Een Azure Storage Mover-agent registreren
De Azure Storage Mover-service maakt gebruik van agents die de migratietaken uitvoeren die u in de service configureert. De agent is een apparaat op basis van virtuele machines dat u uitvoert op een virtualisatiehost, dicht bij de bronopslag.
U moet een agent registreren om een vertrouwensrelatie met uw Storage Mover-resource te maken. Met deze vertrouwensrelatie kan uw agent veilig migratietaken ontvangen en voortgang rapporteren. Agentregistratie kan plaatsvinden via het openbare of privé-eindpunt van uw Storage Mover-resource. Een privé-eindpunt, ook wel de privékoppeling naar een resource genoemd, kan worden geïmplementeerd in een virtueel Azure-netwerk (VNet).
U kunt vanuit andere netwerken verbinding maken met een Azure-VNET, zoals een on-premises bedrijfsnetwerk. Dit type verbinding wordt gemaakt via een VPN-verbinding, zoals Azure Express Route. Raadpleeg de documentatie van Azure ExpressRoute en Azure Private Link voor meer informatie over deze aanpak.
Belangrijk
Momenteel kan Storage Mover worden geconfigureerd om migratiegegevens van de agent naar het doelopslagaccount via Private Link te routeren. Hybrid Compute-heartbeats en certificaten kunnen ook worden gerouteerd naar een privé-Azure Arc-service-eindpunt in uw virtuele netwerk (VNet). Sommige Storage Mover-verkeer kan niet worden gerouteerd via Private Link en wordt gerouteerd via het openbare eindpunt van een opslagmover-resource. Deze gegevens omvatten controleberichten, voortgangstelemetrie en logboeken kopiëren.
In dit artikel leert u hoe u een eerder geïmplementeerde virtuele machine (VM) van de Storage Mover-agent kunt registreren.
Vereisten
Er zijn twee vereisten die moeten worden voltooid voordat u een Azure Storage Mover-agent kunt registreren:
U moet een Azure Storage Mover-resource hebben geïmplementeerd.
Volg de stappen in het artikel Een opslagmover-resource maken om deze resource te implementeren in een Azure-abonnement en -regio van uw keuze.U moet de VM van de Azure Storage Mover-agent implementeren.
Volg de stappen in het azure Storage Mover-agent-VM-implementatieartikel om de agent-VM te maken en verbinding te maken met internet.
Registratieoverzicht
Het registratieproces van de agent maakt een vertrouwensrelatie tussen de agent en de Storage Mover-cloudresource. Met de vertrouwensrelatie kunt u de agent op afstand beheren en deze migratietaken toewijzen om uit te voeren.
Registratie wordt altijd gestart vanaf de agent. In het belang van beveiliging kan alleen de agent een vertrouwensrelatie tot stand brengen door contact op te stellen met de Storage Mover-service. De registratieprocedure maakt gebruik van uw Azure-referenties en -machtigingen voor de opslagmover-resource die u eerder hebt geïmplementeerd. Als u nog geen opslagmover-cloudresource of een agent-VM hebt geïmplementeerd, raadpleegt u de sectie Vereisten.
Stap 1: Verbinding maken met de agent-VM
De agent-VM is een apparaat. Het biedt een beheershell die de bewerkingen beperkt die u op deze computer kunt uitvoeren. Wanneer u verbinding maakt met de agent, wordt de shell geladen en krijgt u opties waarmee u rechtstreeks met de agent kunt communiceren. De agent-VM is echter een linux-apparaat en de functionaliteit voor kopiëren en plakken werkt vaak niet binnen het standaardhostvenster.
In plaats van het hostvenster te gebruiken, kunt u in plaats daarvan een SSH-verbinding gebruiken. Deze aanpak biedt de volgende voordelen:
- U kunt vanaf elke beheercomputer verbinding maken met de shell van de agent-VM en hoeft niet te worden aangemeld bij de host.
- Kopiëren/plakken wordt volledig ondersteund.
