Połączenie maszynach hybrydowych na platformę Azure na dużą skalę

  • Artykuł

Serwery z obsługą usługi Azure Arc można włączyć dla wielu maszyn z systemem Windows lub Linux w środowisku z kilkoma elastycznymi opcjami w zależności od wymagań. Korzystając ze skryptu szablonu, który udostępniamy, można zautomatyzować każdy krok instalacji, w tym nawiązanie połączenia z usługą Azure Arc. Należy jednak wykonać ten skrypt ręcznie przy użyciu konta z podwyższonym poziomem uprawnień na maszynie docelowej i na platformie Azure.

Jedną z metod łączenia maszyn z serwerami z obsługą usługi Azure Arc jest użycie jednostki usługi Microsoft Entra. Tej metody jednostki usługi można użyć zamiast tożsamości uprzywilejowanej, aby interaktywnie połączyć maszynę. Ta jednostka usługi to specjalna ograniczona tożsamość zarządzania, która ma tylko minimalne uprawnienia niezbędne do łączenia maszyn z platformą azcmagent Azure przy użyciu polecenia . Ta metoda jest bezpieczniejsza niż użycie konta uprzywilejowanego, takiego jak Administracja istrator dzierżawy i jest zgodne z naszymi najlepszymi rozwiązaniami w zakresie zabezpieczeń kontroli dostępu. Jednostka usługi jest używana tylko podczas dołączania; nie jest używany w żadnym innym celu.

Przed rozpoczęciem nawiązywania połączenia z maszynami zapoznaj się z następującymi wymaganiami:

  1. Upewnij się, że masz uprawnienia administratora na maszynach, które chcesz dołączyć.

    uprawnienia Administracja istratora są wymagane do zainstalowania Połączenie agenta maszyny na maszynach; w systemie Linux przy użyciu konta głównego i w systemie Windows jako członek grupy Lokalne Administracja istrators.

  2. Przejrzyj wymagania wstępne i sprawdź, czy subskrypcja i zasoby spełniają wymagania. Musisz mieć rolę dołączania maszyny Połączenie azure lub rolę Współautor dla grupy zasobów maszyny. Pamiętaj, aby wcześniej zarejestrować poniższych dostawców zasobów platformy Azure w subskrypcji docelowej.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (jeśli planujesz włączyć wystąpienia programu SQL Server z obsługą usługi Arc)

    Szczegółowe instrukcje można znaleźć tutaj: Wymagania wstępne dostawców zasobów platformy Azure

    Aby uzyskać informacje o obsługiwanych regionach i innych powiązanych zagadnieniach, zobacz obsługiwane regiony świadczenia usługi Azure. Zapoznaj się również z naszym przewodnikiem planowania na dużą skalę, aby zrozumieć kryteria projektowania i wdrażania, a także nasze zalecenia dotyczące zarządzania i monitorowania.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Automatyczne połączenie dla programu SQL Server

Po połączeniu serwera z systemem Windows lub Linux z usługą Azure Arc z zainstalowanym programem Microsoft SQL Server wystąpienia programu SQL Server również będą automatycznie połączone z usługą Azure Arc. Program SQL Server włączony przez usługę Azure Arc zapewnia szczegółowy spis i dodatkowe funkcje zarządzania dla wystąpień i baz danych programu SQL Server. W ramach procesu połączenia rozszerzenie jest wdrażane na serwerze z obsługą usługi Azure Arc, a nowe role zostaną zastosowane do programu SQL Server i baz danych. Jeśli nie chcesz automatycznie łączyć serwerów SQL z usługą Azure Arc, możesz zrezygnować, dodając tag do serwera z systemem Windows lub Linux o nazwie ArcSQLServerExtensionDeployment i wartości Disabled , gdy jest połączony z usługą Azure Arc.

Aby uzyskać więcej informacji, zobacz Zarządzanie automatycznym połączeniem dla programu SQL Server włączonego przez usługę Azure Arc.

Tworzenie jednostki usługi na potrzeby dołączania na dużą skalę

Jednostkę usługi można utworzyć w witrynie Azure Portal lub przy użyciu programu Azure PowerShell.

