Cara mendaftarkan agen Azure Storage Mover
Layanan Azure Storage Mover menggunakan agen yang melakukan pekerjaan migrasi yang Anda konfigurasikan dalam layanan. Agen adalah appliance berbasis komputer virtual yang Anda jalankan pada host virtualisasi, dekat dengan penyimpanan sumber.
Anda perlu mendaftarkan agen untuk membuat hubungan kepercayaan dengan sumber daya Storage Mover Anda. Kepercayaan ini memungkinkan agen Anda untuk menerima pekerjaan migrasi dengan aman dan melaporkan kemajuan. Pendaftaran agen dapat terjadi melalui titik akhir publik atau privat sumber daya Storage Mover Anda. Titik akhir privat, juga dikenal sebagai tautan privat ke sumber daya, dapat disebarkan di jaringan virtual Azure (VNet).
Anda dapat tersambung ke Azure VNET dari jaringan lain, seperti jaringan perusahaan lokal. Jenis koneksi ini dibuat melalui koneksi VPN seperti Azure Express Route. Untuk mempelajari selengkapnya tentang pendekatan ini, lihat dokumentasi Azure ExpressRoute dan Azure Private Link .
Penting
Saat ini, Storage Mover dapat dikonfigurasi untuk merutekan data migrasi dari agen ke akun penyimpanan tujuan melalui Private Link. Heartbeat dan sertifikat Komputasi Hibrid juga dapat dirutekan ke titik akhir layanan Azure Arc privat di jaringan virtual (VNet) Anda. Beberapa lalu lintas Storage Mover tidak dapat dirutekan melalui Private Link dan dirutekan melalui titik akhir publik sumber daya pemindah penyimpanan. Data ini mencakup pesan kontrol, telemetri kemajuan, dan log salin.
Dalam artikel ini, Anda mempelajari cara berhasil mendaftarkan komputer virtual (VM) agen Storage Mover yang disebarkan sebelumnya.
Prasyarat
Ada dua prasyarat yang harus diselesaikan sebelum Anda dapat mendaftarkan agen Azure Storage Mover:
Anda harus menyebarkan sumber daya Azure Storage Mover.
Ikuti langkah-langkah dalam artikel Membuat sumber daya penggerak penyimpanan untuk menyebarkan sumber daya ini di langganan Azure dan wilayah pilihan Anda.Anda perlu menyebarkan VM agen Azure Storage Mover.
Ikuti langkah-langkah dalam artikel penyebaran VM agen Azure Storage Mover untuk membuat VM agen dan menyambungkannya ke internet.
Gambaran umum pendaftaran
Proses pendaftaran agen menciptakan kepercayaan antara agen dan sumber daya cloud Storage Mover. Kepercayaan ini memungkinkan Anda mengelola agen dari jarak jauh dan menetapkan pekerjaan migrasi untuk dijalankan.
Pendaftaran selalu dimulai dari agen. Demi keamanan, hanya agen yang dapat membangun kepercayaan dengan menjangkau layanan Storage Mover. Prosedur pendaftaran menggunakan kredensial dan izin Azure Anda pada sumber daya pemindah penyimpanan yang sebelumnya telah Anda sebarkan. Jika Anda belum memiliki sumber daya cloud penggerak penyimpanan atau VM agen yang disebarkan, lihat bagian prasyarat.
Langkah 1: Sambungkan ke agen VM
VM agen adalah appliance. Ini menawarkan shell administratif yang membatasi operasi yang dapat Anda lakukan pada komputer ini. Saat Anda terhubung ke agen, shell memuat dan memberi Anda opsi yang memungkinkan Anda berinteraksi dengannya secara langsung. Namun, agen VM adalah appliance berbasis Linux, dan fungsionalitas salin dan tempel sering tidak berfungsi dalam jendela host default.
Daripada menggunakan jendela host, pertimbangkan untuk menggunakan koneksi SSH sebagai gantinya. Pendekatan ini memberikan keuntungan berikut:
- Anda dapat terhubung ke shell agen VM dari mesin manajemen apa pun dan tidak perlu masuk ke host.
- Salin/tempel didukung sepenuhnya.
