Come registrare un agente di Spostamento archiviazione di Azure
Il servizio Spostamento archiviazione di Azure usa gli agenti per eseguire i processi di migrazione configurati nel servizio. L'agente è un'appliance basata su macchina virtuale eseguita in un host di virtualizzazione, vicino all'archiviazione di origine.
È necessario registrare un agente per creare una relazione di trust con la risorsa di Spostamento archiviazione. Questo trust consente all'agente di ricevere in modo sicuro i processi di migrazione e segnalare lo stato di avanzamento. La registrazione dell'agente può verificarsi tramite l'endpoint pubblico o privato della risorsa di Spostamento archiviazione. Un endpoint privato, noto anche come collegamento privato a una risorsa, può essere distribuito in una rete virtuale (VNet) di Azure.
È possibile connettersi a una rete virtuale di Azure da altre reti, ad esempio una rete aziendale locale. Questo tipo di connessione viene effettuato tramite una connessione VPN, ad esempio Azure ExpressRoute. Per altre informazioni su questo approccio, vedere la documentazione di Azure ExpressRoute e Collegamento privato di Azure.
Importante
Attualmente, Spostamento archiviazione può essere configurato per instradare i dati di migrazione dall'agente all'account di archiviazione di destinazione tramite collegamento privato. Gli heartbeat e i certificati di calcolo ibrido possono anche essere instradati a un endpoint del servizio Azure Arc privato nella rete virtuale (VNet). Il traffico di Spostamento archiviazione non può essere instradato tramite collegamento privato e viene instradato sull'endpoint pubblico di una risorsa di Spostamento archiviazione. Questi dati includono messaggi di controllo, dati di telemetria dello stato e log di copia.
Questo articolo illustra come registrare correttamente una macchina virtuale (VM) dell'agente di Spostamento archiviazione distribuita in precedenza.
Prerequisiti
Prima di poter registrare un agente di Spostamento archiviazione di Azure, è necessario completare due prerequisiti:
È necessario distribuire una risorsa di Spostamento archiviazione di Azure.
Seguire la procedura descritta nell'articolo Creare una risorsa di Spostamento archiviazione per distribuire questa risorsa in una sottoscrizione di Azure e in un'area di propria scelta.È necessario distribuire la macchina virtuale dell'agente di Spostamento archiviazione di Azure.
Seguire la procedura descritta nell'articolo Distribuzione di macchine virtuali dell'agente di Spostamento archiviazione di Azure per creare la macchina virtuale dell'agente e connetterla a Internet.
Panoramica della registrazione
Il processo di registrazione dell'agente crea un trust tra l'agente e la risorsa cloud di Spostamento archiviazione. L'attendibilità consente di gestire in remoto l'agente e di assegnare i processi di migrazione da eseguire.
La registrazione viene sempre avviata dall'agente. Nell'interesse della sicurezza, solo l'agente può stabilire una relazione di trust raggiungendo il servizio Spostamento archiviazione. La procedura di registrazione usa le credenziali e le autorizzazioni di Azure per la risorsa di Spostamento archiviazione distribuita in precedenza. Se non è ancora stata distribuita una risorsa cloud dello Spostamento archiviazione o una macchina virtuale agente, vedere la sezione prerequisiti.
Passaggio 1: Connettersi alla macchina virtuale dell'agente
La macchina virtuale dell'agente è un'appliance. Offre una shell amministrativa che limita le operazioni che è possibile eseguire in questo computer. Quando ci si connette all'agente, la shell carica e fornisce opzioni che consentono di interagire direttamente con esso. Tuttavia, la macchina virtuale dell'agente è un'appliance basata su Linux e la funzionalità copia e incolla spesso non funziona all'interno della finestra host predefinita.
Anziché usare la finestra host, prendere in considerazione l'uso di una connessione SSH. Questo approccio offre i vantaggi seguenti:
- È possibile connettersi alla shell della macchina virtuale dell'agente da qualsiasi computer di gestione e non è necessario accedere all'host.
- Copia/incolla è completamente supportato.
