Mengevaluasi server yang diaktifkan Azure Arc pada mesin virtual Azure
Perhatian
Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.
Server yang diaktifkan Azure Arc dirancang untuk membantu Anda menghubungkan server yang berjalan secara lokal atau di {i>cloud Meskipun Anda tidak dapat menginstal server berkemampuan Azure Arc di Azure VM untuk skenario produksi, dimungkinkan untuk mengonfigurasi server dengan dukungan Azure Arc untuk berjalan di Azure VM hanya untuk tujuan evaluasi dan pengujian. Artikel ini memandikan Anda melalui cara menyiapkan Azure VM agar terlihat seperti server lokal untuk tujuan pengujian. Catatan Langkah-langkah dalam artikel ini ditujukan untuk komputer virtual yang dihost di cloud Azure. Server yang didukung Azure Arc tidak didukung di komputer virtual yang berjalan di Azure Stack Hub atau Azure Stack Edge. Untuk mulai mengelola Azure VM sebagai server yang diaktifkan Azure Arc, Anda perlu membuat perubahan berikut pada Azure VM sebelum dapat menginstal dan mengonfigurasi server yang diaktifkan Azure Arc. Hapus ekstensi VM apa pun yang diterapkan ke Azure VM, seperti agen Analitik Log. Meskipun server dengan dukungan Azure Arc mendukung banyak ekstensi yang sama dengan Azure VM, agen Azure Koneksi ed Machine tidak dapat mengelola ekstensi VM yang sudah disebarkan ke VM. Nonaktifkan Azure Windows atau Linux Guest Agent. Agen tamu Azure VM melayani tujuan yang sama dengan agen Azure Koneksi ed Machine. Untuk menghindari konflik di antara keduanya, Azure VM Agent perlu dinonaktifkan. Setelah dinonaktifkan, Anda tidak dapat menggunakan ekstensi VM atau beberapa layanan Azure. Buat aturan keamanan untuk menolak akses ke Azure Instance Metadata Service (IMDS). IMDS adalah API REST yang dapat dihubungi aplikasi untuk mendapatkan informasi tentang representasi VM di Azure, termasuk ID sumber daya dan lokasinya. IMDS juga menyediakan akses ke identitas terkelola yang ditetapkan ke mesin. Server yang diaktifkan Azure Arc menyediakan implementasi IMDS mereka sendiri dan mengembalikan informasi tentang representasi Azure Arc dari mesin virtual. Untuk menghindari situasi di mana kedua titik akhir IMDS tersedia dan aplikasi harus memilih di antara keduanya, Anda memblokir akses ke Azure VM IMDS sehingga implementasi IMDS server yang diaktifkan Azure Arc menjadi satu-satunya yang tersedia. Setelah Anda membuat perubahan ini, Azure VM Anda berperilaku seperti komputer atau server apa pun di luar Azure dan berada di titik awal yang diperlukan untuk menginstal dan mengevaluasi server yang didukung Azure Arc. Saat server yang diaktifkan Azure Arc dikonfigurasi pada mesin virtual, Anda akan melihat dua representasinya di Azure. Salah satunya adalah sumber daya Azure VM, dengan Catatan Untuk windows, atur variabel lingkungan untuk mengambil alih ARC pada penginstalan Azure VM. Hapus ekstensi VM apa pun di Azure VM. Di portal Azure, navigasikan ke sumber daya Azure VM Anda dan dari panel kiri, pilih Ekstensi. Jika ada ekstensi yang terinstal pada VM, pilih setiap ekstensi satu per satu dan kemudian pilih bongkar. Tunggu hingga semua ekstensi selesai dihapus sebelum melanjutkan ke langkah 2. Nonaktifkan Agen Tamu Azure VM. Untuk menonaktifkan Agen Tamu Azure VM, sambungkan ke VM Anda menggunakan Koneksi ion Desktop Jauh (Windows) atau SSH (Linux) dan jalankan perintah berikut untuk menonaktifkan agen tamu. Untuk Windows, jalankan perintah PowerShell berikut: Untuk Linux, jalankan perintah berikut: Blokir akses ke titik akhir Azure IMDS. Saat masih tersambung ke server, jalankan perintah berikut ini untuk memblokir akses ke titik akhir Azure IMDS. Untuk Windows, jalankan perintah