Bagikan melalui

Mengevaluasi server yang diaktifkan Azure Arc pada mesin virtual Azure

  • Artikel

Server yang diaktifkan Azure Arc dirancang untuk membantu Anda menghubungkan server yang berjalan secara lokal atau di {i>cloud

Meskipun Anda tidak dapat menginstal server berkemampuan Azure Arc di Azure VM untuk skenario produksi, dimungkinkan untuk mengonfigurasi server dengan dukungan Azure Arc untuk berjalan di Azure VM hanya untuk tujuan evaluasi dan pengujian. Artikel ini memandikan Anda melalui cara menyiapkan Azure VM agar terlihat seperti server lokal untuk tujuan pengujian.

Catatan

Langkah-langkah dalam artikel ini ditujukan untuk komputer virtual yang dihost di cloud Azure. Server yang didukung Azure Arc tidak didukung di komputer virtual yang berjalan di Azure Stack Hub atau Azure Stack Edge.

Prasyarat

Paket

Untuk mulai mengelola Azure VM sebagai server yang diaktifkan Azure Arc, Anda perlu membuat perubahan berikut pada Azure VM sebelum dapat menginstal dan mengonfigurasi server yang diaktifkan Azure Arc.

  1. Hapus ekstensi VM apa pun yang disebarkan ke Azure VM, seperti agen Azure Monitor. Meskipun server dengan dukungan Azure Arc mendukung banyak ekstensi yang sama dengan Azure VM, agen Azure Connected Machine tidak dapat mengelola ekstensi VM yang sudah disebarkan ke VM.

  2. Nonaktifkan Azure Windows atau Linux Guest Agent. Agen tamu Azure VM melayani tujuan yang sama dengan agen Azure Connected Machine. Untuk menghindari konflik di antara keduanya, Azure VM Agent perlu dinonaktifkan. Setelah dinonaktifkan, Anda tidak dapat menggunakan ekstensi VM atau beberapa layanan Azure.

  3. Buat aturan keamanan untuk menolak akses ke Azure Instance Metadata Service (IMDS). IMDS adalah API REST yang dapat dihubungi aplikasi untuk mendapatkan informasi tentang representasi VM di Azure, termasuk ID sumber daya dan lokasinya. IMDS juga menyediakan akses ke identitas terkelola yang ditetapkan ke mesin. Server yang diaktifkan Azure Arc menyediakan implementasi IMDS mereka sendiri dan mengembalikan informasi tentang representasi Azure Arc dari mesin virtual. Untuk menghindari situasi di mana kedua titik akhir IMDS tersedia dan aplikasi harus memilih di antara keduanya, Anda memblokir akses ke Azure VM IMDS sehingga implementasi IMDS server yang diaktifkan Azure Arc menjadi satu-satunya yang tersedia.

Setelah Anda membuat perubahan ini, Azure VM Anda berperilaku seperti komputer atau server apa pun di luar Azure dan berada di titik awal yang diperlukan untuk menginstal dan mengevaluasi server yang didukung Azure Arc.

Saat server yang diaktifkan Azure Arc dikonfigurasi pada mesin virtual, Anda akan melihat dua representasinya di Azure. Salah satunya adalah sumber daya Azure VM, dengan Microsoft.Compute/virtualMachines tipe sumber daya, dan yang lainnya adalah sumber daya Azure Arc, dengan tipe Microsoft.HybridCompute/machines sumber daya. Sebagai hasil dari mencegah manajemen sistem operasi tamu dari server host fisik bersama, cara terbaik untuk memikirkan dua sumber daya adalah sumber daya Azure VM adalah perangkat keras virtual untuk VM Anda, dan memungkinkan Anda mengontrol status daya dan melihat informasi tentang konfigurasi SKU, jaringan, dan penyimpanannya. Sumber daya Azure Arc mengelola sistem operasi tamu di mesin virtual tersebut, dan dapat digunakan untuk menginstal ekstensi, melihat data kepatuhan untuk Azure Policy, dan menyelesaikan tugas lain yang didukung oleh server yang diaktifkan Azure Arc.