Da un computer nella stessa subnet dell'agente eseguire un comando ssh:
ssh <AgentIpAddress> -l admin
Importante
Un agente di Spostamento archiviazione appena distribuito ha una password predefinita:
Utente locale: Amministratore
Password predefinita: Amministratore
La modifica della password predefinita viene richiesta subito dopo la prima connessione a un agente appena distribuito. Prendere nota della nuova password in quanto non esiste alcun processo per recuperarla. La perdita della password impedisce all'utente di accedere alla shell amministrativa. La gestione cloud non richiede la password di amministratore locale. Se l'agente è stato registrato in precedenza, è comunque possibile usarlo per i processi di migrazione. Gli agenti possono essere eliminati. Hanno un’importanza minima rispetto al processo di migrazione corrente in esecuzione. È sempre possibile distribuire un nuovo agente e usarlo per eseguire il processo di migrazione successivo.
Passaggio 2: Testare la connettività di rete
L'agente deve essere connesso a Internet.
Dopo aver eseguito l'accesso alla shell amministrativa, è possibile testare lo stato di connettività degli agenti:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Selezionare la voce di menu 2) Configurazione di rete.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Selezionare la voce di menu 3) Testare la connettività di rete.
Importante
Procedere al passaggio di registrazione solo quando il test di connettività di rete non restituisce problemi.
Passaggio 3: Registrare l'agente
In questo passaggio si registra l'agente con la risorsa di Spostamento archiviazione distribuita in una sottoscrizione di Azure. Connettersi alla shell amministrativa dell'agente, quindi selezionare la voce di menu 4) Registra:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Viene richiesto di:
ID sottoscrizione
Nome del gruppo di risorse
Nome della risorsa di Spostamento archiviazione
Nome agente: questo nome viene visualizzato per l'agente nel portale di Azure. Selezionare un nome che identifichi chiaramente la macchina virtuale dell'agente. Fare riferimento alla convenzione di denominazione delle risorse per scegliere un nome supportato.
Ambito collegamento privato: specificare l'ID risorsa completo dell'ambito del collegamento privato se si utilizza la rete privata. Per altre informazioni sul collegamento privato di Azure, vedere l'articolo relativo al Collegamento privato di Azure.
Importante
Se è stato configurato Spostamento archiviazione per eseguire la migrazione dei dati tramite collegamento privato, è necessario specificare l'ID risorsa completo dell'ambito del collegamento privato. Ad esempio:
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Dopo aver specificato questi valori, l'agente tenterà la registrazione. Durante il processo di registrazione, è necessario accedere ad Azure con credenziali che dispongono delle autorizzazioni per la sottoscrizione e la risorsa di spostamento dell'archiviazione.
Importante
Le credenziali di Azure usate per la registrazione devono avere le autorizzazioni di proprietario per il gruppo di risorse e la risorsa di Spostamento archiviazione specificati.
Per l'autenticazione, l'agente usa il flusso di autenticazione del dispositivo con Microsoft Entra ID.
L'agente visualizza l'URL di autenticazione del dispositivo: https://microsoft.com/devicelogin e un codice di accesso univoco. Andare all'URL visualizzato in un computer connesso a Internet, immettere il codice e accedere ad Azure con le credenziali.
L'agente visualizza lo stato di avanzamento dettagliato. Al termine della registrazione, è possibile visualizzare l'agente nel portale di Azure. Si trova in Agenti registrati nella risorsa di Spostamento archiviazione con cui è stato registrato l'agente.
Autenticazione e autorizzazione
Per eseguire l'autenticazione senza problemi con Azure e l'autorizzazione per varie risorse di Azure, l'agente viene registrato con i servizi di Azure seguenti:
- Spostamento archiviazione di Azure (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Servizio Spostamento archiviazione di Azure
La registrazione al servizio di Spostamento archiviazione di Azure è visibile e gestibile tramite la risorsa di Spostamento archiviazione distribuita nella sottoscrizione di Azure. Un agente registrato è una risorsa di Azure Resource Manager (ARM). È possibile creare questa risorsa solo tramite il processo di registrazione. È possibile eseguire query dettagliate sulla risorsa da qualsiasi client di Azure Resource Manager. I client includono il portale di Azure, il modulo Az PowerShell, PowerShell e l'interfaccia della riga di comando del modulo Az PowerShell.
È possibile fare riferimento a questa risorsa di Azure Resource Manager (ARM) quando si desidera assegnare processi di migrazione alla macchina virtuale dell'agente specifica che simboleggia.
Servizio Azure Arc
L'agente viene registrato anche con il servizio Azure Arc. Arc viene usato per assegnare e gestire un'identità gestita di Microsoft Entra per questo agente registrato.
