Azure Arc-kompatibilis kiszolgálók kiértékelése Egy Azure-beli virtuális gépen
Figyelemfelhívás
Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Az Azure Arc-kompatibilis kiszolgálókat úgy tervezték, hogy segítsenek a helyszíni vagy más felhőkben futó kiszolgálók Azure-hoz való csatlakoztatásában. Általában nem csatlakoztatna Azure-beli virtuális gépet az Azure Archoz, mert ezekhez a virtuális gépekhez natív módon minden képesség elérhető. Az Azure-beli virtuális gépek már rendelkeznek képviseletekkel az Azure Resource Managerben, a virtuálisgép-bővítményekben, a felügyelt identitásokban és az Azure Policyban. Ha Azure Arc-kompatibilis kiszolgálókat próbál telepíteni egy Azure-beli virtuális gépre, hibaüzenet jelenik meg, amely szerint az nem támogatott.
Bár éles környezetben nem telepíthet Azure Arc-kompatibilis kiszolgálókat azure-beli virtuális gépekre, az Azure Arc-kompatibilis kiszolgálók csak kiértékelési és tesztelési célokra konfigurálhatók azure-beli virtuális gépeken való futtatásra. Ez a cikk bemutatja, hogyan készíthet elő azure-beli virtuális gépeket helyszíni kiszolgálóként tesztelési célokra.
Feljegyzés
A cikkben szereplő lépések az Azure-felhőben üzemeltetett virtuális gépekre szolgálnak. Az Azure Arc-kompatibilis kiszolgálók nem támogatottak az Azure Stack Hubon vagy az Azure Stack Edge-en futó virtuális gépeken.
Előfeltételek
- A fiók hozzá van rendelve a virtuális gép közreműködői szerepköréhez .
- Az Azure-beli virtuális gép az Azure Arc-kompatibilis kiszolgálók által támogatott operációs rendszert futtat. Ha nem rendelkezik Azure-beli virtuális géppel, üzembe helyezhet egy egyszerű Windows rendszerű virtuális gépet vagy egy egyszerű Ubuntu Linux 18.04 LTS virtuális gépet.
- Az Azure-beli virtuális gép kimenő kommunikációval töltheti le a Windowshoz készült Azure Csatlakozás ed Machine Agent-csomagot a Microsoft letöltőközpontból, a Linuxot pedig a Microsoft csomagtárából. Ha a kimenő internetkapcsolat az informatikai biztonsági szabályzatot követve korlátozott, manuálisan letöltheti az ügynökcsomagot, és átmásolhatja az Azure-beli virtuális gép egyik mappájába.
- A virtuális gépen emelt szintű (azaz rendszergazdai vagy gyökérszintű) jogosultságokkal rendelkező fiók, valamint a virtuális gép RDP- vagy SSH-hozzáférése.
- Az Azure-beli virtuális gép Azure Arc-kompatibilis kiszolgálókon való regisztrálásához és kezeléséhez tagja az Azure Csatlakozás gépi erőforrás-Rendszergazda istrator vagy közreműködői szerepkörnek az erőforráscsoportban.
Felkészülés
Az Azure-beli virtuális gép Azure Arc-kompatibilis kiszolgálóként való kezelésének megkezdéséhez a következő módosításokat kell végrehajtania az Azure-beli virtuális gépen, mielőtt telepítené és konfigurálhatja az Azure Arc-kompatibilis kiszolgálókat.
Távolítsa el az Azure-beli virtuális gépen üzembe helyezett virtuálisgép-bővítményeket, például a Log Analytics-ügynököt. Bár az Azure Arc-kompatibilis kiszolgálók számos olyan bővítményt támogatnak, mint az Azure-beli virtuális gépek, az Azure Csatlakozás ed Machine-ügynök nem tudja kezelni a virtuális gépen már üzembe helyezett virtuálisgép-bővítményeket.
