Jak zarejestrować agenta usługi Azure Storage Mover
Usługa Azure Storage Mover korzysta z agentów, którzy wykonują zadania migracji konfigurowane w usłudze. Agent to urządzenie oparte na maszynie wirtualnej, które jest uruchamiane na hoście wirtualizacji, w pobliżu magazynu źródłowego.
Musisz zarejestrować agenta, aby utworzyć relację zaufania z zasobem usługi Storage Mover. To zaufanie umożliwia agentowi bezpieczne odbieranie zadań migracji i raportowanie postępu. Rejestracja agenta może odbywać się za pośrednictwem publicznego lub prywatnego punktu końcowego zasobu usługi Storage Mover. Prywatny punkt końcowy, znany również jako link prywatny do zasobu, można wdrożyć w sieci wirtualnej platformy Azure.
Możesz nawiązać połączenie z siecią wirtualną platformy Azure z innych sieci, takich jak lokalna sieć firmowa. Ten typ połączenia odbywa się za pośrednictwem połączenia sieci VPN, takiego jak usługa Azure Express Route. Aby dowiedzieć się więcej na temat tego podejścia, zapoznaj się z dokumentacją usługi Azure ExpressRoute i usługi Azure Private Link .
Ważne
Obecnie usługę Storage Mover można skonfigurować pod kątem kierowania danych migracji z agenta do docelowego konta magazynu za pośrednictwem usługi Private Link. Hybrydowe pulsy obliczeniowe i certyfikaty można również kierować do prywatnego punktu końcowego usługi Azure Arc w sieci wirtualnej. Niektórych ruchu usługi Storage Mover nie można kierować za pośrednictwem usługi Private Link i jest kierowany przez publiczny punkt końcowy zasobu mover magazynu. Te dane obejmują komunikaty sterujące, dane telemetryczne postępu i kopiowanie dzienników.
Z tego artykułu dowiesz się, jak pomyślnie zarejestrować wcześniej wdrożona maszynę wirtualną agenta usługi Storage Mover.
Wymagania wstępne
Przed zarejestrowaniem agenta usługi Azure Storage Mover należy spełnić dwa wymagania wstępne:
Musisz mieć wdrożony zasób usługi Azure Storage Mover.
Wykonaj kroki opisane w artykule Tworzenie zasobu mover magazynu, aby wdrożyć ten zasób w wybranej subskrypcji i regionie platformy Azure.Musisz wdrożyć maszynę wirtualną agenta usługi Azure Storage Mover.
Wykonaj kroki opisane w artykule Wdrażanie maszyny wirtualnej agenta usługi Azure Storage Mover, aby utworzyć maszynę wirtualną agenta i połączyć ją z Internetem.
Omówienie rejestracji
Proces rejestracji agenta tworzy zaufanie między agentem a zasobem usługi Storage Mover w chmurze. Zaufanie umożliwia zdalne zarządzanie agentem i przypisywanie zadań migracji do wykonania.
Rejestracja jest zawsze inicjowana od agenta. W interesie zabezpieczeń tylko agent może ustanowić zaufanie, wychodząc do usługi Storage Mover. Procedura rejestracji korzysta z poświadczeń i uprawnień platformy Azure w wcześniej wdrożonym zasobie mover magazynu. Jeśli nie masz jeszcze wdrożonego zasobu chmury magazynu ani maszyny wirtualnej agenta, zapoznaj się z sekcją wymagań wstępnych.
Krok 1. Połączenie do maszyny wirtualnej agenta
Maszyna wirtualna agenta jest urządzeniem. Oferuje on powłokę administracyjną, która ogranicza operacje, które można wykonać na tym komputerze. Po nawiązaniu połączenia z agentem powłoka ładuje się i udostępnia opcje umożliwiające bezpośrednią interakcję z nim. Jednak maszyna wirtualna agenta jest urządzeniem opartym na systemie Linux, a funkcja kopiowania i wklejania często nie działa w domyślnym oknie hosta.
Zamiast korzystać z okna hosta, rozważ użycie połączenia SSH. Takie podejście zapewnia następujące korzyści:
- Możesz nawiązać połączenie z powłoką maszyny wirtualnej agenta z dowolnego komputera zarządzania i nie trzeba logować się do hosta.
- Kopiowanie/wklejanie jest w pełni obsługiwane.
