Connettere macchine virtuali ibride ad Azure su larga scala

È possibile abilitare i server abilitati per Azure Arc per più computer Windows o Linux nell'ambiente con diverse opzioni flessibili a seconda dei requisiti. Usando lo script modello fornito, è possibile automatizzare ogni passaggio dell'installazione, inclusa la connessione ad Azure Arc. Tuttavia, è necessario eseguire manualmente questo script con un account con autorizzazioni elevate nel computer di destinazione e in Azure.

Un metodo per connettere i computer ai server abilitati per Azure Arc consiste nell'usare un'entità servizio Microsoft Entra. Questo metodo dell'entità servizio può essere usato anziché l'identità con privilegi per connettere in modo interattivo il computer. Questa entità servizio è un'identità di gestione limitata speciale che dispone solo dell'autorizzazione minima necessaria per connettere i computer ad Azure usando il azcmagent comando . Questo metodo è più sicuro rispetto all'uso di un account con privilegi più elevati, ad esempio un tenant Amministrazione istrator e segue le procedure consigliate per la sicurezza del controllo di accesso. L'entità servizio viene usata solo durante l'onboarding; non viene utilizzato per altri scopi.

Prima di iniziare a connettere i computer, esaminare i requisiti seguenti:

  1. Assicurarsi di disporre dell'autorizzazione di amministratore per i computer di cui si vuole eseguire l'onboarding.

    Amministrazione istrator autorizzazioni sono necessarie per installare l'agente computer Connessione ed nei computer; in Linux usando l'account radice e in Windows come membro del gruppo Local Amministrazione istrators.

  2. Esaminare i prerequisiti e verificare che la sottoscrizione e le risorse soddisfino i requisiti. Sarà necessario avere il ruolo di onboarding del computer Connessione di Azure o il ruolo Collaboratore per il gruppo di risorse del computer. Assicurarsi di registrare in anticipo i provider di risorse di Azure seguenti nella sottoscrizione di destinazione.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (se si prevede di abilitare istanze di SQL Server)

    Vedere la procedura dettagliata qui: Prerequisiti dei provider di risorse di Azure

    Per informazioni sulle aree supportate e altre considerazioni correlate, vedere Aree di Azure supportate. Esaminare anche la guida alla pianificazione su larga scala per comprendere i criteri di progettazione e distribuzione, nonché le raccomandazioni di gestione e monitoraggio.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'entità servizio per l'onboarding su larga scala

È possibile creare un'entità servizio nella portale di Azure o usando Azure PowerShell.

Nota

Per creare un'entità servizio, il tenant di Microsoft Entra deve consentire agli utenti di registrare le applicazioni. In caso contrario, l'account deve essere membro del ruolo amministrativo applicazione Amministrazione istrator o applicazione cloud Amministrazione istrator. Per altre informazioni sui requisiti a livello di tenant, vedere Delegare le autorizzazioni di registrazione delle app in Microsoft Entra ID . Per assegnare ruoli server abilitati per Arc, l'account deve essere membro del ruolo Proprietario o Accesso utenti Amministrazione istrator nella sottoscrizione da usare per l'onboarding.

Azure portal

Il servizio Azure Arc nella portale di Azure offre un modo semplificato per creare un'entità servizio che può essere usata per connettere i computer ibridi ad Azure.

  1. Nella portale di Azure passare ad Azure Arc e quindi selezionare Entità servizio nel menu a sinistra.
  2. Selezionare Aggiungi.
  3. Immettere un nome per l'entità servizio.
  4. Scegliere se l'entità servizio avrà accesso a un'intera sottoscrizione o solo a un gruppo di risorse specifico.
  5. Selezionare la sottoscrizione (e il gruppo di risorse, se applicabile) a cui avrà accesso l'entità servizio.
  6. Nella sezione Segreto client selezionare la durata per cui verrà usato il segreto client generato. Facoltativamente, è possibile immettere un nome descrittivo di propria scelta nel campo Descrizione .
  7. Nella sezione Assegnazione di ruolo selezionare Azure Connessione ed Machine Onboarding.
  8. Seleziona Crea.

Screenshot of the Azure Arc service principal creation screen in the Azure portal.

Azure PowerShell

È possibile usare Azure PowerShell per creare un'entità servizio con il cmdlet New-AzADServicePrincipal.

  1. Controllare il contesto della sessione di Azure PowerShell per assicurarsi di lavorare nella sottoscrizione corretta. Usare Set-AzContext se è necessario modificare la sottoscrizione.

    Get-AzContext
    
  2. Eseguire il comando seguente per creare un'entità servizio e assegnargli il ruolo Di onboarding del computer Connessione ed di Azure per la sottoscrizione selezionata. Dopo aver creato l'entità servizio, verrà stampato l'ID applicazione e il segreto. Il segreto è valido per 1 anno, dopo il quale sarà necessario generare un nuovo segreto e aggiornare gli script con il nuovo segreto.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
    $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
    
    AppId                                Secret
    -----                                ------
    aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
    

    I valori delle proprietà seguenti vengono usati con i parametri passati al azcmagent:

    • Il valore della proprietà AppId viene usato per il valore del --service-principal-id parametro
    • Il valore della proprietà Secret viene usato per il --service-principal-secret parametro utilizzato per connettere l'agente.

