Azure에 하이브리드 머신을 대규모로 연결

  • 아티클
  • 읽는 데 13분 걸림

요구 사항에 따라 다양한 옵션을 유연하게 사용하여 사용자 환경에서 여러 Windows 또는 Linux 머신에 Azure Arc 지원 서버를 사용할 수 있습니다. 제공하는 템플릿 스크립트를 사용하여 Azure Arc 연결 설정 등 설치의 모든 단계를 자동화할 수 있습니다. 그러나 대상 머신 및 Azure에서 관리자 권한이 있는 계정을 사용하여 이 스크립트를 수동으로 실행해야 합니다.

컴퓨터를 Azure Arc 지원 서버에 연결하는 한 가지 방법은 Azure Active Directory 서비스 주체를 사용하는 것입니다. 컴퓨터를 대화형으로 연결하기 위해 권한 있는 ID 대신 이 서비스 주체 방법을 사용할 수 있습니다. 이 서비스 주체는 azcmagent 명령을 사용하여 컴퓨터를 Azure에 연결하는 데 필요한 최소한의 권한만 있는 특별한 제한된 관리 ID입니다. 이 방법은 테넌트 관리자와 같은 더 높은 권한의 계정을 사용하는 것보다 안전하며, 액세스 제어 보안 모범 사례를 준수하는 것입니다. 서비스 주체는 온보딩하는 동안에만 사용되며 다른 용도에는 사용되지 않습니다.

컴퓨터 연결을 시작하기 전에 다음 요구 사항을 검토합니다.

  1. 온보딩하려는 컴퓨터에 대한 관리자 권한이 있는지 확인합니다.

    컴퓨터에 Connected Machine Agent를 설치하려면 관리자 권한이 필요합니다. Linux에서는 루트 계정을 사용하고 Windows에서는 로컬 관리자 그룹의 멤버로 사용합니다.

  2. 사전 요구 사항을 검토하고 구독 및 리소스가 요구 사항을 충족하는지 확인합니다. 컴퓨터의 리소스 그룹에 대한 Azure Connected Machine 온보딩 역할 또는 기여자 역할이 있어야 합니다.

    지원되는 지역 및 기타 관련 고려 사항에 대한 자세한 내용은 Azure 지원 지역을 참조하세요. 또한 확장 계획 지침을 검토하여 설계 및 배포 기준뿐만 아니라 관리 및 모니터링 권장 사항을 파악합니다.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

대규모 온보딩을 위한 서비스 주체를 만듭니다.

Azure Portal에서 또는 Azure PowerShell을 사용하여 서비스 주체를 만들 수 있습니다.

참고

서비스 주체를 만들려면 Azure Active Directory 테넌트에서 사용자가 애플리케이션을 등록할 수 있도록 허용해야 합니다. 그렇지 않은 경우 계정은 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 관리 역할의 멤버여야 합니다. 테넌트 수준 요구 사항에 대한 자세한 내용은 Azure Active Directory에서 앱 등록 권한 위임을 참조하세요. Arc 지원 서버 역할을 할당하려면 계정이 온보딩에 사용하려는 구독에서 소유자 또는 사용자 액세스 관리자 역할의 멤버여야 합니다.

Azure portal

Azure Portal의 Azure Arc 서비스는 하이브리드 컴퓨터를 Azure에 연결하는 데 사용할 수 있는 서비스 주체를 만드는 간소화된 방법을 제공합니다.

  1. Azure Portal에서 Azure Arc로 이동한 다음 왼쪽 메뉴에서 서비스 주체를 선택합니다.
  2. 추가를 선택합니다.
  3. 서비스 주체의 이름을 입력합니다.
  4. 서비스 주체가 전체 구독 또는 특정 리소스 그룹에만 액세스할 수 있는지 여부를 선택합니다.
  5. 서비스 주체가 액세스할 수 있는 구독(및 해당하는 경우 리소스 그룹)을 선택합니다.
  6. 클라이언트 암호 섹션에서 생성된 클라이언트 암호를 사용할 기간을 선택합니다. 원하는 경우 설명 입력란에 식별 이름을 입력할 수 있습니다.
  7. 역할 할당 섹션에서 Azure Connected Machine 온보딩을 선택합니다.
  8. 만들기를 선택합니다.

Azure Portal의 Azure Arc 서비스 주체 만들기 화면 스크린샷.

Azure PowerShell

Azure PowerShell을 사용하여 New-AzADServicePrincipal cmdlet으로 서비스 주체를 만들 수 있습니다.

  1. Azure PowerShell 세션의 컨텍스트를 확인하여 올바른 구독에서 작업하고 있는지 확인합니다. 구독을 변경해야 하는 경우 Set-AzContext 를 사용합니다.

    Get-AzContext

  2. 다음 명령을 실행하여 서비스 주체를 만들고 선택한 구독에 대한 Azure Connected Machine 온보딩 역할을 할당합니다. 서비스 주체가 만들어지면 애플리케이션 ID 및 암호를 출력합니다. 비밀은 1년 동안 유효하며, 그 후에는 새 비밀을 생성하고 새 비밀로 스크립트를 업데이트해야 합니다.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    다음 속성의 값은 azcmagent로 전달되는 매개 변수와 함께 사용됩니다.

