Menyambungkan komputer hibrid ke Azure dalam skala besar

  • Artikel

Anda dapat mengaktifkan server yang diaktifkan Azure Arc untuk beberapa komputer Windows atau Linux di lingkungan Anda dengan beberapa opsi fleksibel tergantung pada kebutuhan Anda. Dengan menggunakan skrip templat yang kami sediakan, Anda dapat mengotomatiskan setiap langkah penginstalan, termasuk membuat koneksi ke Azure Arc. Namun, Anda diharuskan untuk menjalankan skrip ini secara manual dengan akun yang memiliki izin yang ditingkatkan pada komputer target dan di Azure.

Salah satu metode untuk menyambungkan komputer ke server dengan dukungan Azure Arc adalah dengan menggunakan perwakilan layanan Microsoft Entra. Metode perwakilan layanan ini dapat digunakan alih-alih identitas istimewa Anda untuk menghubungkan komputer secara interaktif. Perwakilan layanan ini adalah identitas manajemen terbatas khusus yang hanya memiliki izin minimum yang diperlukan untuk menghubungkan komputer ke Azure menggunakan azcmagent perintah . Metode ini lebih aman daripada menggunakan akun istimewa yang lebih tinggi seperti Administrator Penyewa dan mengikuti praktik terbaik keamanan kontrol akses kami. Perwakilan layanan hanya digunakan selama orientasi; ini tidak digunakan untuk tujuan lain.

Sebelum Anda mulai menyambungkan komputer, tinjau persyaratan berikut:

  1. Pastikan Anda memiliki izin administrator pada komputer yang ingin Anda onboarding.

    Izin administrator diperlukan untuk menginstal agen Komputer yang Koneksi pada komputer; di Linux dengan menggunakan akun root, dan di Windows sebagai anggota grup Administrator Lokal.

  2. Tinjau prasyarat dan verifikasi bahwa langganan dan sumber daya Anda memenuhi persyaratan. Anda harus memiliki peran Azure Koneksi ed Machine Onboarding atau peran Kontributor untuk grup sumber daya komputer. Pastikan untuk mendaftarkan penyedia sumber daya Azure di bawah ini sebelumnya dalam langganan target Anda.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (jika Anda berencana untuk mengaktifkan Arc instans SQL Server)

    Lihat cara mendetail di sini: Prasyarat penyedia sumber daya Azure

    Untuk mendapatkan informasi tentang wilayah yang didukung dan pertimbangan terkait lainnya, lihat wilayah Azure yang didukung. Tinjau juga panduan perencanaan dalam skala besar kami untuk memahami kriteria desain dan penyebaran, serta rekomendasi manajemen dan pemantauan kami.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Koneksi otomatis untuk SQL Server

Saat Anda menyambungkan server Windows atau Linux ke Azure Arc yang juga menginstal Microsoft SQL Server, instans SQL Server juga akan secara otomatis terhubung ke Azure Arc. SQL Server yang diaktifkan oleh Azure Arc menyediakan inventarit terperinci dan kemampuan manajemen tambahan untuk instans dan database SQL Server Anda. Sebagai bagian dari proses koneksi, ekstensi disebarkan ke server berkemampuan Azure Arc Anda dan peran baru akan diterapkan ke SQL Server dan database Anda. Jika Anda tidak ingin menyambungkan SQL Server Anda secara otomatis ke Azure Arc, Anda dapat memilih keluar dengan menambahkan tag ke server Windows atau Linux dengan nama ArcSQLServerExtensionDeployment dan nilai Disabled saat tersambung ke Azure Arc.

Untuk informasi selengkapnya, lihat Mengelola koneksi otomatis untuk SQL Server yang diaktifkan oleh Azure Arc.

Membuat perwakilan layanan untuk onboarding dalam skala besar

Anda dapat membuat perwakilan layanan di portal Azure atau dengan menggunakan Azure PowerShell.

