Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Azure Storage Mover использует агентов, которые выполняют задания миграции, настроенные в этой службе. Агент — это устройство на основе виртуальной машины, которое выполняется на узле виртуализации, близко к исходному хранилищу.
Для создания доверительных отношений с вашим ресурсом Storage Mover необходимо зарегистрировать агента. Это доверие позволяет агенту безопасно получать задания миграции и сообщать о ходе выполнения. Регистрация агента может происходить через общедоступную или частную конечную точку вашего ресурса Storage Mover. Частная конечная точка, также известная как приватный канал к ресурсу, может быть развернута в виртуальной сети Azure.
Вы можете подключиться к виртуальной сети Azure из других сетей, например локальной корпоративной сети. Этот тип подключения осуществляется через VPN-подключение, например Azure Express Route. Дополнительные сведения об этом подходе см. в документации по Azure ExpressRoute и Azure Private Link.
Внимание
В настоящее время Storage Mover можно настроить для маршрутизации данных миграции из агента в целевой аккаунт хранения через Приватное соединение. Гибридные пульса вычислений и сертификаты также могут быть перенаправлены в частную конечную точку службы Azure Arc в виртуальной сети (виртуальная сеть). Некоторый трафик перемещения хранилища не может быть перенаправлен через Приватный канал и направляется через общедоступную конечную точку ресурса перемещения хранилища. Эти данные включают командные сообщения, телеметрию выполнения и журналы копирования.
Из этой статьи вы узнаете, как успешно зарегистрировать ранее развернутую виртуальную машину агента хранилища Mover.
Предварительные условия
Перед тем, как зарегистрировать агент Azure Storage Mover, необходимо выполнить два предварительных требования:
Необходимо развернуть ресурс Azure Storage Mover.
Выполните шаги, описанные в статье "Создание ресурса перемещения хранилища", чтобы развернуть этот ресурс в выбранной подписке Azure и регионе.Необходимо развернуть виртуальную машину агента службы перемещения хранилищ Azure.
Следуйте шагам, описанным в статье развертывания агента службы перемещения хранилища Azure, чтобы создать виртуальную машину агента и подключить её к интернету.
Общие сведения о регистрации
Процесс регистрации агента создает доверие между агентом и облачным ресурсом Storage Mover. Доверие позволяет удаленно управлять агентом и назначать им задания миграции для выполнения.
Регистрация всегда инициируется агентом. В интересах безопасности только агент может установить доверительные отношения, связавшись со службой Storage Mover. Процедура регистрации использует ваши учетные данные и разрешения Azure для ресурса переноса хранилища, который вы ранее развернули. Если у вас еще нет облачного ресурса для перемещения данных или развернутой виртуальной машины агента, обратитесь к разделу требований.
Шаг 1. Подключение к виртуальной машине агента
Виртуальная машина агента — это устройство. Она предлагает административную оболочку, которая ограничивает операции, которые можно выполнить на этом компьютере. При подключении к агенту оболочка загружается и предоставляет параметры, позволяющие взаимодействовать с ним напрямую. Однако виртуальная машина агента — это устройство на основе Linux, а функции копирования и вставки часто не работают в окне узла по умолчанию.
Вместо использования окна узла рекомендуется использовать подключение SSH. Этот подход обеспечивает следующие преимущества:
- Вы можете подключиться к оболочке виртуальной машины агента из любого модуля управления, и входить на хост не требуется.
- Копирование и вставка полностью поддерживается.
На компьютере в той же подсети, что и агент, выполните команду SSH:
ssh <AgentIpAddress> -l admin
Внимание
Недавно развернутый агент перемещения хранилища имеет пароль по умолчанию:
Локальный пользователь: admin
Пароль по умолчанию: admin
Вам будет предложено сразу же изменить пароль по умолчанию после первого подключения к только что развернутному агенту. Запишите новый пароль, так как восстановление невозможно. Потеря пароля блокирует вас из административной оболочки. Для управления облаком этот пароль локального администратора не требуется. Если агент был зарегистрирован ранее, его можно использовать для заданий миграции. Агенты являются одноразовыми. Они имеют мало значения за границами текущего задания миграции, которое они выполняют. Вы всегда можете развернуть нового агента и использовать его для выполнения следующего задания по миграции.
Шаг 2: Зарегистрируйте агента
На этом шаге вы зарегистрируете вашего агента на ресурсе переноса хранилища, развернутом в подписке Azure. Подключитесь к административной оболочке агента, а затем выберите пункт меню 4) Зарегистрируйте:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Collect support bundle
6) Restart agent
7) Disk Cleanup
8) Open restricted shell
9) Troubleshooting
10) Exit
xdmsh> 4
Вам будет предложено:
Регион Azure: это регион, в котором у вас будет ресурс Azure Storage Mover.
Область частной ссылки: Укажите полный идентификатор ресурса, если вы используете частную сеть. Вы можете найти дополнительную информацию о Azure Private Link в статье документации по Azure Private Link.
Внимание
Если вы настроили Средство перемещения данных для переноса данных через Private Link, необходимо указать полный идентификатор ресурса области действия Private Link. Например,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Проверка сети выполняется автоматически. При желании вы можете запустить проверки конечных точек вручную, выбрав пункт 2) Конфигурация сети в главном меню
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Test network connectivity verbosely
5) Quit
Choice: 3
Выберите пункт меню 3) Проверка сетевого подключения.
После проверки сети вам будет предложено:
- Идентификатор подписки
- Имя группы ресурсов
- Имя ресурса переноса хранилища
- Имя агента: это имя отображается для агента в портале Azure. Выберите имя, которое четко идентифицирует эту виртуальную машину агента. Чтобы выбрать поддерживаемое имя, обратитесь к соглашению об именовании ресурсов.