Dari komputer pada subnet yang sama dengan agen, jalankan perintah ssh:
ssh <AgentIpAddress> -l admin
Penting
Agen Storage Mover yang baru disebarkan memiliki kata sandi default:
Pengguna lokal:
admin Kata sandi default: admin
Anda diminta untuk mengubah kata sandi default segera setelah pertama kali terhubung ke agen yang baru disebarkan. Catat kata sandi baru, tidak ada proses untuk memulihkannya. Kehilangan kata sandi akan mengunci Anda dari shell administratif. Manajemen cloud tidak memerlukan kata sandi admin lokal ini. Jika agen sebelumnya terdaftar, Anda masih dapat menggunakannya untuk pekerjaan migrasi. Agen dapat dibuang. Mereka memiliki sedikit nilai di luar pekerjaan migrasi saat ini yang mereka jalankan. Anda selalu dapat menyebarkan agen baru dan menggunakannya sebagai gantinya untuk menjalankan pekerjaan migrasi berikutnya.
Langkah 2: Uji konektivitas jaringan
Agen Anda harus terhubung ke internet.
Saat masuk ke shell administratif, Anda dapat menguji status konektivitas agen:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Pilih item menu 2) Konfigurasi jaringan.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Pilih item menu 3) Uji konektivitas jaringan.
Penting
Hanya lanjutkan ke langkah pendaftaran saat pengujian konektivitas jaringan Anda tidak mengembalikan masalah.
Langkah 3: Daftarkan agen
Dalam langkah ini, Anda mendaftarkan agen Anda dengan sumber daya pemindah penyimpanan yang telah Anda sebarkan dalam langganan Azure. Sambungkan ke shell administratif agen Anda, lalu pilih item menu 4) Daftar:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Anda diminta untuk:
ID Langganan
Nama grup sumber daya
Nama sumber daya pemindah penyimpanan
Nama agen: Nama ini ditampilkan untuk agen di portal Azure. Pilih nama yang mengidentifikasi VM agen ini dengan jelas untuk Anda. Lihat konvensi penamaan sumber daya untuk memilih nama yang didukung.
Cakupan Private Link: Berikan ID sumber daya yang sepenuhnya memenuhi syarat dari Cakupan Private Link Anda jika Anda menggunakan jaringan privat. Anda dapat menemukan informasi selengkapnya tentang Azure Private Link di artikel dokumentasi Azure Private Link.
Penting
Jika Anda telah mengonfigurasi Storage Mover untuk memigrasikan data Anda melalui Private Link, Anda harus memberikan ID sumber daya yang sepenuhnya memenuhi syarat dari Cakupan Private Link Anda. Contohnya,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Setelah Anda menyediakan nilai-nilai ini, agen akan mencoba pendaftaran. Selama proses pendaftaran, Anda diharuskan masuk ke Azure dengan kredensial yang memiliki izin ke sumber daya pemindah langganan dan penyimpanan Anda.
Penting
Kredensial Azure yang Anda gunakan untuk pendaftaran harus memiliki izin pemilik ke grup sumber daya dan sumber daya pemindah penyimpanan yang ditentukan.
Untuk autentikasi, agen menggunakan alur autentikasi perangkat dengan ID Microsoft Entra.
Agen menampilkan URL autentikasi perangkat: https://microsoft.com/devicelogin dan kode masuk unik. Navigasikan ke URL yang ditampilkan di komputer yang terhubung ke internet, masukkan kode, dan masuk ke Azure dengan kredensial Anda.
Agen menampilkan kemajuan terperinci. Setelah pendaftaran selesai, Anda dapat melihat agen di portal Azure. Ini berada di bawah Agen terdaftar di sumber daya penggerak penyimpanan yang telah Anda daftarkan agennya.
Autentikasi dan Otorisasi
Untuk mencapai autentikasi tanpa hambatan dengan Azure dan otorisasi ke berbagai sumber daya Azure, agen terdaftar dengan layanan Azure berikut:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Layanan Azure Storage Mover
Pendaftaran ke layanan pemindah Azure Storage terlihat dan dapat dikelola melalui sumber daya pemindah penyimpanan yang telah Anda sebarkan di langganan Azure Anda. Agen terdaftar adalah sumber daya Azure Resource Manager (ARM). Anda hanya dapat membuat sumber daya ini melalui proses pendaftaran. Anda dapat mengkueri detail tentang sumber daya dari klien Azure Resource Manager mana pun. Klien mencakup modul portal Azure, Az PowerShell PowerShell, dan CLI modul Az PowerShell.
Anda dapat mereferensikan sumber daya Azure Resource Manager (ARM) ini saat Anda ingin menetapkan pekerjaan migrasi ke VM agen tertentu yang dilambangkannya.