Catatan

Untuk membuat perwakilan layanan, penyewa Microsoft Entra Anda perlu mengizinkan pengguna mendaftarkan aplikasi. Jika tidak, akun Anda harus menjadi anggota peran administratif Administrator Aplikasi atau Administrator Aplikasi Cloud. Lihat Mendelegasikan izin pendaftaran aplikasi di ID Microsoft Entra untuk informasi selengkapnya tentang persyaratan tingkat penyewa. Untuk menetapkan peran server berkemampuan Arc, akun Anda harus menjadi anggota peran Pemilik atau Administrator Akses Pengguna dalam langganan yang ingin Anda gunakan untuk orientasi.

Portal Azure

Layanan Azure Arc di portal Azure menyediakan cara yang efisien untuk membuat perwakilan layanan yang dapat digunakan untuk menghubungkan komputer hibrid Anda ke Azure.

  1. Di portal Azure, navigasikan ke Azure Arc, lalu pilih Perwakilan layanan di menu sebelah kiri.
  2. Pilih Tambahkan.
  3. Masukkan nama untuk perwakilan layanan Anda.
  4. Pilih apakah perwakilan layanan akan memiliki akses ke seluruh langganan, atau hanya ke grup sumber daya tertentu.
  5. Pilih langganan (dan grup sumber daya, jika berlaku) yang akan diakses oleh perwakilan layanan.
  6. Di bagian Rahasia klien , pilih durasi rahasia klien yang Anda buat akan digunakan. Anda dapat memasukkan nama yang mudah diingat pilihan Anda di bidang Deskripsi .
  7. Di bagian Penetapan peran, pilih Azure Koneksi Machine Onboarding.
  8. Pilih Buat.

Cuplikan layar pembuatan perwakilan layanan Azure Arc di portal Azure.

Azure PowerShell

Anda dapat menggunakan Azure PowerShell untuk membuat perwakilan layanan dengan cmdlet New-AzADServicePrincipal.

  1. Periksa konteks sesi Azure PowerShell Anda untuk memastikan Anda bekerja dalam langganan yang benar. Gunakan Set-AzContext jika Anda perlu mengubah langganan.

    Get-AzContext

  2. Jalankan perintah berikut untuk membuat perwakilan layanan dan tetapkan peran Azure Koneksi ed Machine Onboarding untuk langganan yang dipilih. Setelah perwakilan layanan dibuat, perwakilan layanan akan mencetak ID aplikasi dan rahasia. Rahasia ini berlaku selama 1 tahun, setelah itu Anda harus membuat rahasia baru dan memperbarui skrip apa pun dengan rahasia baru.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    Nilai dari properti berikut digunakan dengan parameter yang diteruskan ke azcmagent :

    • Nilai dari properti AppId digunakan untuk --service-principal-id nilai parameter
    • Nilai dari properti Rahasia digunakan untuk parameter yang --service-principal-secret digunakan untuk menyambungkan agen.

Hasilkan skrip instalasi dari portal Microsoft Azure

Skrip untuk mengotomatiskan pengunduhan, instalasi, dan membangun koneksi dengan Azure Arc, tersedia dari portal Microsoft Azure. Untuk menyelesaikan proses, lakukan langkah-langkah berikut:

  1. Dari browser Anda, buka portal Microsoft Azure.

  2. Pada halaman Komputer - Azure Arc , pilih Tambahkan/Buat di kiri atas, lalu pilih Tambahkan komputer dari menu drop-down.

  3. Pada halaman Tambahkan server dengan Azure Arc , pilih petak Tambahkan beberapa server , lalu pilih Hasilkan skrip.

  4. Di halaman Dasar, sediakan hal-hal berikut:

    1. Pilih grup Langganan dan Sumber Daya untuk komputer.
    2. Di daftar turun bawah kawasan, pilih wilayah Azure untuk menyimpan metadata server.
    3. Di daftar drop down Sistem Operasi, pilih sistem operasi yang dikonfigurasi skrip untuk dijalankan.
    4. Jika komputer berkomunikasi melalui server proksi untuk tersambung ke internet, tentukan alamat IP server proksi atau nama dan nomor port yang akan digunakan komputer untuk berkomunikasi dengan server proksi. Dengan menggunakan konfigurasi ini, agen berkomunikasi melalui server proxy menggunakan protokol HTTP. Masukkan nilai dalam format http://<proxyURL>:<proxyport>.
    5. Pilih Selanjutnya.
    6. Di bagian Autentikasi , di bawah daftar drop-down Perwakilan layanan , pilih Arc-for-servers. Lalu pilih, Berikutnya.