После того как вы предоставили эти значения, агент попытается зарегистрировать. Во время регистрации необходимо войти в Azure с учетными данными, имеющими разрешения на доступ к вашей подписке и ресурсу Storage Mover.
Внимание
Учетные данные Azure, используемые для регистрации, должны иметь разрешения владельца для указанной группы ресурсов и ресурса перемещения хранилища.
Для аутентификации агент использует поток аутентификации устройства с идентификатором Microsoft Entra.
Агент отображает URL-адрес проверки подлинности устройства: https://microsoft.com/devicelogin и уникальный код для входа. Перейдите по отображаемму URL-адресу на подключенном к Интернету компьютере, введите код и войдите в Azure с помощью учетных данных.
Агент отображает подробный прогресс. После завершения регистрации вы сможете увидеть агент в портале Azure. Он находится в секции "Зарегистрированные агенты" в ресурсе перемещения хранилища, с которым зарегистрирован агент.
Аутентификация и авторизация
Для обеспечения простой проверки подлинности с помощью Azure и авторизации в различных ресурсах Azure агент регистрируется в следующих службах Azure:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
служба Azure Storage Mover
Регистрация службы перемещения хранилища Azure отображается и управляется с помощью ресурса перемещения хранилища, развернутого в подписке Azure. Зарегистрированный агент — это ресурс Azure Resource Manager (ARM). Этот ресурс можно создать только с помощью процесса регистрации. Вы можете запросить сведения о ресурсе из любого клиента Azure Resource Manager. Клиенты включают портал Azure, модуль Az PowerShell и интерфейс командной строки модуля Az PowerShell.
Вы можете ссылаться на этот ресурс Azure Resource Manager (ARM), когда хотите назначить задания миграции для определенной виртуальной машины агента, которую он символизирует.
Служба Azure Arc
Агент также зарегистрирован в службе Azure Arc. Arc используется для назначения и поддержки управляемой учетной записи Microsoft Entra для этого зарегистрированного агента.
Azure Storage Mover использует управляемую удостоверенность, присвоенную системой. Управляемое удостоверение — это учетная запись службы специального типа, которое можно использовать только с ресурсами Azure. При удалении управляемого удостоверения соответствующая учетная запись службы также автоматически удаляется.
Процесс удаления автоматически инициируется при отмене регистрации агента. Однако существуют другие способы удаления этой идентичности. Это делает зарегистрированного агента неспособным выполнять свои функции и требует его дерегистрации. Только процесс регистрации может обеспечить агенту надлежащее получение и поддержание удостоверений Azure.
Примечание.
Во время общедоступной предварительной версии существует побочный эффект регистрации в службе Azure Arc. Отдельный ресурс типа Server-Azure Arc также развертывается в той же группе ресурсов, что и ресурс перемещения хранилища. Вы не сможете управлять агентом с помощью этого ресурса.
Возможно, вы можете управлять аспектами агента перемещения хранилища через ресурс Server-Azure Arc , но в большинстве случаев вы не можете. Лучше всего управлять агентом исключительно через область "Зарегистрированные агенты" в ресурсе перемещения хранилища или с использованием локальной административной оболочки.
Предупреждение
Не удаляйте ресурс сервера Azure Arc, созданный для зарегистрированного агента, в той же группе ресурсов, что и ресурс перемещения данных между хранилищами. Единственное безопасное время удаления этого ресурса заключается в том, что ранее вы отменили регистрацию агента, который соответствует этому ресурсу.
Авторизация
Зарегистрированный агент должен быть авторизован для доступа к нескольким службам и ресурсам в подписке. Управляемая идентичность — это способ, которым она подтверждает свою идентичность. Затем служба Или ресурс Azure может решить, авторизован ли агент для доступа к нему.
Агент автоматически получает разрешение на взаимодействие с сервисом Storage Mover. Вы не сможете увидеть или повлиять на эту авторизацию, кроме как разрушив управляемое удостоверение, например, отменив регистрацию агента.
Авторизация по требованию (Just-in-time)
Для задания миграции доступ к целевой конечной точке является наиболее важным ресурсом, для которого агент должен быть авторизован. Авторизация выполняется с помощью управления доступом на основе ролей. Для контейнера объектов Blob Azure в качестве целевого контейнера управляемая идентификация зарегистрированного агента назначается встроенной роли Storage Blob Data Contributor целевого контейнера, а не ко всей учетной записи хранения. Аналогичным образом при доступе к ресурсу файлового хранилища Azure управляемое удостоверение зарегистрированного агента назначается на встроенную роль Storage File Data Privileged Contributor.
Эти назначения выполняются в контексте входа администратора в портал Azure. Поэтому администратор должен быть членом роли управления на основе ролей (RBAC) уровня управления "Владелец" для целевого контейнера. Это назначение выполняется точно вовремя при начале миграционного задания. На этот момент вы выбрали агента для выполнения задачи миграции. В рамках этого действия запуска агент получает разрешения на плоскость данных целевого контейнера. Агент не авторизован для выполнения каких-либо действий уровня управления, таких как удаление целевого контейнера или настройка каких-либо функций в нем.
Предупреждение
Доступ предоставляется определенному агенту в нужный момент для выполнения задачи миграции. Однако авторизация агента для доступа к целевому объекту не удаляется автоматически. Необходимо вручную удалить управляемое удостоверение агента из определенного целевого объекта или отменить регистрацию агента, чтобы уничтожить субъект-службу. Это действие удаляет все авторизации целевого хранилища, а также возможность агента взаимодействовать со службами Storage Mover и Azure Arc.
Следующие шаги
Определите исходные и целевые конечные точки при подготовке к переносу данных.