Partilhar via

Avaliar servidores habilitados para Azure Arc em uma máquina virtual do Azure

  • Artigo

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux com status de Fim de Vida (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Os servidores habilitados para Azure Arc foram projetados para ajudá-lo a conectar servidores em execução no local ou em outras nuvens ao Azure. Normalmente, você não conectaria uma máquina virtual do Azure ao Azure Arc porque todos os mesmos recursos estão disponíveis nativamente para essas VMs. As VMs do Azure já têm uma representação no Gerenciador de Recursos do Azure, extensões de VM, identidades gerenciadas e Política do Azure. Se você tentar instalar servidores habilitados para Azure Arc em uma VM do Azure, receberá uma mensagem de erro informando que não há suporte.

Embora não seja possível instalar servidores habilitados para Azure Arc em uma VM do Azure para cenários de produção, é possível configurar servidores habilitados para Azure Arc para serem executados em uma VM do Azure apenas para fins de avaliação e teste. Este artigo orienta você sobre como preparar uma VM do Azure para se parecer com um servidor local para fins de teste.

Nota

As etapas neste artigo destinam-se a máquinas virtuais hospedadas na nuvem do Azure. Os servidores habilitados para Azure Arc não são suportados em máquinas virtuais em execução no Azure Stack Hub ou no Azure Stack Edge.

Pré-requisitos

  • Sua conta é atribuída à função de Colaborador de Máquina Virtual .
  • A máquina virtual do Azure está executando um sistema operacional suportado por servidores habilitados para Azure Arc. Se você não tiver uma VM do Azure, poderá implantar uma VM simples do Windows ou uma VM simples do Ubuntu Linux 18.04 LTS.
  • Sua VM do Azure pode se comunicar de saída para baixar o pacote do agente do Azure Connected Machine para Windows do Centro de Download da Microsoft e Linux do repositório de pacotes da Microsoft. Se a conectividade de saída com a Internet for restrita seguindo sua política de segurança de TI, você poderá baixar o pacote do agente manualmente e copiá-lo para uma pasta na VM do Azure.
  • Uma conta com privilégios elevados (ou seja, um administrador ou como root) na VM e acesso RDP ou SSH à VM.
  • Para registrar e gerenciar a VM do Azure com servidores habilitados para Azure Arc, você é membro da função de Administrador de Recursos de Máquina Conectada ou Colaborador do Azure no grupo de recursos.

Planear

Para começar a gerenciar sua VM do Azure como um servidor habilitado para Azure Arc, você precisa fazer as seguintes alterações na VM do Azure antes de instalar e configurar servidores habilitados para Azure Arc.

  1. Remova todas as extensões de VM implantadas na VM do Azure, como o agente do Log Analytics. Embora os servidores habilitados para Azure Arc ofereçam suporte a muitas das mesmas extensões que as VMs do Azure, o agente do Azure Connected Machine não pode gerenciar extensões de VM já implantadas na VM.

  2. Desative o Agente Convidado do Azure Windows ou Linux. O agente convidado da VM do Azure tem uma finalidade semelhante ao agente da Máquina Conectada do Azure. Para evitar conflitos entre os dois, o Agente de VM do Azure precisa ser desabilitado. Depois de desabilitado, você não poderá usar extensões de VM ou alguns serviços do Azure.

  3. Crie uma regra de segurança para negar acesso ao IMDS (Serviço de Metadados de Instância do Azure). O IMDS é uma API REST que os aplicativos podem chamar para obter informações sobre a representação da VM no Azure, incluindo sua ID de recurso e local. O IMDS também fornece acesso a quaisquer identidades gerenciadas atribuídas à máquina. Os servidores habilitados para Arco do Azure fornecem sua própria implementação IMDS e retornam informações sobre a representação do Azure Arc da VM. Para evitar situações em que ambos os pontos de extremidade IMDS estão disponíveis e os aplicativos precisam escolher entre os dois, bloqueie o acesso ao IMDS da VM do Azure para que a implementação do IMDS do servidor habilitado para Azure Arc seja a única disponível.

Depois de fazer essas alterações, sua VM do Azure se comporta como qualquer máquina ou servidor fora do Azure e está no ponto de partida necessário para instalar e avaliar os servidores habilitados para Azure Arc.