  5. Pada halaman Tag, tinjau Tag lokasi fisik default yang disarankan dan masukkan nilai, atau tentukan satu atau beberapa Tag kustom untuk mendukung standar Anda.

  6. Pilih Selanjutnya.

  7. Pada halaman Unduh dan jalankan skrip, tinjau informasi ringkasan lalu pilih Unduh. Jika Anda masih perlu membuat perubahan, pilih Sebelumnya.

Untuk Windows, Anda diminta untuk menyimpanOnboardingScript.ps1, dan untuk Linux OnboardingScript.sh ke komputer Anda.

Memasang agen dan menyambungkan ke Azure

Mengambil templat skrip yang dibuat sebelumnya, Anda dapat menginstal dan mengonfigurasi Connected Machine agent pada beberapa komputer Linux dan Windows hibrida menggunakan alat automasi pilihan organisasi Anda. Skrip melakukan langkah serupa yang dijelaskan dalam Sambungkan komputer hibrid ke Azure dari artikel portal Microsoft Azure. Perbedaannya adalah pada langkah terakhir, di mana Anda menetapkan koneksi ke Azure Arc menggunakan azcmagent perintah menggunakan perwakilan layanan.

Berikut ini adalah pengaturan yang Anda konfigurasikan azcmagentperintah yang akan digunakan untuk perwakilan layanan.

  • service-principal-id : Pengidentifikasi unik (GUID) yang mewakili ID aplikasi dari perwakilan layanan.
  • service-principal-secret | Kata sandi perwakilan layanan.
  • tenant-id : Pengidentifikasi unik (GUID) yang mewakili instans khusus ID Microsoft Entra Anda.
  • subscription-id : ID langganan (GUID) dari langganan Azure yang Anda inginkan untuk komputer tersebut masuk.
  • resource-group : Nama grup sumber daya tempat Anda ingin komputer yang terhubung milik Anda.
  • location: Lihat wilayah Azure yang didukung. Lokasi ini dapat sama atau berbeda dengan lokasi grup sumber daya.
  • resource-name : (Opsional) Digunakan untuk representasi sumber daya Azure dari komputer lokal Anda. Jika Anda tidak menentukan nilai ini, nama host komputer digunakan.

Anda dapat mempelajari lebih lanjut tentang azcmagentalat baris perintah dengan meninjau Referensi Azcmagent.

Catatan

Skrip Windows PowerShell hanya mendukung berjalan dari Windows PowerShell versi 64-bit.

Setelah Anda menginstal agen dan mengonfigurasinya untuk menyambungkan ke server yang diaktifkan Azure Arc, buka portal Azure untuk memverifikasi bahwa server telah berhasil tersambung. Lihat mesin Anda di portal Microsoft Azure.

Cuplikan layar memperlihatkan koneksi server yang berhasil di portal Azure.

Langkah berikutnya

  • Tinjau Panduan Perencanaan dan penyebaran untuk merencanakan penerapan server yang diaktifkan Azure Arc dalam skala apa pun dan terapkan manajemen dan pemantauan terpusat.
  • Pelajari cara memecahkan masalah koneksi agen.
  • Pelajari cara mengelola komputer Anda menggunakan Azure Policy untuk hal-hal seperti konfigurasi tamu VM, memverifikasi bahwa komputer melaporkan ke ruang kerja Analitik Log yang diharapkan, memantau dengan wawasan VM, dan banyak lagi.