Verbinding maken hybride machines op schaal naar Azure

  • Artikel

U kunt servers met Azure Arc inschakelen voor meerdere Windows- of Linux-machines in uw omgeving met verschillende flexibele opties, afhankelijk van uw vereisten. Met behulp van het sjabloonscript dat we bieden, kunt u elke stap van de installatie automatiseren, inclusief het tot stand brengen van de verbinding met Azure Arc. U moet dit script echter handmatig uitvoeren met een account met verhoogde machtigingen op de doelcomputer en in Azure.

Een methode om de machines te verbinden met servers met Azure Arc is het gebruik van een Microsoft Entra-service-principal. Deze service-principalmethode kan worden gebruikt in plaats van uw bevoegde identiteit om de computer interactief te verbinden. Deze service-principal is een speciale beperkte beheeridentiteit die alleen de minimale machtiging heeft die nodig is om machines met Azure te verbinden met behulp van de azcmagent opdracht. Deze methode is veiliger dan het gebruik van een account met hogere bevoegdheden, zoals een Tenant Beheer istrator en volgt onze best practices voor beveiliging voor toegangsbeheer. De service-principal wordt alleen gebruikt tijdens onboarding; het wordt niet gebruikt voor andere doeleinden.

Controleer de volgende vereisten voordat u begint met het verbinden van uw machines:

  1. Zorg ervoor dat u beheerdersmachtigingen hebt voor de computers die u wilt onboarden.

    Beheer istrator-machtigingen zijn vereist voor het installeren van de Verbinding maken ed Machine-agent op de computers; op Linux met behulp van het hoofdaccount en in Windows als lid van de groep Local Beheer istrators.

  2. Controleer de vereisten en controleer of uw abonnement en resources voldoen aan de vereisten. U moet beschikken over de azure Verbinding maken ed Machine Onboarding-rol of de rol Inzender voor de resourcegroep van de machine. Zorg ervoor dat u de onderstaande Azure-resourceproviders vooraf registreert in uw doelabonnement.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (als u SQL Server-exemplaren van Arc wilt inschakelen)

    Meer informatie over hoe u dit doet: vereisten voor Azure-resourceproviders

    Zie ondersteunde Azure-regio's voor informatie over ondersteunde regio's en andere gerelateerde overwegingen. Bekijk ook onze planningshandleiding op schaal om inzicht te hebben in de ontwerp- en implementatiecriteria, evenals onze aanbevelingen voor beheer en bewaking.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Automatische verbinding voor SQL Server

Wanneer u een Windows- of Linux-server verbindt met Azure Arc waarop ook Microsoft SQL Server is geïnstalleerd, worden de SQL Server-exemplaren ook automatisch verbonden met Azure Arc. SQL Server ingeschakeld door Azure Arc biedt een gedetailleerde inventaris en aanvullende beheermogelijkheden voor uw SQL Server-exemplaren en -databases. Als onderdeel van het verbindingsproces wordt een extensie geïmplementeerd op uw server met Azure Arc en worden nieuwe functies toegepast op uw SQL Server en databases. Als u uw SQL-servers niet automatisch wilt verbinden met Azure Arc, kunt u zich afmelden door een tag toe te voegen aan de Windows- of Linux-server met de naam ArcSQLServerExtensionDeployment en waarde Disabled wanneer deze is verbonden met Azure Arc.

Zie Automatische verbinding beheren voor SQL Server ingeschakeld door Azure Arc voor meer informatie.

Een service-principal maken voor onboarding op schaal

U kunt een service-principal maken in Azure Portal of met behulp van Azure PowerShell.

Notitie

Als u een service-principal wilt maken, moet uw Microsoft Entra-tenant gebruikers toestaan toepassingen te registreren. Als dit niet het geval is, moet uw account lid zijn van de beheerdersrol Application Beheer istrator of Cloud Application Beheer istrator. Zie Machtigingen voor app-registratie delegeren in Microsoft Entra ID voor meer informatie over vereisten op tenantniveau. Als u serverfuncties met Arc wilt toewijzen, moet uw account lid zijn van de rol Eigenaar of Gebruikerstoegang Beheer istrator in het abonnement dat u wilt gebruiken voor onboarding.

Azure Portal

De Azure Arc-service in Azure Portal biedt een gestroomlijnde manier om een service-principal te maken die kan worden gebruikt om uw hybride machines te verbinden met Azure.

  1. Navigeer in Azure Portal naar Azure Arc en selecteer vervolgens Service-principals in het linkermenu.
  2. Selecteer Toevoegen.
  3. Voer een naam in voor uw service-principal.
  4. Kies of de service-principal toegang heeft tot een volledig abonnement of alleen tot een specifieke resourcegroep.
  5. Selecteer het abonnement (en de resourcegroep, indien van toepassing) waartoe de service-principal toegang heeft.
  6. Selecteer in de sectie Clientgeheim de duur waarvoor het gegenereerde clientgeheim wordt gebruikt. U kunt desgewenst een beschrijvende naam van uw keuze invoeren in het veld Beschrijving .
  7. Selecteer in de sectie Roltoewijzing azure Verbinding maken ed Machine Onboarding.
  8. Selecteer Maken.

Schermopname van het scherm voor het maken van de Azure Arc-service-principal in Azure Portal.

Azure PowerShell

U kunt Azure PowerShell gebruiken om een service-principal te maken met de cmdlet New-AzADServicePrincipal.