Voer vanaf een computer in hetzelfde subnet als de agent een ssh-opdracht uit:
ssh <AgentIpAddress> -l admin
Belangrijk
Een zojuist geïmplementeerde Storage Mover-agent heeft een standaardwachtwoord:
lokale gebruiker: standaardwachtwoord voor beheerder
: beheerder
U wordt gevraagd het standaardwachtwoord onmiddellijk te wijzigen nadat u eerst verbinding hebt gemaakt met een zojuist geïmplementeerde agent. Noteer het nieuwe wachtwoord, er is geen proces om het te herstellen. Als u uw wachtwoord kwijtraakt, wordt u vergrendeld vanuit de beheershell. Voor cloudbeheer is dit lokale beheerderswachtwoord niet vereist. Als de agent eerder is geregistreerd, kunt u deze nog steeds gebruiken voor migratietaken. Agenten zijn wegwerpbaar. Ze hebben weinig waarde buiten de huidige migratietaak die ze uitvoeren. U kunt altijd een nieuwe agent implementeren en deze gebruiken om de volgende migratietaak uit te voeren.
Stap 2: Netwerkconnectiviteit testen
Uw agent moet zijn verbonden met internet.
Wanneer u bent aangemeld bij de beheershell, kunt u de connectiviteitsstatus van de agents testen:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Selecteer menu-item 2) Netwerkconfiguratie.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Selecteer menu-item 3) Netwerkconnectiviteit testen.
Belangrijk
Ga alleen verder met de registratiestap wanneer uw netwerkconnectiviteitstest geen problemen retourneert.
Stap 3: De agent registreren
In deze stap registreert u uw agent bij de opslagmover-resource die u hebt geïmplementeerd in een Azure-abonnement. Maak verbinding met de beheershell van uw agent en selecteer vervolgens menu-item 4) Registreren:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
U wordt gevraagd om:
Abonnements-id
Naam van de resourcegroep
Resourcenaam voor opslagmover
Agentnaam: deze naam wordt weergegeven voor de agent in Azure Portal. Selecteer een naam die deze agent-VM duidelijk voor u identificeert. Raadpleeg de naamconventie van de resource om een ondersteunde naam te kiezen.
Private Link-bereik: geef de volledig gekwalificeerde resource-id van uw Private Link-bereik op als u privénetwerken gebruikt. Meer informatie over Azure Private Link vindt u in het azure Private Link-documentatieartikel .
Belangrijk
Als u Storage Mover hebt geconfigureerd om uw gegevens te migreren via Private Link, moet u de volledig gekwalificeerde resource-id van uw Private Link-bereik opgeven. Bijvoorbeeld:
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope
.
Nadat u deze waarden hebt opgegeven, probeert de agent zich te registreren. Tijdens het registratieproces moet u zich aanmelden bij Azure met referenties die machtigingen hebben voor uw abonnement en opslagmover-resource.
Belangrijk
De Azure-referenties die u voor registratie gebruikt, moeten eigenaarsmachtigingen hebben voor de opgegeven resourcegroep en opslagmover-resource.
Voor verificatie maakt de agent gebruik van de apparaatverificatiestroom met Microsoft Entra-id.
De agent geeft de verificatie-URL van het apparaat weer: https://microsoft.com/devicelogin en een unieke aanmeldingscode. Navigeer naar de weergegeven URL op een computer met internetverbinding, voer de code in en meld u aan bij Azure met uw referenties.
De agent geeft gedetailleerde voortgang weer. Zodra de registratie is voltooid, kunt u de agent zien in Azure Portal. Deze bevindt zich onder Geregistreerde agents in de opslagmover-resource waarmee u de agent hebt geregistreerd.
Verificatie en autorisatie
Voor naadloze verificatie met Azure en autorisatie voor verschillende Azure-resources wordt de agent geregistreerd bij de volgende Azure-services:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Azure Storage Mover-service
Registratie bij de Azure Storage-mover-service is zichtbaar en beheerbaar via de opslagmover-resource die u hebt geïmplementeerd in uw Azure-abonnement. Een geregistreerde agent is een ARM-resource (Azure Resource Manager). U kunt deze resource alleen maken via het registratieproces. U kunt gegevens over de resource opvragen vanuit elke Azure Resource Manager-client. Clients omvatten Azure Portal, Az PowerShell-module PowerShell en Az PowerShell module CLI.
U kunt naar deze ARM-resource (Azure Resource Manager) verwijzen als u migratietaken wilt toewijzen aan de specifieke agent-VM die symboliseert.
Azure Arc-service
De agent is ook geregistreerd bij de Azure Arc-service. Arc wordt gebruikt voor het toewijzen en onderhouden van een door Microsoft Entra beheerde identiteit voor deze geregistreerde agent.
