Compartilhar via


Como registrar um agente do Migrador de Armazenamento do Azure

O serviço Migrador de Armazenamento do Azure utiliza agentes para executar os trabalhos de migração configurados no serviço. O agente é um dispositivo baseado em máquina virtual que você executa em um host de virtualização, próximo ao armazenamento de origem.

Você precisa registrar um agente para criar uma relação de confiança com seu recurso do Storage Mover. Essa confiança permite que seu agente receba trabalhos de migração com segurança e relate o progresso. O registro do agente pode ocorrer no ponto de extremidade público ou privado do recurso do Storage Mover. Um ponto de extremidade privado, também conhecido como link privado para um recurso, pode ser implantado em uma rede virtual do Azure (VNet).

Você pode se conectar a uma VNET do Azure de outras redes, como uma rede corporativa local. Esse tipo de conexão é feito por meio de uma conexão VPN, como o Azure Express Route. Para saber mais sobre essa abordagem, consulte a documentação do Azure ExpressRoute e do Azure Private Link.

Importante

Atualmente, o Storage Mover pode ser configurado para rotear dados de migração do agente para a conta de armazenamento de destino pelo Private Link. Os pulsos e certificados de computação híbrida também podem ser roteados para um ponto de extremidade de serviço privado do Azure Arc em sua rede virtual (VNet). Parte do tráfego do Storage Mover não pode ser roteado por meio do Private Link e é roteado pelo ponto de extremidade público de um recurso do Storage Mover. Esses dados incluem mensagens de controle, telemetria de progresso e logs de cópia.

Neste artigo, você aprenderá a registrar com êxito uma VM (máquina virtual) do agente do Storage Mover implantada anteriormente.

Pré-requisitos

Há dois pré-requisitos a serem concluídos antes que você possa registrar um agente do Azure Storage Mover:

  1. Você precisa ter um recurso do Azure Storage Mover implantado.
    Siga as etapas no artigo Criar um recurso do migrador de armazenamento para implantar esse recurso em uma assinatura e região do Azure de sua escolha.

  2. Você precisa implantar a VM do agente do Azure Storage Mover.
    Siga as etapas no artigo de implantação de VM do agente do Mover de Armazenamento do Azure para criar a VM do agente e conectá-la à Internet.

Visão geral do registro

Image showing three components. The storage mover agent, deployed on-premises and close to the source data to be migrated. The storage mover cloud resource, deployed in an Azure resource group. And finally, a line connecting the two.

O processo de registro do agente cria uma relação de confiança entre o agente e o recurso de nuvem do Storage Mover. A relação de confiança permite que você gerencie remotamente o agente e atribua a ele trabalhos de migração para execução.

O registro é sempre iniciado a partir do agente. No interesse da segurança, somente o agente pode estabelecer confiança entrando em contato com o serviço Storage Mover. O procedimento de registro utiliza suas credenciais e permissões do Azure no recurso de migrador de armazenamento que você implantou anteriormente. Se você ainda não tiver um recurso de nuvem de migrador de armazenamento ou uma VM do agente implantada, consulte a seção de pré-requisitos.

Etapa 1: conectar-se à VM do agente

A VM do agente é um dispositivo. Ele oferece um shell administrativo que limita as operações que você pode executar nesta máquina. Quando você se conecta ao agente, o shell é carregado e fornece opções que permitem interagir diretamente com ele. No entanto, a VM do agente é um dispositivo baseado em Linux e a funcionalidade de copiar e colar geralmente não funciona na janela padrão do host.

Em vez de usar a janela do host, considere usar uma conexão SSH. Essa abordagem oferece as seguintes vantagens:

  • Você pode se conectar ao shell da VM do agente de qualquer máquina de gerenciamento e não precisa estar conectado ao host.
  • Copiar/colar é totalmente compatível.