Z maszyny w tej samej podsieci co agent uruchom polecenie SSH:
ssh <AgentIpAddress> -l admin
Ważne
Nowo wdrożony agent usługi Storage Mover ma domyślne hasło: Użytkownik lokalny:
domyślne hasło administratora
: administrator
Zostanie wyświetlony monit i zaleca się zmianę domyślnego hasła natychmiast po pierwszym nawiązaniu połączenia z nowo wdrożonym agentem. Zanotuj nowe hasło, nie ma procesu jego odzyskania. Utrata hasła blokuje cię z powłoki administracyjnej. Zarządzanie chmurą nie wymaga tego hasła administratora lokalnego. Jeśli agent został wcześniej zarejestrowany, nadal można go używać do zadań migracji. Agenci są jednorazowi. Mają niewielką wartość poza bieżącym zadaniem migracji, które wykonują. Zawsze można wdrożyć nowego agenta i użyć go do uruchomienia następnego zadania migracji.
Krok 2. Testowanie łączności sieciowej
Agent musi być połączony z Internetem.
Po zalogowaniu się do powłoki administracyjnej można przetestować stan łączności agentów:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Wybierz pozycję menu 2) Konfiguracja sieci.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Wybierz element menu 3) Testowanie łączności sieciowej.
Ważne
Przejdź tylko do kroku rejestracji, gdy test łączności sieciowej nie zwraca żadnych problemów.
Krok 3. Rejestrowanie agenta
W tym kroku zarejestrujesz agenta przy użyciu zasobu mover magazynu wdrożonego w subskrypcji platformy Azure. Połączenie do powłoki administracyjnej agenta, a następnie wybierz pozycję menu 4) Zarejestruj:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Zostanie wyświetlony monit o:
Identyfikator subskrypcji
Nazwa grupy zasobów
Nazwa zasobu mover magazynu
Nazwa agenta: ta nazwa jest wyświetlana dla agenta w witrynie Azure Portal. Wybierz nazwę, która wyraźnie identyfikuje tę maszynę wirtualną agenta. Zapoznaj się z konwencją nazewnictwa zasobów, aby wybrać obsługiwaną nazwę.
Zakres usługi Private Link: podaj w pełni kwalifikowany identyfikator zasobu zakresu usługi Private Link, jeśli korzystasz z sieci prywatnej. Więcej informacji na temat usługi Azure Private Link można znaleźć w artykule dokumentacji usługi Azure Private Link.
Ważne
Jeśli usługa Storage Mover została skonfigurowana do migrowania danych za pośrednictwem usługi Private Link, musisz podać w pełni kwalifikowany identyfikator zasobu zakresu usługi Private Link. Na przykład
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Po podaniu tych wartości agent podejmie próbę rejestracji. Podczas procesu rejestracji musisz zalogować się do platformy Azure przy użyciu poświadczeń, które mają uprawnienia do subskrypcji i zasobu mover magazynu.
Ważne
Poświadczenia platformy Azure używane do rejestracji muszą mieć uprawnienia właściciela do określonej grupy zasobów i zasobu mover magazynu.
W przypadku uwierzytelniania agent korzysta z przepływu uwierzytelniania urządzenia z identyfikatorem Entra firmy Microsoft.
Agent wyświetla adres URL uwierzytelniania urządzenia: https://microsoft.com/devicelogin i unikatowy kod logowania. Przejdź do wyświetlanego adresu URL na komputerze połączonym z Internetem, wprowadź kod i zaloguj się do platformy Azure przy użyciu swoich poświadczeń.
Agent wyświetla szczegółowy postęp. Po zakończeniu rejestracji możesz zobaczyć agenta w witrynie Azure Portal. Znajduje się on w obszarze Zarejestrowane agenci w zasobie mover magazynu, za pomocą którego zarejestrowano agenta.
Uwierzytelnianie i autoryzacja
Aby bezproblemowo przeprowadzić uwierzytelnianie za pomocą platformy Azure i autoryzacji dla różnych zasobów platformy Azure, agent jest zarejestrowany w następujących usługach platformy Azure:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Usługa Azure Storage Mover
Rejestracja w usłudze Azure Storage mover jest widoczna i zarządzalna za pośrednictwem zasobu mover magazynu wdrożonego w ramach subskrypcji platformy Azure. Zarejestrowany agent jest zasobem usługi Azure Resource Manager (ARM). Ten zasób można utworzyć tylko za pośrednictwem procesu rejestracji. Szczegółowe informacje o zasobie można wykonać za pomocą dowolnego klienta usługi Azure Resource Manager. Klienci obejmują witrynę Azure Portal, moduł Az programu PowerShell programu PowerShell i interfejs wiersza polecenia modułu Az programu PowerShell.
Możesz odwołać się do tego zasobu usługi Azure Resource Manager (ARM), gdy chcesz przypisać zadania migracji do określonej maszyny wirtualnej agenta, którą symbolizuje.