  1. Controleer de context van uw Azure PowerShell-sessie om ervoor te zorgen dat u in het juiste abonnement werkt. Gebruik Set-AzContext als u het abonnement wilt wijzigen.

    Get-AzContext

  2. Voer de volgende opdracht uit om een service-principal te maken en deze toe te wijzen aan de azure Verbinding maken ed Machine Onboarding-rol voor het geselecteerde abonnement. Nadat de service-principal is gemaakt, worden de toepassings-id en het geheim afgedrukt. Het geheim is 1 jaar geldig, waarna u een nieuw geheim moet genereren en scripts moet bijwerken met het nieuwe geheim.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    De waarden van de volgende eigenschappen worden gebruikt met parameters die worden doorgegeven aan het azcmagent:

    • De waarde van de eigenschap AppId wordt gebruikt voor de --service-principal-id parameterwaarde
    • De waarde van de eigenschap Secret wordt gebruikt voor de --service-principal-secret parameter die wordt gebruikt om de agent te verbinden.

Het installatiescript genereren vanuit Azure Portal

Het script voor het automatiseren van het downloaden en installeren en om de verbinding met Azure Arc tot stand te brengen, is beschikbaar via Azure Portal. Voer de volgende stappen uit om het proces te voltooien:

  1. Ga in een browser naar Azure Portal.

  2. Selecteer op de pagina Machines - Azure Arc linksboven toevoegen/maken en selecteer vervolgens Een machine toevoegen in de vervolgkeuzelijst.

  3. Selecteer op de pagina Servers toevoegen met Azure Arc de tegel Meerdere servers toevoegen en selecteer vervolgens Script genereren.

  4. Geef op de pagina Basisinformatie het volgende op:

    1. Selecteer het abonnement en de resourcegroep voor de machines.
    2. Selecteer in de vervolgkeuzelijst Regio de Azure-regio om de metagegevens van de servers op te slaan.
    3. Selecteer in de vervolgkeuzelijst Besturingssysteem het besturingssysteem waarop het script is geconfigureerd om te worden uitgevoerd.
    4. Als de machine communiceert door middel van een proxyserver, geeft u het volgende op: het IP-adres van de proxyserver, of de naam en het poortnummer die de machine zal gebruiken om met de proxyserver te communiceren. Met deze configuratie communiceert de agent via de proxyserver met behulp van het HTTP-protocol. Voer de waarde in de indeling http://<proxyURL>:<proxyport> in.
    5. Selecteer Volgende.
    6. Selecteer In de sectie Verificatie, onder de vervolgkeuzelijst Service-principal, Arc-for-servers. Selecteer vervolgens Volgende.

  5. Controleer, op de pagina Tags, de standaard Fysieke locatiecodes die worden voorgesteld. Voer vervolgens een waarde in, of geef één of meer Aangepaste codes op om uw standaarden te ondersteunen.

  6. Selecteer Volgende.

  7. Bekijk, op de pagina Het script downloaden en uitvoeren, de overzichtsgegevens. Selecteer vervolgens Downloaden. Als u nog wijzigingen wilt aanbrengen, selecteert u Vorige.

Voor Windows wordt u gevraagd om op te slaan OnboardingScript.ps1en voor Linux OnboardingScript.sh op uw computer.

De agent installeren en verbinding maken met Azure

Als u de scriptsjabloon maakt die u eerder hebt gemaakt, kunt u de Verbinding maken ed Machine-agent installeren en configureren op meerdere hybride Linux- en Windows-machines met behulp van het automatiseringsprogramma van uw organisatie. Het script voert vergelijkbare stappen uit die worden beschreven in de Verbinding maken hybride machines naar Azure vanuit het Azure Portal-artikel. Het verschil is in de laatste stap, waarbij u de verbinding met Azure Arc tot stand brengt met behulp van de azcmagent opdracht met behulp van de service-principal.

Hier volgen de instellingen die u configureert voor het gebruik van de azcmagent opdracht voor de service-principal.

  • service-principal-id : de unieke id (GUID) die de toepassings-id van de service-principal vertegenwoordigt.
  • service-principal-secret | Het wachtwoord van de service-principal.
  • tenant-id : de unieke id (GUID) die uw toegewezen exemplaar van Microsoft Entra-id vertegenwoordigt.
  • subscription-id : de abonnements-id (GUID) van uw Azure-abonnement waarin u de machines wilt opnemen.
  • resource-group : De naam van de resourcegroep waartoe u de verbonden machines wilt behoren.
  • location : Zie ondersteunde Azure-regio's. Deze locatie kan hetzelfde zijn als, of verschillen van, de locatie van de resourcegroep.
  • resource-name : (Optioneel) Gebruikt voor de Azure-resourceweergave van uw on-premises machine. Als u deze waarde niet opgeeft, wordt de hostnaam van de machine gebruikt.

U vindt meer informatie over het azcmagent opdrachtregelprogramma door de Azcmagent Reference te raadplegen.

Notitie

Het Windows PowerShell-script ondersteunt alleen uitvoering vanuit een 64-bits versie van Windows PowerShell.

Nadat u de agent hebt geïnstalleerd en geconfigureerd om verbinding te maken met servers met Azure Arc, gaat u naar Azure Portal om te controleren of de server verbinding heeft gemaakt. Bekijk uw computers in Azure Portal.

Schermopname van een geslaagde serververbinding in Azure Portal.

Volgende stappen