Spostamento archiviazione di Azure usa un'identità gestita assegnata dal sistema. Un'identità gestita è un'entità servizio di un tipo speciale che è possibile usare solo con le risorse di Azure. Quando l'identità gestita viene eliminata, anche l'entità servizio corrispondente viene automaticamente rimossa.
Il processo di eliminazione viene avviato automaticamente quando si annulla la registrazione dell'agente. Esistono tuttavia altri modi per rimuovere questa identità. In questo modo l'agente registrato non è in grado di annullare la registrazione dell'agente. Solo il processo di registrazione può ottenere un agente per ottenere e mantenere correttamente l'identità di Azure.
Nota
Durante l'anteprima pubblica, si verifica un effetto collaterale della registrazione con il servizio Azure Arc. Una risorsa separata del tipo Server-Azure Arc viene distribuita anche nello stesso gruppo di risorse della risorsa di Spostamento archiviazione. Non sarà possibile gestire l'agente tramite questa risorsa.
Potrebbe sembrare che sia possibile gestire gli aspetti dell'agente di Spostamento archiviazione tramite la risorsa Server-Azure Arc, ma nella maggior parte dei casi non è possibile. È consigliabile gestire esclusivamente l'agente tramite il riquadro Agenti registrati nella risorsa di spostamento dell'archiviazione o tramite la shell amministrativa locale.
Avviso
Non eliminare la risorsa server di Azure Arc creata per un agente registrato nello stesso gruppo di risorse della risorsa di Spostamento archiviazione. L'unico momento sicuro per eliminare questa risorsa è quando l'agente è stato annullato in precedenza dalla registrazione a cui corrisponde questa risorsa.
Autorizzazione
L'agente registrato deve essere autorizzato ad accedere a diversi servizi e risorse nella sottoscrizione. L'identità gestita è il modo per dimostrare la propria identità. Il servizio o la risorsa di Azure può quindi decidere se l'agente è autorizzato ad accedervi.
L'agente è autorizzato automaticamente a conversare con il servizio Spostamento archiviazione. Non è possibile visualizzare o influenzare questa autorizzazione in breve tempo per eliminare definitivamente l'identità gestita, ad esempio annullando la registrazione dell'agente.
Autorizzazione JUST-in-time
Per un processo di migrazione, l'accesso all'endpoint di destinazione è forse la risorsa più importante per cui un agente deve essere autorizzato. L'autorizzazione avviene tramite il controllo degli accessi in base al ruolo. Per un contenitore BLOB di Azure come destinazione, l'identità gestita dell'agente registrato viene assegnata al ruolo Storage Blob Data Contributor predefinito del contenitore di destinazione (non all'intero account di archiviazione). Analogamente, quando si accede a una destinazione di condivisione file di Azure, l'identità gestita dell'agente registrato viene assegnata al ruolo Storage File Data Privileged Contributor predefinito.
Queste assegnazioni vengono effettuate nel contesto di accesso dell'amministratore nel portale di Azure. Pertanto, l'amministratore deve essere membro del ruolo del piano di controllo degli accessi in base al ruolo (RBAC) "Proprietario" per il contenitore di destinazione. Questa assegnazione viene eseguita just-in-time quando si avvia un processo di migrazione. A questo punto è stato selezionato un agente per eseguire un processo di migrazione. Come parte di questa azione di avvio, all'agente vengono concesse le autorizzazioni per il piano dati del contenitore di destinazione. L'agente non è autorizzato a eseguire azioni del piano di gestione, ad esempio l'eliminazione del contenitore di destinazione o la configurazione di eventuali funzionalità.
Avviso
L'accesso viene concesso a un agente specifico just-in-time per l'esecuzione di un processo di migrazione. Tuttavia, l'autorizzazione dell'agente per accedere alla destinazione non viene rimossa automaticamente. È necessario rimuovere manualmente l'identità gestita dell'agente da una destinazione specifica o annullare la registrazione dell'agente per eliminare definitivamente l'entità servizio. Questa azione rimuove tutte le autorizzazioni di archiviazione di destinazione e la possibilità dell'agente di comunicare con i servizi di Spostamento archiviazione e Azure Arc.
Passaggi successivi
Definire gli endpoint di origine e di destinazione in preparazione per la migrazione dei dati.