Layanan Azure Arc
Agen ini juga terdaftar dengan layanan Azure Arc. Arc digunakan untuk menetapkan dan memelihara identitas terkelola Microsoft Entra untuk agen terdaftar ini.
Azure Storage Mover menggunakan identitas terkelola yang ditetapkan sistem. Identitas terkelola adalah perwakilan layanan dari jenis khusus yang hanya dapat digunakan dengan sumber daya Azure. Saat identitas terkelola dihapus, perwakilan layanan yang sesuai juga dihapus secara otomatis.
Proses penghapusan secara otomatis dimulai ketika Anda membatalkan pendaftaran agen. Namun, ada cara lain untuk menghapus identitas ini. Melakukannya melumpuhkan agen terdaftar dan mengharuskan agen untuk tidak terdaftar. Hanya proses pendaftaran yang bisa mendapatkan agen untuk mendapatkan dan memelihara identitas Azure-nya dengan benar.
Catatan
Selama pratinjau publik, ada efek samping dari pendaftaran dengan layanan Azure Arc. Sumber daya terpisah dari jenis Server-Azure Arc juga disebarkan dalam grup sumber daya yang sama dengan sumber daya pemindah penyimpanan Anda. Anda tidak akan dapat mengelola agen melalui sumber daya ini.
Mungkin muncul bahwa Anda dapat mengelola aspek agen pemindah penyimpanan melalui sumber daya Server-Azure Arc , tetapi dalam banyak kasus Anda tidak dapat. Yang terbaik adalah mengelola agen secara eksklusif melalui panel Agen terdaftar di sumber daya pemindahan penyimpanan Anda atau melalui shell administratif lokal.
Peringatan
Jangan hapus sumber daya server Azure Arc yang dibuat untuk agen terdaftar dalam grup sumber daya yang sama dengan sumber daya pemindah penyimpanan. Satu-satunya waktu aman untuk menghapus sumber daya ini adalah ketika Anda sebelumnya membatalkan pendaftaran agen yang sesuai dengan sumber daya ini.
Authorization
Agen terdaftar perlu diotorisasi untuk mengakses beberapa layanan dan sumber daya dalam langganan Anda. Identitas terkelola adalah caranya untuk membuktikan identitasnya. Layanan atau sumber daya Azure kemudian dapat memutuskan apakah agen berwenang untuk mengaksesnya.
Agen secara otomatis berwenang untuk berkomunikasi dengan layanan Storage Mover. Anda tidak dapat melihat atau memengaruhi kekurangan otorisasi ini untuk menghancurkan identitas terkelola, misalnya dengan membatalkan pendaftaran agen.
Otorisasi just-in-time
Untuk pekerjaan migrasi, akses ke titik akhir target mungkin merupakan sumber daya terpenting yang harus diotorisasi oleh agen. Otorisasi berlangsung melalui kontrol akses berbasis Peran. Untuk kontainer blob Azure sebagai target, identitas terkelola agen terdaftar ditetapkan ke peran Storage Blob Data Contributor bawaan kontainer target (bukan seluruh akun penyimpanan). Demikian pula, saat mengakses target berbagi file Azure, identitas terkelola agen terdaftar ditetapkan ke peran Storage File Data Privileged Contributorbawaan .
Tugas ini dibuat dalam konteks masuk admin dalam portal Azure. Oleh karena itu, admin harus menjadi anggota peran sarana kontrol kontrol kontrol berbasis peran (RBAC) "Pemilik" untuk kontainer target. Penugasan ini dibuat tepat waktu saat Anda memulai pekerjaan migrasi. Pada titik inilah Anda telah memilih agen untuk menjalankan pekerjaan migrasi. Sebagai bagian dari tindakan mulai ini, agen diberi izin ke bidang data kontainer target. Agen tidak berwenang untuk melakukan tindakan bidang manajemen apa pun, seperti menghapus kontainer target atau mengonfigurasi fitur apa pun di dalamnya.
Peringatan
Akses diberikan kepada agen tertentu tepat waktu untuk menjalankan pekerjaan migrasi. Namun, otorisasi agen untuk mengakses target tidak dihapus secara otomatis. Anda harus menghapus identitas terkelola agen secara manual dari target tertentu atau membatalkan pendaftaran agen untuk menghancurkan perwakilan layanan. Tindakan ini menghapus semua otorisasi penyimpanan target serta kemampuan agen untuk berkomunikasi dengan layanan Storage Mover dan Azure Arc.
Langkah berikutnya
Tentukan titik akhir sumber dan target Anda sebagai persiapan untuk memigrasikan data Anda.