Em um computador na mesma sub-rede do agente, execute um comando do SSH:

ssh <AgentIpAddress> -l admin

Importante

Um agente do Migrador de Armazenamento recém-implantado tem uma senha padrão:
Usuário local: admin
Senha padrão: admin

Você será solicitado e aconselhado a alterar a senha padrão imediatamente após se conectar pela primeira vez a um agente recém-implantado. Anote a nova senha, pois não há nenhum processo para recuperá-la. Se você perder a senha, será bloqueado do shell administrativo. O gerenciamento de nuvem não exige essa senha de administrador local. Se o agente já tiver sido registrado, você ainda poderá usá-lo para trabalhos de migração. Os agentes são descartáveis. Eles têm pouco valor além do trabalho de migração atual que executam. Você sempre pode implantar um novo agente e usá-lo para executar o próximo trabalho de migração.

Etapa 2: testar a conectividade de rede

Seu agente precisa estar conectado à Internet.

Quando conectado ao shell administrativo, você pode testar o estado de conectividade dos agentes:

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

Selecione o item de menu 2) Configuração de rede.

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

Selecione o item de menu 3) Testar a conectividade de rede.

Importante

Prossiga apenas para a etapa de registro quando o teste de conectividade de rede não retornar problemas.

Etapa 3: registrar o agente

Nesta etapa, você registra seu agente com o recurso de movimentação de armazenamento implantado em uma assinatura do Azure. Conecte-se ao shell administrativo do agente e selecione o item de menu 4) Registrar:

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

Você será solicitado:

  • ID da assinatura

  • Nome do grupo de recursos

  • Nome do recurso do migrador de armazenamento

  • Nome do agente: esse nome é mostrado para o agente no portal do Azure. Selecione um nome que identifique claramente essa VM do agente para você. Veja a convenção de nomenclatura de recursos para escolher um nome compatível.

  • Escopo de Link Privado: Forneça o ID de recurso totalmente qualificado do seu Escopo de Link Privado se você estiver utilizando redes privadas. Você pode encontrar mais informações sobre o Azure Private Link no artigo de documentação do Azure Private Link.

    Importante

    Se você configurou o Storage Mover para migrar seus dados pelo Link Privado, deverá fornecer o ID de recurso totalmente qualificado do Escopo do Link Privado. Por exemplo, /subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.

Depois de fornecer esses valores, o agente tentará o registro. Durante o processo de registro, você precisa entrar no Azure com credenciais que tenham permissões para seu recurso de movimentação de assinatura e armazenamento.

Importante

As credenciais do Azure que você usa para registro devem ter permissões de proprietário para o grupo de recursos e o recurso de migrador de armazenamento especificados.

Para autenticação, o agente utiliza o fluxo de autenticação do dispositivo com o Microsoft Entra ID.

O agente exibe a URL de autenticação do dispositivo: https://microsoft.com/devicelogin e um código de entrada exclusivo. Navegue até a URL exibida em um computador conectado à Internet, insira o código e entre no Azure com suas credenciais.

O agente exibe o progresso detalhado. Quando o registro estiver concluído, você poderá ver o agente no portal do Azure. Ele está em Agentes registrados no recurso de movimentação de armazenamento com o qual você registrou o agente.

Autenticação e autorização

Para realizar a autenticação perfeita com o Azure e a autorização para vários recursos do Azure, o agente é registrado com os seguintes serviços do Azure:

  • Migrador de Armazenamento do Azure (Microsoft.StorageMover)
  • Azure Arc (Microsoft.HybridCompute)

Serviço do Migrador de Armazenamento do Azure

O registro no serviço de migrador de armazenamento do Azure é visível e gerenciável por meio do recurso de migrador de armazenamento implantado em sua assinatura do Azure. Um agente registrado é um recurso do ARM (Azure Resource Manager). Você só pode criar esse recurso por meio do processo de registro. Você pode consultar detalhes sobre o recurso de qualquer cliente do Azure Resource Manager. Os clientes incluem o portal do Azure, o módulo do PowerShell Az do PowerShell e a CLI do módulo do Az PowerShell.