Quando os servidores habilitados para Arco do Azure são configurados na VM, você vê duas representações dele no Azure. Um é o recurso de VM do Azure, com um tipo de Microsoft.Compute/virtualMachines recurso, e o outro é um recurso do Azure Arc, com um tipo de Microsoft.HybridCompute/machines recurso. Como resultado de impedir o gerenciamento do sistema operacional convidado a partir do servidor host físico compartilhado, a melhor maneira de pensar sobre os dois recursos é o recurso de VM do Azure é o hardware virtual para sua VM e permite que você controle o estado de energia e exiba informações sobre suas configurações de SKU, rede e armazenamento. O recurso Azure Arc gerencia o sistema operacional convidado nessa VM e pode ser usado para instalar extensões, exibir dados de conformidade para a Política do Azure e concluir qualquer outra tarefa com suporte por servidores habilitados para Azure Arc.

Reconfigurar a VM do Azure

Nota

Para janelas, defina a variável de ambiente para substituir o ARC em uma instalação de VM do Azure.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

  1. Remova todas as extensões de VM na VM do Azure.

    No portal do Azure, navegue até seu recurso de VM do Azure e, no painel esquerdo, selecione Extensões. Se houver extensões instaladas na VM, selecione cada extensão individualmente e, em seguida, selecione Desinstalar. Aguarde até que todas as extensões terminem a desinstalação antes de prosseguir para a etapa 2.

  2. Desative o Agente Convidado de VM do Azure.

    Para desabilitar o Agente Convidado da VM do Azure, conecte-se à sua VM usando a Conexão de Área de Trabalho Remota (Windows) ou SSH (Linux) e execute os seguintes comandos para desabilitar o agente convidado.

    Para Windows, execute os seguintes comandos do PowerShell:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

    Para Linux, execute os seguintes comandos:

    sudo systemctl stop walinuxagent
sudo systemctl disable walinuxagent

  3. Bloqueie o acesso ao ponto de extremidade do Azure IMDS.

    Nota

    As configurações abaixo devem ser aplicadas para 169.254.169.254 e 169.254.169.253. Esses são pontos de extremidade usados para IMDS no Azure e no Azure Stack HCI, respectivamente.

    Enquanto ainda estiver conectado ao servidor, execute os seguintes comandos para bloquear o acesso ao ponto de extremidade do IMDS do Azure. Para Windows, execute o seguinte comando do PowerShell:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

    Para Linux, consulte a documentação da sua distribuição para obter a melhor maneira de bloquear o acesso de saída pela 169.254.169.254/32 porta TCP 80. Normalmente, você bloquearia o acesso de saída com o firewall integrado, mas também pode bloqueá-lo temporariamente com iptables ou nftables.

    Se sua VM do Azure estiver executando o Ubuntu, execute as seguintes etapas para configurar seu firewall descomplicado (UFW):

    sudo ufw --force enable
sudo ufw deny out from any to 169.254.169.254
sudo ufw default allow incoming

    Se sua VM do Azure estiver executando o CentOS, Red Hat ou SUSE Linux Enterprise Server (SLES), execute as seguintes etapas para configurar o firewall:

    sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
sudo firewall-cmd --reload

    Para outras distribuições, consulte os documentos do firewall ou configure uma regra iptables genérica com o seguinte comando:

    sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT

    Nota

    A configuração do iptables precisa ser definida após cada reinicialização, a menos que uma solução iptables persistente seja usada.

  4. Instale e configure o agente Azure Connected Machine.

    A VM agora está pronta para você começar a avaliar os servidores habilitados para Azure Arc. Para instalar e configurar o agente de Máquina Conectada do Azure, consulte Conectar máquinas híbridas usando o portal do Azure e siga as etapas para gerar um script de instalação e instalar usando o método com script.

    Nota

    Se a conectividade de saída com a Internet estiver restrita à sua VM do Azure, você poderá baixar o pacote do agente manualmente. Copie o pacote do agente para a VM do Azure e modifique o script de instalação dos servidores habilitados para Azure Arc para fazer referência à pasta de origem.

Se você perdeu uma das etapas, o script de instalação deteta que está sendo executado em uma VM do Azure e termina com um erro. Verifique se você concluiu as etapas 1 a 3 e execute novamente o script.

Verificar a ligação com o Azure Arc

Depois de instalar e configurar o agente para se registrar com servidores habilitados para Azure Arc, vá para o portal do Azure para verificar se o servidor se conectou com êxito. Exiba sua máquina no portal do Azure.

Uma conexão de servidor bem-sucedida

Próximos passos

  • Saiba como planejar e habilitar um grande número de máquinas para servidores habilitados para Azure Arc para simplificar a configuração de recursos essenciais de gerenciamento e monitoramento de segurança no Azure.

  • Saiba mais sobre nossas extensões de VM do Azure com suporte disponíveis para simplificar a implantação com outros serviços do Azure, como Automação, KeyVault e outros para sua máquina Windows ou Linux.

  • Quando terminar o teste, desinstale o agente do Azure Connected Machine.