Usługa Azure Arc
Agent jest również zarejestrowany w usłudze Azure Arc. Usługa Arc służy do przypisywania i obsługi tożsamości zarządzanej firmy Microsoft dla tego zarejestrowanego agenta.
Usługa Azure Storage Mover używa przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana to jednostka usługi specjalnego typu, która może być używana tylko z zasobami platformy Azure. Po usunięciu tożsamości zarządzanej odpowiednia jednostka usługi zostanie również automatycznie usunięta.
Proces usuwania jest inicjowany automatycznie podczas wyrejestrowania agenta. Istnieją jednak inne sposoby usuwania tej tożsamości. W ten sposób nie można wyrejestrować zarejestrowanego agenta i wymagać wyrejestrowania agenta. Tylko proces rejestracji może uzyskać agenta w celu uzyskania i prawidłowego utrzymania tożsamości platformy Azure.
Uwaga
W publicznej wersji zapoznawczej występuje efekt uboczny rejestracji w usłudze Azure Arc. Oddzielny zasób typu Server-Azure Arc jest również wdrażany w tej samej grupie zasobów co zasób magazynu mover. Nie będzie można zarządzać agentem za pośrednictwem tego zasobu.
Może się wydawać, że możesz zarządzać aspektami agenta mover magazynu za pośrednictwem zasobu Server-Azure Arc , ale w większości przypadków nie można. Najlepiej jest zarządzać agentem wyłącznie za pomocą okienka Zarejestrowane agenci w magazynie przenieść zasób lub za pośrednictwem lokalnej powłoki administracyjnej.
Ostrzeżenie
Nie usuwaj zasobu serwera usługi Azure Arc utworzonego dla zarejestrowanego agenta w tej samej grupie zasobów co zasób magazynu mover. Jedynym bezpiecznym czasem usunięcia tego zasobu jest to, że wcześniej wyrejestrowany agent odpowiada temu zasobowi.
Autoryzacja
Zarejestrowany agent musi być autoryzowany do uzyskiwania dostępu do kilku usług i zasobów w ramach subskrypcji. Tożsamość zarządzana jest sposobem potwierdzenia tożsamości. Usługa lub zasób platformy Azure może następnie zdecydować, czy agent ma uprawnienia dostępu do niego.
Agent jest automatycznie autoryzowany do rozmowy z usługą Storage Mover. Nie możesz zobaczyć ani nie wpływać na tę autoryzację, nie niszcząc tożsamości zarządzanej, na przykład wyrejestrując agenta.
Autoryzacja just in time
W przypadku zadania migracji dostęp do docelowego punktu końcowego jest prawdopodobnie najważniejszym zasobem, dla którego agent musi być autoryzowany. Autoryzacja odbywa się za pośrednictwem kontroli dostępu opartej na rolach. W przypadku kontenera obiektów blob platformy Azure jako obiektu docelowego tożsamość zarządzana zarejestrowanego agenta jest przypisywana do wbudowanej roli Storage Blob Data Contributor kontenera docelowego (a nie całego konta magazynu). Podobnie w przypadku uzyskiwania dostępu do docelowego udziału plików platformy Azure tożsamość zarządzana zarejestrowanego agenta jest przypisywana do wbudowanej roli Storage File Data Privileged Contributor.
Te przypisania są wykonywane w kontekście logowania administratora w witrynie Azure Portal. W związku z tym administrator musi być członkiem roli płaszczyzny kontroli dostępu opartej na rolach (RBAC) "Właściciel" dla kontenera docelowego. To przypisanie jest wykonywane just in time podczas uruchamiania zadania migracji. W tym momencie wybrano agenta do wykonania zadania migracji. W ramach tej akcji uruchamiania agent otrzymuje uprawnienia do płaszczyzny danych kontenera docelowego. Agent nie jest autoryzowany do wykonywania żadnych akcji płaszczyzny zarządzania, takich jak usunięcie kontenera docelowego lub skonfigurowanie na nim żadnych funkcji.
Ostrzeżenie
Dostęp jest udzielany określonemu agentowi just in time na potrzeby uruchamiania zadania migracji. Jednak autoryzacja agenta w celu uzyskania dostępu do obiektu docelowego nie zostanie automatycznie usunięta. Aby zniszczyć jednostkę usługi, musisz ręcznie usunąć tożsamość zarządzaną agenta z określonego obiektu docelowego lub wyrejestrować agenta. Ta akcja powoduje usunięcie wszystkich docelowych autoryzacji magazynu, a także możliwość komunikowania się agenta z usługami Storage Mover i Azure Arc.
Następne kroki
Zdefiniuj źródłowe i docelowe punkty końcowe w ramach przygotowań do migracji danych.