Azure Storage Mover maakt gebruik van een door het systeem toegewezen beheerde identiteit. Een beheerde identiteit is een service-principal van een speciaal type dat alleen kan worden gebruikt met Azure-resources. Wanneer de beheerde identiteit wordt verwijderd, wordt de bijbehorende service-principal ook automatisch verwijderd.
Het verwijderingsproces wordt automatisch gestart wanneer u de registratie van de agent ongedaan maakt. Er zijn echter andere manieren om deze identiteit te verwijderen. Als u dit doet, wordt de geregistreerde agent inkapseld en moet de agent worden uitgeschreven. Alleen het registratieproces kan een agent ophalen om de Azure-identiteit correct te verkrijgen en te onderhouden.
Notitie
Tijdens de openbare preview is er een neveneffect van de registratie met de Azure Arc-service. Een afzonderlijke resource van het type Server-Azure Arc wordt ook geïmplementeerd in dezelfde resourcegroep als uw opslagmover-resource. U kunt de agent niet beheren via deze resource.
Het lijkt erop dat u aspecten van de opslagmover-agent kunt beheren via de Server-Azure Arc-resource , maar in de meeste gevallen kunt u dat niet. U kunt de agent het beste exclusief beheren via het deelvenster Geregistreerde agents in uw opslagresource of via de lokale beheershell.
Waarschuwing
Verwijder niet de Azure Arc-serverresource die is gemaakt voor een geregistreerde agent in dezelfde resourcegroep als de opslagmover-resource. De enige veilige tijd voor het verwijderen van deze resource is wanneer u de agent eerder hebt opgeheken waarop deze resource overeenkomt.
Autorisatie
De geregistreerde agent moet zijn gemachtigd voor toegang tot verschillende services en resources in uw abonnement. De beheerde identiteit is de manier om zijn identiteit te bewijzen. De Azure-service of -resource kan vervolgens bepalen of de agent gemachtigd is om er toegang toe te krijgen.
De agent wordt automatisch gemachtigd om te communiceren met de Storage Mover-service. U kunt deze autorisatie niet zien of beïnvloeden door de beheerde identiteit te vernietigen, bijvoorbeeld door de registratie van de agent ongedaan te maken.
Just-In-Time-autorisatie
Voor een migratietaak is toegang tot het doeleindpunt misschien wel de belangrijkste resource waarvoor een agent moet worden geautoriseerd. Autorisatie vindt plaats via op rollen gebaseerd toegangsbeheer. Voor een Azure Blob-container als doel wordt de beheerde identiteit van de geregistreerde agent toegewezen aan de ingebouwde rol Storage Blob Data Contributor
van de doelcontainer (niet het hele opslagaccount). Op dezelfde manier wordt bij het openen van een Azure-bestandssharedoel de beheerde identiteit van de geregistreerde agent toegewezen aan de ingebouwde rol Storage File Data Privileged Contributor
.
Deze toewijzingen worden gemaakt in de aanmeldcontext van de beheerder in Azure Portal. Daarom moet de beheerder lid zijn van de RBAC-rol (op rollen gebaseerd toegangsbeheer) 'Eigenaar' voor de doelcontainer. Deze toewijzing wordt just-in-time gemaakt wanneer u een migratietaak start. Op dit moment hebt u een agent geselecteerd om een migratietaak uit te voeren. Als onderdeel van deze startactie krijgt de agent machtigingen voor het gegevensvlak van de doelcontainer. De agent is niet gemachtigd om beheervlakacties uit te voeren, zoals het verwijderen van de doelcontainer of het configureren van functies erop.
Waarschuwing
Toegang wordt verleend aan een specifieke agent just-in-time voor het uitvoeren van een migratietaak. De autorisatie van de agent voor toegang tot het doel wordt echter niet automatisch verwijderd. U moet de beheerde identiteit van de agent handmatig verwijderen uit een specifiek doel of de registratie van de agent ongedaan maken om de service-principal te vernietigen. Met deze actie worden alle doelopslagautorisatie en de mogelijkheid van de agent verwijderd om te communiceren met de Storage Mover- en Azure Arc-services.
Volgende stappen
Definieer uw bron- en doeleindpunten ter voorbereiding op het migreren van uw gegevens.