Uwaga

Aby utworzyć jednostkę usługi, dzierżawa firmy Microsoft Entra musi zezwolić użytkownikom na rejestrowanie aplikacji. Jeśli tak nie jest, Twoje konto musi być członkiem roli administracyjnej Application Administracja istrator lub Cloud Application Administracja istrator. Aby uzyskać więcej informacji na temat wymagań dotyczących poziomu dzierżawy, zobacz Delegowanie uprawnień rejestracji aplikacji w usłudze Microsoft Entra ID . Aby przypisać role serwera z obsługą usługi Arc, twoje konto musi być członkiem roli Właściciel lub Dostęp użytkowników Administracja istrator w subskrypcji, która ma być używana do dołączania.

Azure Portal

Usługa Azure Arc w witrynie Azure Portal zapewnia usprawniony sposób tworzenia jednostki usługi, która może służyć do łączenia maszyn hybrydowych z platformą Azure.

  1. W witrynie Azure Portal przejdź do usługi Azure Arc, a następnie wybierz pozycję Jednostki usługi w menu po lewej stronie.
  2. Wybierz Dodaj.
  3. Wprowadź nazwę jednostki usługi.
  4. Określ, czy jednostka usługi będzie miała dostęp do całej subskrypcji, czy tylko do określonej grupy zasobów.
  5. Wybierz subskrypcję (i grupę zasobów, jeśli ma to zastosowanie), do której jednostka usługi będzie miała dostęp.
  6. W sekcji Klucz tajny klienta wybierz czas trwania, dla którego będzie używany wygenerowany klucz tajny klienta. Opcjonalnie możesz wprowadzić przyjazną nazwę wybranego w polu Opis .
  7. W sekcji Przypisanie roli wybierz pozycję Azure Połączenie ed Machine Onboarding.
  8. Wybierz pozycję Utwórz.

Zrzut ekranu przedstawiający ekran tworzenia jednostki usługi Azure Arc w witrynie Azure Portal.

Azure PowerShell

Za pomocą programu Azure PowerShell można utworzyć jednostkę usługi za pomocą polecenia cmdlet New-AzADServicePrincipal.

  1. Sprawdź kontekst sesji programu Azure PowerShell, aby upewnić się, że pracujesz w odpowiedniej subskrypcji. Jeśli chcesz zmienić subskrypcję, użyj polecenia Set-AzContext .

    Get-AzContext

  2. Uruchom następujące polecenie, aby utworzyć jednostkę usługi i przypisać jej rolę dołączania maszyny azure Połączenie ed dla wybranej subskrypcji. Po utworzeniu jednostki usługi zostanie wyświetlony identyfikator aplikacji i wpis tajny. Wpis tajny jest ważny przez 1 rok, po którym należy wygenerować nowy wpis tajny i zaktualizować wszystkie skrypty przy użyciu nowego wpisu tajnego.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    Wartości z następujących właściwości są używane z parametrami przekazywanymi do elementu azcmagent:

    • Wartość właściwości AppId jest używana dla wartości parametru --service-principal-id
    • Wartość z właściwości Secret jest używana dla parametru używanego --service-principal-secret do łączenia agenta.

Generowanie skryptu instalacji w witrynie Azure Portal

Skrypt automatyzowania pobierania i instalacji oraz nawiązywania połączenia z usługą Azure Arc jest dostępny w witrynie Azure Portal. Aby ukończyć ten proces, wykonaj następujące czynności:

  1. W przeglądarce przejdź do witryny Azure Portal.

  2. Na stronie Maszyny — Azure Arc wybierz pozycję Dodaj/Utwórz w lewym górnym rogu, a następnie wybierz pozycję Dodaj maszynę z menu rozwijanego.

  3. Na stronie Dodawanie serwerów za pomocą usługi Azure Arc wybierz kafelek Dodaj wiele serwerów, a następnie wybierz pozycję Generuj skrypt.