Konfigurasi ulang Azure VM

Catatan

Untuk Windows, atur variabel lingkungan untuk mengambil alih ARC pada penginstalan Azure VM.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

  1. Hapus ekstensi VM apa pun di Azure VM.

    Di portal Azure, navigasikan ke sumber daya Azure VM Anda dan dari panel kiri, pilih Ekstensi. Jika ada ekstensi yang terinstal pada VM, pilih setiap ekstensi satu per satu dan kemudian pilih bongkar. Tunggu hingga semua ekstensi selesai dihapus sebelum melanjutkan ke langkah 2.

  2. Nonaktifkan Agen Tamu Azure VM.

    Untuk menonaktifkan Agen Tamu Azure VM, sambungkan ke VM Anda menggunakan Koneksi Desktop Jauh (Windows) atau SSH (Linux) dan jalankan perintah berikut untuk menonaktifkan agen tamu.

    Untuk Windows, jalankan perintah PowerShell berikut:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

    Untuk Linux, jalankan perintah berikut:

    sudo systemctl stop walinuxagent
sudo systemctl disable walinuxagent

  3. Blokir akses ke titik akhir Azure IMDS.

    Catatan

    Konfigurasi di bawah ini perlu diterapkan untuk 169.254.169.254 dan 169.254.169.253. Ini adalah titik akhir yang digunakan untuk IMDS di Azure dan Azure Stack HCI masing-masing.

    Saat masih tersambung ke server, jalankan perintah berikut ini untuk memblokir akses ke titik akhir Azure IMDS. Untuk Windows, jalankan perintah PowerShell berikut:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

    Untuk Linux, lihat dokumentasi distribusi Anda untuk cara terbaik untuk memblokir akses keluar ke port 169.254.169.254/32 TCP 80. Biasanya Anda akan memblokir akses keluar dengan firewall bawaan, tetapi Anda juga dapat memblokirnya untuk sementara dengan iptable atau nftable.

    Jika Azure VM Anda menjalankan Ubuntu, lakukan langkah-langkah berikut untuk mengonfigurasi firewall yang tidak rumit (UFW):

    sudo ufw --force enable
sudo ufw deny out from any to 169.254.169.254
sudo ufw default allow incoming

    Jika Azure VM Anda menjalankan Red Hat, atau SUSE Linux Enterprise Server (SLES), lakukan langkah-langkah berikut untuk mengonfigurasi firewall:

    sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
sudo firewall-cmd --reload

    Untuk distribusi lain, konsultasikan dengan dokumen firewall Anda atau konfigurasikan aturan iptable generik dengan perintah berikut:

    sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT

    Catatan

    Konfigurasi iptables perlu diatur setelah setiap reboot kecuali solusi iptables persisten digunakan.

  4. Instal dan konfigurasikan agen Azure Connected Machine.

    Mesin virtual sekarang siap untuk Anda mulai mengevaluasi server yang diaktifkan Azure Arc. Untuk menginstal dan mengonfigurasi agen Azure Connected Machine, lihat Menyambungkan mesin hibrid menggunakan portal Azure dan ikuti langkah-langkah untuk membuat skrip penginstalan dan menginstal menggunakan metode berskrip.

    Catatan

    Jika konektivitas keluar ke internet dibatasi dari Azure VM, Anda dapat mengunduh paket agen secara manual. Salin paket agen ke Azure VM, dan ubah skrip penginstalan server yang diaktifkan Azure Arc untuk merujuk folder sumber.

Jika Anda melewatkan salah satu langkah, skrip penginstalan mendeteksi itu berjalan di Azure VM dan diakhiri dengan kesalahan. Pastikan Anda telah menyelesaikan langkah 1-3, lalu jalankan ulang skrip.

Memverifikasi koneksi dengan Azure Arc

Setelah menginstal dan mengonfigurasi agen untuk mendaftar dengan server yang diaktifkan Azure Arc, buka portal Microsoft Azure untuk memverifikasi bahwa server telah berhasil tersambung. Lihat komputer Anda di portal Microsoft Azure.

Sambungan server yang sukses

Langkah berikutnya