Tiltsa le az Azure Windows- vagy Linux-vendégügynököt. Az Azure-beli virtuálisgép-vendégügynök az Azure Csatlakozás ed Machine-ügynökhöz hasonló célt szolgál. A kettő közötti ütközések elkerülése érdekében le kell tiltani az Azure-beli virtuálisgép-ügynököt. A letiltás után nem használhat virtuálisgép-bővítményeket vagy egyes Azure-szolgáltatásokat.
Hozzon létre egy biztonsági szabályt az Azure Instance Metadata Service (IMDS) hozzáférésének megtagadásához. Az IMDS egy REST API, amelyet az alkalmazások meghívhatnak, hogy információt szerezzenek a virtuális gép Azure-beli megjelenítéséről, beleértve annak erőforrás-azonosítóját és helyét. Az IMDS hozzáférést biztosít a géphez rendelt felügyelt identitásokhoz is. Az Azure Arc-kompatibilis kiszolgálók saját IMDS-implementációt biztosítanak, és információkat ad vissza a virtuális gép Azure Arc-ábrázolásáról. Annak érdekében, hogy elkerülje azokat a helyzeteket, amikor mindkét IMDS-végpont elérhető, és az alkalmazásoknak választaniuk kell a kettő között, letilthatja az Azure-beli virtuális gépek IMDS-hozzáférését, hogy az Azure Arc-kompatibilis kiszolgálóI IMDS-implementáció legyen az egyetlen elérhető.
A módosítások elvégzése után az Azure-beli virtuális gép úgy viselkedik, mint bármely, az Azure-on kívüli gép vagy kiszolgáló, és a szükséges kiindulópont az Azure Arc-kompatibilis kiszolgálók telepítéséhez és kiértékeléséhez.
Ha az Azure Arc-kompatibilis kiszolgálók konfigurálva lesznek a virtuális gépen, annak két ábrázolása jelenik meg az Azure-ban. Az egyik az Azure-beli virtuálisgép-erőforrás erőforrástípussal Microsoft.Compute/virtualMachines
, a másik pedig egy Azure Arc-erőforrás erőforrástípussal Microsoft.HybridCompute/machines
. A vendég operációs rendszer megosztott fizikai gazdagépkiszolgálóról való felügyeletének megakadályozása miatt a legjobban úgy gondolhatja a két erőforrást, hogy az Azure-beli virtuálisgép-erőforrás a virtuális gép virtuális hardvere, és szabályozhatja az energiaállapotot, és megtekintheti annak termékváltozatával, hálózatával és tárolási konfigurációjával kapcsolatos információkat. Az Azure Arc-erőforrás felügyeli a vendég operációs rendszert a virtuális gépen, és használható bővítmények telepítésére, az Azure Policy megfelelőségi adatainak megtekintésére és az Azure Arc-kompatibilis kiszolgálók által támogatott egyéb feladatok elvégzésére.
Azure-beli virtuális gép újrakonfigurálása
Feljegyzés
Windows esetén állítsa be a környezeti változót úgy, hogy felülbírálja az ARC-t egy Azure-beli virtuálisgép-telepítésen.
[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)
Távolítsa el a virtuálisgép-bővítményeket az Azure-beli virtuális gépen.
Az Azure Portalon lépjen az Azure-beli virtuálisgép-erőforrásra, és a bal oldali panelen válassza a Bővítmények lehetőséget. Ha bármilyen bővítmény telepítve van a virtuális gépen, jelölje ki egyenként az egyes bővítményeket, majd válassza az Eltávolítás lehetőséget. Várja meg az összes bővítmény eltávolítását, mielőtt továbblép a 2. lépésre.
Tiltsa le az Azure-beli virtuálisgép-vendégügynököt.
Az Azure-beli virtuálisgép-vendégügynök letiltásához csatlakozzon a virtuális géphez távoli asztali Csatlakozás ion (Windows) vagy SSH (Linux) használatával, és futtassa a következő parancsokat a vendégügynök letiltásához.
