez.

Ha az Azure Arc-kompatibilis kiszolgálók konfigurálva lesznek a virtuális gépen, annak két ábrázolása jelenik meg az Azure-ban. Az egyik az Azure-beli virtuálisgép-erőforrás erőforrástípussal Microsoft.Compute/virtualMachines , a másik pedig egy Azure Arc-erőforrás erőforrástípussal Microsoft.HybridCompute/machines . A vendég operációs rendszer megosztott fizikai gazdagépkiszolgálóról való felügyeletének megakadályozása miatt a legjobban úgy gondolhatja a két erőforrást, hogy az Azure-beli virtuálisgép-erőforrás a virtuális gép virtuális hardvere, és szabályozhatja az energiaállapotot, és megtekintheti annak termékváltozatával, hálózatával és tárolási konfigurációjával kapcsolatos információkat. Az Azure Arc-erőforrás felügyeli a vendég operációs rendszert a virtuális gépen, és használható bővítmények telepítésére, az Azure Policy megfelelőségi adatainak megtekintésére és az Azure Arc-kompatibilis kiszolgálók által támogatott egyéb feladatok elvégzésére.

Azure-beli virtuális gép újrakonfigurálása

Feljegyzés

Windows esetén állítsa be a környezeti változót úgy, hogy felülbírálja az ARC-t egy Azure-beli virtuálisgép-telepítésen.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

1. Távolítsa el a virtuálisgép-bővítményeket az Azure-beli virtuális gépen.

   Az Azure Portalon lépjen az Azure-beli virtuálisgép-erőforrásra, és a bal oldali panelen válassza a Bővítmények lehetőséget. Ha bármilyen bővítmény telepítve van a virtuális gépen, jelölje ki egyenként az egyes bővítményeket, majd válassza az Eltávolítás lehetőséget. Várja meg az összes bővítmény eltávolítását, mielőtt továbblép a 2. lépésre.

2. Tiltsa le az Azure-beli virtuálisgép-vendégügynököt.

   Az Azure-beli virtuálisgép-vendégügynök letiltásához csatlakozzon a virtuális géphez távoli asztali Csatlakozás ion (Windows) vagy SSH (Linux) használatával, és futtassa a következő parancsokat a vendégügynök letiltásához.

   Windows esetén futtassa a következő PowerShell-parancsokat:

   Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
   Stop-Service WindowsAzureGuestAgent -Force -Verbose
   

   Linux esetén futtassa a következő parancsokat:

   sudo systemctl stop walinuxagent
   sudo systemctl disable walinuxagent
   

3. Az Azure IMDS-végponthoz való hozzáférés letiltása.

   Feljegyzés

   Az alábbi konfigurációkat a 169.254.169.254 és a 169.254.169.253-ra kell alkalmazni. Ezek az Azure-ban és az Azure Stack HCI-ben használt IMDS-végpontok.

   Miközben továbbra is csatlakozik a kiszolgálóhoz, futtassa az alábbi parancsokat az Azure IMDS-végponthoz való hozzáférés letiltásához. Windows esetén futtassa a következő PowerShell-parancsot:

   New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
   

   Linux esetén tekintse meg a disztribúció dokumentációját a 80-ás TCP-porton keresztüli kimenő hozzáférés letiltásának legjobb módjáról 169.254.169.254/32 . Általában a beépített tűzfallal blokkolná a kimenő hozzáférést, de ideiglenesen iptables vagy nftables használatával is letilthatja.

   Ha az Azure-beli virtuális gép Ubuntu-t futtat, hajtsa végre a következő lépéseket a nem komplikált tűzfal (UFW) konfigurálásához:

   sudo ufw --force enable
   sudo ufw deny out from any to 169.254.169.254
   sudo ufw default allow incoming
   

   Ha az Azure-beli virtuális gép CentOS, Red Hat vagy SU Standard kiadás Linux Enterprise Servert (SLES) futtat, hajtsa végre a következő lépéseket a tűzfallal való konfiguráláshoz:

   sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
   sudo firewall-cmd --reload
   

   Egyéb disztribúciók esetén tekintse meg a tűzfal dokumentációját, vagy konfiguráljon egy általános iptables-szabályt a következő paranccsal:

   sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT
   

   Feljegyzés

   Az iptables konfigurációját minden újraindítás után be kell állítani, hacsak nem használ állandó iptables-megoldást.

4. Telepítse és konfigurálja az Azure Csatlakozás gép-ügynököt.

   A virtuális gép készen áll az Azure Arc-kompatibilis kiszolgálók kiértékelésére. Az Azure Csatlakozás ed Machine-ügynök telepítéséhez és konfigurálásához tekintse meg Csatlakozás hibrid gépeket az Azure Portal használatával, és kövesse a lépéseket a telepítési szkript létrehozásához és a szkriptelt metódussal történő telepítéshez.

   Feljegyzés

   Ha a kimenő internetkapcsolat korlátozott az Azure-beli virtuális gépről, manuálisan is letöltheti az ügynökcsomagot. Másolja az ügynökcsomagot az Azure-beli virtuális gépre, és módosítsa az Azure Arc-kompatibilis kiszolgálók telepítési szkriptet a forrásmappára való hivatkozáshoz.

Ha elmulasztotta az egyik lépést, a telepítési szkript észleli, hogy egy Azure-beli virtuális gépen fut, és hiba miatt leáll. Ellenőrizze, hogy elvégezte-e az 1–3. lépést, majd futtassa újra a szkriptet.

Az Azure Arc csatlakozásának ellenőrzése

Miután telepítette és konfigurálta az ügynököt az Azure Arc-kompatibilis kiszolgálókon való regisztrálásra, lépjen az Azure Portalra, és ellenőrizze, hogy a kiszolgáló sikeresen csatlakozott-e. A gép megtekintése az Azure Portalon.

Következő lépések

• Megtudhatja , hogyan tervezhet és engedélyezhet nagy számú gépet az Azure Arc-kompatibilis kiszolgálókon az alapvető biztonsági felügyeleti és monitorozási képességek konfigurálásának egyszerűsítése érdekében az Azure-ban.

• Ismerje meg a támogatott Azure-beli virtuálisgép-bővítményeket , hogy egyszerűsítse az üzembe helyezést más Azure-szolgáltatásokkal, például az Automationnel, a KeyVaulttal és más windowsos vagy Linux rendszerű gépekkel.

• Ha befejezte a tesztelést, távolítsa el az Azure Csatlakozás ed Machine-ügynököt.