PowerShell berikut: Untuk Linux, lihat dokumentasi distribusi Anda untuk cara terbaik untuk memblokir akses keluar ke port Jika Azure VM Anda menjalankan Ubuntu, lakukan langkah-langkah berikut untuk mengonfigurasi firewall yang tidak rumit (UFW): Jika Azure VM Anda menjalankan CentOS, Red Hat, atau SUSE Linux Enterprise Server (SLES), lakukan langkah-langkah berikut untuk mengonfigurasi firewall: Untuk distribusi lain, konsultasikan dengan dokumen firewall Anda atau konfigurasikan aturan iptable generik dengan perintah berikut: Catatan Konfigurasi iptables perlu diatur setelah setiap reboot kecuali solusi iptables persisten digunakan. Instal dan konfigurasikan agen Azure Koneksi ed Machine. Mesin virtual sekarang siap untuk Anda mulai mengevaluasi server yang diaktifkan Azure Arc. Untuk menginstal dan mengonfigurasi agen Azure Koneksi ed Machine, lihat Koneksi mesin hibrid menggunakan portal Azure dan ikuti langkah-langkah untuk menghasilkan skrip penginstalan dan menginstal menggunakan metode skrip. Catatan Jika konektivitas keluar ke internet dibatasi dari Azure VM, Anda dapat mengunduh paket agen secara manual. Salin paket agen ke Azure VM, dan ubah skrip penginstalan server yang diaktifkan Azure Arc untuk merujuk folder sumber. Jika Anda melewatkan salah satu langkah, skrip penginstalan mendeteksi itu berjalan di Azure VM dan diakhiri dengan kesalahan. Pastikan Anda telah menyelesaikan langkah 1-3, lalu jalankan ulang skrip. Setelah menginstal dan mengonfigurasi agen untuk mendaftar dengan server yang diaktifkan Azure Arc, buka portal Microsoft Azure untuk memverifikasi bahwa server telah berhasil tersambung. Lihat komputer Anda di portal Microsoft Azure. Pelajari cara merencanakan dan mengaktifkan sejumlah besar mesin ke server yang diaktifkan Azure Arc untuk menyederhanakan konfigurasi manajemen keamanan penting dan kemampuan pemantauan di Azure. Pelajari tentang ekstensi VM Azure yang kami dukung yang tersedia untuk menyederhanakan penerapan dengan layanan Azure lainnya seperti Automation, KeyVault, dan lainnya untuk mesin Windows atau Linux Anda. Setelah Anda selesai menguji, hapus instalan agen Azure Koneksi ed Machine.Prasyarat
Paket
Microsoft.Compute/virtualMachines tipe sumber daya, dan yang lainnya adalah sumber daya Azure Arc, dengan tipe Microsoft.HybridCompute/machines sumber daya. Sebagai hasil dari mencegah manajemen sistem operasi tamu dari server host fisik bersama, cara terbaik untuk memikirkan dua sumber daya adalah sumber daya Azure VM adalah perangkat keras virtual untuk VM Anda, dan memungkinkan Anda mengontrol status daya dan melihat informasi tentang konfigurasi SKU, jaringan, dan penyimpanannya. Sumber daya Azure Arc mengelola sistem operasi tamu di mesin virtual tersebut, dan dapat digunakan untuk menginstal ekstensi, melihat data kepatuhan untuk Azure Policy, dan menyelesaikan tugas lain yang didukung oleh server yang diaktifkan Azure Arc.Konfigurasi ulang Azure VM
[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)
Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose
sudo systemctl stop walinuxagent
sudo systemctl disable walinuxagent
New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
169.254.169.254/32 TCP 80. Biasanya Anda akan memblokir akses keluar dengan firewall bawaan, tetapi Anda juga dapat memblokirnya untuk sementara dengan iptable atau nftable.sudo ufw --force enable
sudo ufw deny out from any to 169.254.169.254
sudo ufw default allow incoming
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
sudo firewall-cmd --reload
sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT
Memverifikasi koneksi dengan Azure Arc
Langkah berikutnya