    • AppId 속성의 값은 매개 변수 값에 --service-principal-id 사용됩니다.
    • Secret 속성의 값은 에이전트를 --service-principal-secret 연결하는 데 사용되는 매개 변수에 사용됩니다.

Azure Portal에서 설치 스크립트 생성

다운로드 및 설치를 자동화하고 Azure Arc와의 연결을 설정하는 스크립트는 Azure Portal에서 사용할 수 있습니다. 프로세스를 완료하려면 다음 단계를 수행합니다.

  1. 브라우저에서 Azure Portal로 이동합니다.

  2. 서버 - Azure Arc 페이지에서 왼쪽 위에 있는 추가를 선택합니다.

  3. 메서드 선택 페이지에서 여러 서버 추가 타일을 선택한 다음, 스크립트 생성을 선택합니다.

  4. 스크립트 생성 페이지에서 머신을 Azure 내에서 관리하려는 구독 및 리소스 그룹을 선택합니다. 머신 메타데이터를 저장할 Azure 위치를 선택합니다. 이 위치는 리소스 그룹의 위치와 같을 수도 있고 다를 수도 있습니다.

  5. 필수 구성 요소 페이지에서 정보를 검토한 후, 다음: 리소스 세부 정보를 선택합니다.

  6. 리소스 세부 정보 페이지에서 다음을 제공합니다.

    1. 리소스 그룹 드롭다운 목록에서 머신을 관리할 리소스 그룹을 선택합니다.
    2. 지역 드롭다운 목록에서 서버 메타데이터를 저장할 Azure 지역을 선택합니다.
    3. 운영 체제 드롭다운 목록에서 스크립트가 실행되도록 구성된 운영 체제를 선택합니다.
    4. 머신이 인터넷에 연결하기 위해 프록시 서버를 통해 통신하는 경우 프록시 IP 주소 또는 머신에서 프록시 서버와 통신하는 데 사용할 이름과 포트 번호를 지정합니다. 이 구성을 사용하여 에이전트는 HTTP 프로토콜을 사용하는 프록시 서버를 통해 통신합니다. 해당 값을 http://<proxyURL>:<proxyport> 형식으로 입력합니다.
    5. 다음: 인증을 선택합니다.

  7. 인증 페이지의 서비스 주체 드롭다운 목록에서 Arc-for-servers를 선택합니다. 그런 다음, 다음: 태그를 선택합니다.

  8. 태그 페이지에서 제안된 기본 실제 위치 태그를 검토하고 값을 입력하거나 표준을 지원하는 사용자 지정 태그를 하나 이상 지정합니다.

  9. 완료되면 다음: 스크립트 다운로드 및 실행을 선택합니다.

  10. 스크립트 다운로드 및 실행 페이지에서 요약 정보를 검토한 다음, 다운로드를 선택합니다. 그래도 변경해야 하는 경우 이전을 선택합니다.

Windows의 경우 컴퓨터에 OnboardingScript.ps1을 저장하라는 메시지가, Linux의 경우 컴퓨터에 OnboardingScript.sh를 저장하라는 메시지가 표시됩니다.

에이전트를 설치하고 Azure에 연결

이전에 만든 스크립트 템플릿을 사용하면 조직에서 선호하는 자동화 도구를 사용해 여러 하이브리드 Linux 및 Windows 머신에 Connected Machine 에이전트를 설치하고 구성할 수 있습니다. 스크립트는 Azure Portal에서 Azure에 하이브리드 머신 연결 문서에서 설명된 단계와 비슷한 단계를 수행합니다. 차이점은 서비스 주체를 사용하여 azcmagent 명령으로 Azure Arc에 대한 연결을 설정하는 마지막 단계입니다.

다음은 azcmagent 명령이 서비스 주체에 사용하도록 구성하는 설정입니다.

  • service-principal-id: 서비스 주체의 애플리케이션 ID를 나타내는 고유 식별자(GUID)입니다.
  • service-principal-secret | 서비스 주체 암호입니다.
  • tenant-id : Azure AD의 전용 인스턴스를 나타내는 고유 식별자(GUID)입니다.
  • subscription-id : 머신을 만들려는 Azure 구독의 구독 ID(GUID)입니다.
  • resource-group : 연결된 머신을 배치할 리소스 그룹 이름입니다.
  • location : 지원되는 Azure 지역을 참조하세요. 이 위치는 리소스 그룹의 위치와 같을 수도 있고 다를 수도 있습니다.
  • resource-name : (선택 사항) 온-프레미스 머신의 Azure 리소스 표현에 사용됩니다. 이 값을 지정하지 않으면 머신 호스트 이름이 사용됩니다.

Azcmagent 참조를 검토하여 azcmagent 명령줄 도구에 대해 자세히 알아볼 수 있습니다.

참고

Windows PowerShell 스크립트는 Windows PowerShell 64비트 버전에서만 실행될 수 있습니다.

에이전트가 설치되고 Azure Arc 사용 서버에 연결하도록 구성되면 Azure Portal로 이동하여 서버가 성공적으로 연결되었는지 확인합니다. Azure Portal에서 머신을 확인합니다.

Azure Portal에서 성공적인 서버 연결을 보여 주는 스크린샷.

다음 단계