  4. Na stronie Podstawy podaj następujące informacje:

    1. Wybierz subskrypcję i grupę zasobów dla maszyn.
    2. Z listy rozwijanej Region wybierz region świadczenia usługi Azure, aby przechowywać metadane serwerów.
    3. Z listy rozwijanej System operacyjny wybierz system operacyjny skonfigurowany do uruchamiania skryptu.
    4. Jeśli maszyna komunikuje się za pośrednictwem serwera proxy w celu nawiązania połączenia z Internetem, określ adres IP serwera proxy lub nazwę i numer portu, którego maszyna będzie używać do komunikacji z serwerem proxy. Przy użyciu tej konfiguracji agent komunikuje się za pośrednictwem serwera proxy przy użyciu protokołu HTTP. Wprowadź wartość w formacie http://<proxyURL>:<proxyport>.
    5. Wybierz Dalej.
    6. W sekcji Uwierzytelnianie na liście rozwijanej Jednostka usługi wybierz pozycję Arc-for-servers. Następnie wybierz pozycję Dalej.

  5. Na stronie Tagi przejrzyj sugerowane domyślne tagi lokalizacji fizycznej i wprowadź wartość lub określ co najmniej jeden tag niestandardowy do obsługi standardów.

  6. Wybierz Dalej.

  7. Na stronie Pobieranie i uruchamianie skryptu przejrzyj informacje podsumowania, a następnie wybierz pozycję Pobierz. Jeśli nadal musisz wprowadzać zmiany, wybierz pozycję Wstecz.

W przypadku systemu Windows zostanie wyświetlony monit o zapisanie OnboardingScript.ps1elementu i dla systemu Linux OnboardingScript.sh na komputerze.

Instalowanie agenta i nawiązywanie połączenia z platformą Azure

Korzystając z utworzonego wcześniej szablonu skryptu, można zainstalować i skonfigurować agenta maszyny Połączenie na wielu hybrydowych maszynach z systemami Linux i Windows przy użyciu preferowanego narzędzia automatyzacji w organizacji. Skrypt wykonuje podobne kroki opisane w artykule Połączenie maszyn hybrydowych do platformy Azure z witryny Azure Portal. Różnica polega na ostatnim kroku, w którym nawiązujesz połączenie z usługą Azure Arc przy użyciu polecenia przy użyciu azcmagent jednostki usługi.

Poniżej przedstawiono ustawienia, które konfigurują azcmagent polecenie do użycia dla jednostki usługi.

  • service-principal-id : unikatowy identyfikator (GUID), który reprezentuje identyfikator aplikacji jednostki usługi.
  • service-principal-secret | Hasło jednostki usługi.
  • tenant-id : unikatowy identyfikator (GUID), który reprezentuje twoje dedykowane wystąpienie identyfikatora Entra firmy Microsoft.
  • subscription-id : identyfikator subskrypcji (GUID) subskrypcji platformy Azure, w której mają być używane maszyny.
  • resource-group : nazwa grupy zasobów, do której mają należeć połączone maszyny.
  • location : Zobacz obsługiwane regiony platformy Azure. Ta lokalizacja może być taka sama lub inna, co lokalizacja grupy zasobów.
  • resource-name : (Opcjonalnie) Służy do reprezentacji zasobu platformy Azure na maszynie lokalnej. Jeśli nie określisz tej wartości, zostanie użyta nazwa hosta maszyny.

Aby dowiedzieć się więcej na temat azcmagent narzędzia wiersza polecenia, zapoznaj się z dokumentacją modułu Azcmagent.

Uwaga

Skrypt programu Windows PowerShell obsługuje tylko uruchamianie z 64-bitowej wersji programu Windows PowerShell.

Po zainstalowaniu agenta i skonfigurowaniu go w celu nawiązania połączenia z serwerami z obsługą usługi Azure Arc przejdź do witryny Azure Portal, aby sprawdzić, czy serwer został pomyślnie połączony. Wyświetl maszyny w witrynie Azure Portal.

Zrzut ekranu przedstawiający pomyślne połączenie serwera w witrynie Azure Portal.

Następne kroki

  • Zapoznaj się z przewodnikiem planowania i wdrażania, aby zaplanować wdrażanie serwerów z obsługą usługi Azure Arc w dowolnej skali i zaimplementować scentralizowane zarządzanie i monitorowanie.
  • Dowiedz się, jak rozwiązywać problemy z połączeniem agenta.
  • Dowiedz się, jak zarządzać maszynami przy użyciu usługi Azure Policy, aby uzyskać informacje o konfiguracji gościa maszyny wirtualnej, weryfikować, czy maszyny raportują do oczekiwanego obszaru roboczego usługi Log Analytics, monitorowania za pomocą szczegółowych informacji o maszynach wirtualnych i nie tylko.