Você pode referenciar esse recurso do ARM (Azure Resource Manager) quando quiser atribuir trabalhos de migração à VM do agente específica que ele simboliza.

Serviço Azure Arc

O agente também está registrado no serviço Azure Arc. O Arc é usado para atribuir e manter uma identidade gerenciada do Microsoft Entra para esse agente registrado.

O Migrador de Armazenamento do Azure usa uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada é uma entidade de serviço de um tipo especial que só pode ser usada com recursos do Azure. Quando a identidade gerenciada é excluída, a entidade de serviço correspondente é removida automaticamente.

O processo de exclusão é iniciado automaticamente quando você cancela o registro do agente. No entanto, há outras maneiras de remover essa identidade. Isso incapacita o agente registrado e exige que o agente não esteja registrado. Somente o processo de registro pode fazer com que um agente obtenha e mantenha sua identidade do Azure corretamente.

Observação

Durante a visualização pública, há um efeito colateral do registro com o serviço Azure Arc. Um recurso separado do tipo Server-Azure Arc também é implantado no mesmo grupo de recursos que o recurso de migrador de armazenamento. Você não poderá gerenciar o agente por meio desse recurso.

Pode parecer que você é capaz de gerenciar aspectos do agente de migrador de armazenamento por meio do recurso Server-Azure Arc, mas na maioria dos casos não é possível. É melhor gerenciar exclusivamente o agente por meio do painel Agentes registrados no recurso de migrador de armazenamento ou por meio do shell administrativo local.

Aviso

Não exclua o recurso de servidor do Azure Arc criado para um agente registrado no mesmo grupo de recursos que o recurso do movimentador de armazenamento. O único momento seguro para excluir esse recurso é quando você cancelou o registro anteriormente do agente ao qual esse recurso corresponde.

Autorização

O agente registrado precisa ser autorizado a acessar vários serviços e recursos em sua assinatura. A identidade gerenciada é sua maneira de provar sua identidade. O serviço ou recurso do Azure pode decidir se o agente está autorizado a acessá-lo.

O agente é automaticamente autorizado a conversar com o serviço de Migrador de Armazenamento. Você não pode ver ou influenciar essa autorização a não ser que destrua a identidade gerenciada, por exemplo, cancelando o registro do agente.

Autorização just-in-time

Para um trabalho de migração, o acesso ao ponto de extremidade de destino talvez seja o recurso mais importante para o qual um agente deve ser autorizado. A autorização ocorre por meio do Controle de acesso baseado em função. Para um contêiner de blob do Azure como destino, a identidade gerenciada do agente registrado é atribuída à função Storage Blob Data Contributor interna do contêiner de destino (não à conta de armazenamento inteira). Da mesma forma, ao acessar um destino de compartilhamento de arquivos do Azure, a identidade gerenciada do agente registrado é atribuída à função Storage File Data Privileged Contributorinterna.

Essas atribuições são feitas no contexto de entrada do administrador no portal do Azure. Portanto, o administrador deve ser um membro da função do plano de controle de acesso baseado em função (RBAC) "Proprietário" para o contêiner de destino. Essa atribuição é feita just-in-time quando você inicia um trabalho de migração. É neste ponto que você selecionou um agente para executar um trabalho de migração. Como parte dessa ação de início, o agente recebe permissões para o plano de dados do contêiner de destino. O agente não está autorizado a executar nenhuma ação do plano de gerenciamento, como excluir o contêiner de destino ou configurar quaisquer recursos nele.

Aviso

O acesso é concedido a um agente específico just-in-time para executar um trabalho de migração. No entanto, a autorização do agente para acessar o destino não é removida automaticamente. Você deve remover manualmente a identidade gerenciada do agente de um destino específico ou cancelar o registro do agente para destruir a entidade de serviço. Essa ação remove toda a autorização de armazenamento de destino, bem como a capacidade do agente de se comunicar com os serviços do Storage Mover e do Azure Arc.

Próximas etapas

Defina seus pontos de extremidade de origem e de destino em preparação para migrar seus dados.