Windows esetén futtassa a következő PowerShell-parancsokat:
Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose Stop-Service WindowsAzureGuestAgent -Force -Verbose
Linux esetén futtassa a következő parancsokat:
sudo systemctl stop walinuxagent sudo systemctl disable walinuxagent
Az Azure IMDS-végponthoz való hozzáférés letiltása.
Feljegyzés
Az alábbi konfigurációkat a 169.254.169.254 és a 169.254.169.253-ra kell alkalmazni. Ezek az Azure-ban és az Azure Stack HCI-ben használt IMDS-végpontok.
Miközben továbbra is csatlakozik a kiszolgálóhoz, futtassa az alábbi parancsokat az Azure IMDS-végponthoz való hozzáférés letiltásához. Windows esetén futtassa a következő PowerShell-parancsot:
New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
Linux esetén tekintse meg a disztribúció dokumentációját a 80-ás TCP-porton keresztüli kimenő hozzáférés letiltásának legjobb módjáról
169.254.169.254/32
. Általában a beépített tűzfallal blokkolná a kimenő hozzáférést, de ideiglenesen iptables vagy nftables használatával is letilthatja.Ha az Azure-beli virtuális gép Ubuntu-t futtat, hajtsa végre a következő lépéseket a nem komplikált tűzfal (UFW) konfigurálásához:
sudo ufw --force enable sudo ufw deny out from any to 169.254.169.254 sudo ufw default allow incoming
Ha az Azure-beli virtuális gép CentOS, Red Hat vagy SU Standard kiadás Linux Enterprise Servert (SLES) futtat, hajtsa végre a következő lépéseket a tűzfallal való konfiguráláshoz:
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT sudo firewall-cmd --reload
Egyéb disztribúciók esetén tekintse meg a tűzfal dokumentációját, vagy konfiguráljon egy általános iptables-szabályt a következő paranccsal:
sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT
Feljegyzés
Az iptables konfigurációját minden újraindítás után be kell állítani, hacsak nem használ állandó iptables-megoldást.
Telepítse és konfigurálja az Azure Csatlakozás gép-ügynököt.
A virtuális gép készen áll az Azure Arc-kompatibilis kiszolgálók kiértékelésére. Az Azure Csatlakozás ed Machine-ügynök telepítéséhez és konfigurálásához tekintse meg Csatlakozás hibrid gépeket az Azure Portal használatával, és kövesse a lépéseket a telepítési szkript létrehozásához és a szkriptelt metódussal történő telepítéshez.
Feljegyzés
Ha a kimenő internetkapcsolat korlátozott az Azure-beli virtuális gépről, manuálisan is letöltheti az ügynökcsomagot. Másolja az ügynökcsomagot az Azure-beli virtuális gépre, és módosítsa az Azure Arc-kompatibilis kiszolgálók telepítési szkriptet a forrásmappára való hivatkozáshoz.
Ha elmulasztotta az egyik lépést, a telepítési szkript észleli, hogy egy Azure-beli virtuális gépen fut, és hiba miatt leáll. Ellenőrizze, hogy elvégezte-e az 1–3. lépést, majd futtassa újra a szkriptet.
Az Azure Arc csatlakozásának ellenőrzése
Miután telepítette és konfigurálta az ügynököt az Azure Arc-kompatibilis kiszolgálókon való regisztrálásra, lépjen az Azure Portalra, és ellenőrizze, hogy a kiszolgáló sikeresen csatlakozott-e. A gép megtekintése az Azure Portalon.
Következő lépések
Megtudhatja , hogyan tervezhet és engedélyezhet nagy számú gépet az Azure Arc-kompatibilis kiszolgálókon az alapvető biztonsági felügyeleti és monitorozási képességek konfigurálásának egyszerűsítése érdekében az Azure-ban.
Ismerje meg a támogatott Azure-beli virtuálisgép-bővítményeket , hogy egyszerűsítse az üzembe helyezést más Azure-szolgáltatásokkal, például az Automationnel, a KeyVaulttal és más windowsos vagy Linux rendszerű gépekkel.
Ha befejezte a tesztelést, távolítsa el az Azure Csatlakozás ed Machine-ügynököt.