Generare lo script di installazione dal portale di Azure

Lo script per automatizzare il download e l'installazione e stabilire la connessione con Azure Arc è disponibile nel portale di Azure. Per completare il processo, seguire questa procedura:

  1. Nel browser passare al portale di Azure.

  2. Nella pagina Computer - Azure Arc selezionare Aggiungi/Crea in alto a sinistra e quindi selezionare Aggiungi un computer dal menu a discesa.

  3. Nella pagina Aggiungi server con Azure Arc selezionare il riquadro Aggiungi più server e quindi selezionare Genera script.

  4. Nella pagina Informazioni di base specificare quanto segue:

    1. Selezionare la sottoscrizione e il gruppo di risorse per i computer.
    2. Nell'elenco a discesa Area selezionare l'area di Azure per archiviare i metadati dei server.
    3. Nell'elenco a discesa Sistema operativo selezionare il sistema operativo in cui è configurato lo script per l'esecuzione.
    4. Se il computer comunica tramite un server proxy per connettersi a Internet, specificare l'indirizzo IP del server proxy o il nome e il numero di porta che il computer userà per le comunicazioni. Usando questa configurazione, l'agente comunica tramite il server proxy usando il protocollo HTTP. Immettere il valore nel formato http://<proxyURL>:<proxyport>.
    5. Selezionare Avanti.
    6. Nell'elenco a discesa Entità servizio della sezione Autenticazione selezionare Arc-for-servers. Selezionare quindi Avanti.
  5. Nella pagina Tag esaminare l'impostazione predefinita e suggerita di Tag di località fisica e immettere un valore oppure specificare una o più opzioni per Tag personalizzati in base ai propri standard.

  6. Selezionare Avanti.

  7. Nella pagina Scarica ed esegui script esaminare le informazioni di riepilogo e quindi selezionare Scarica. Se occorre ancora apportare modifiche, selezionare Indietro.

Per Windows, viene richiesto di salvare OnboardingScript.ps1e per Linux OnboardingScript.sh nel computer.

Installare l'agente e connettersi ad Azure

Prendendo in considerazione il modello di script creato in precedenza, è possibile installare e configurare l'agente computer Connessione ed in più computer Linux e Windows ibridi usando lo strumento di automazione preferito delle organizzazioni. Lo script esegue passaggi simili descritti nell'articolo Connessione macchine ibride in Azure dall'articolo portale di Azure. La differenza è nel passaggio finale, in cui si stabilisce la connessione ad Azure Arc usando il azcmagent comando usando l'entità servizio.

Le impostazioni seguenti consentono di configurare il comando azcmagent da usare per l'entità servizio.

  • service-principal-id : identificatore univoco (GUID) che rappresenta l'ID applicazione dell'entità servizio.
  • service-principal-secret | Password dell'entità servizio.
  • tenant-id : identificatore univoco (GUID) che rappresenta l'istanza dedicata dell'ID Microsoft Entra.
  • subscription-id : ID sottoscrizione (GUID) della sottoscrizione di Azure in cui si vogliono usare i computer.
  • resource-group : nome del gruppo di risorse a cui si desidera che i computer connessi appartengano.
  • location : vedere le aree di Azure supportate. La località può essere uguale o diversa da quella del gruppo di risorse.
  • resource-name : (Facoltativo) Usato per la rappresentazione delle risorse di Azure del computer locale. Se non si specifica questo valore, viene usato il nome host del computer.

Per altre informazioni sullo strumento della riga di comando azcmagent, vedere la pagina relativa al riferimento Azcmagent.

Nota

Lo script di Windows PowerShell supporta solo l'esecuzione da una versione a 64 bit di Windows PowerShell.

Dopo aver installato l'agente e configurato per la connessione ai server abilitati per Azure Arc, passare al portale di Azure per verificare che il server sia connesso correttamente. Visualizzare i computer nel portale di Azure.

Screenshot showing a successful server connection in the Azure portal.

Passaggi successivi

  • Vedere la Guida alla pianificazione e alla distribuzione per pianificare la distribuzione di server abilitati per Azure Arc su qualsiasi scala e implementare la gestione e il monitoraggio centralizzati.
  • Informazioni su come risolvere i problemi di connessione dell'agente.
  • Informazioni su come gestire i computer usando Criteri di Azure per operazioni quali la configurazione guest della macchina virtuale, verificare che i computer segnalino all'area di lavoro Log Analytics prevista, il monitoraggio con informazioni dettagliate sulle macchine virtuali e altro ancora.