Подключение гибридных компьютеров к Azure в большом масштабе

  • Статья

Используя ряд гибких возможностей, перечень которых зависит от ваших требований, вы можете включить серверы с поддержкой Azure Arc для нескольких компьютеров с ОС Windows или Linux в своей среде. Используя предоставленный скрипт шаблона, вы можете автоматизировать каждый шаг установки, включая установку подключения к Azure Arc. Однако для выполнения этого сценария необходимо вручную использовать учетную запись с повышенными разрешениями на целевом компьютере и в Azure.

Одним из способов подключения компьютеров к серверам с поддержкой Azure Arc является использование субъекта-службы Microsoft Entra. Этот метод субъекта-службы можно использовать вместо привилегированного удостоверения для интерактивного подключения компьютера. Этот субъект-служба представляет собой специальное ограниченное удостоверение управления, которое имеет только минимальное разрешение, необходимое для подключения компьютеров к Azure с помощью azcmagent команды. Этот метод безопаснее, чем использование более привилегированной учетной записи, такой как клиент Администратор istrator и следует нашим рекомендациям по обеспечению безопасности доступа. Субъект-служба используется только во время подключения; он не используется для других целей.

Прежде чем приступить к подключению компьютеров, ознакомьтесь со следующими требованиями:

  1. Убедитесь, что у вас есть разрешение администратора на компьютерах, которые вы хотите подключить.

    разрешения Администратор istrator необходимы для установки агента Подключение компьютеров на компьютерах; в Linux с помощью корневой учетной записи и в Windows в качестве члена группы локальных Администратор istratorов.

  2. Проверьте предварительные требования и убедитесь, что ваша подписка и ресурсы соответствуют требованиям. Вам потребуется роль подключения Подключение компьютера Azure или роль участника для группы ресурсов компьютера. Обязательно зарегистрируйте указанные ниже поставщики ресурсов Azure заранее в целевой подписке.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (если планируется включить экземпляры SQL Server с поддержкой Arc)

    Дополнительные сведения см. здесь: предварительные требования для поставщиков ресурсов Azure

    Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Автоматическое подключение для SQL Server

При подключении сервера Windows или Linux к Azure Arc с установленным Microsoft SQL Server экземпляры SQL Server будут автоматически подключены к Azure Arc. SQL Server, включенный Azure Arc , предоставляет подробные возможности инвентаризации и дополнительные возможности управления для экземпляров и баз данных SQL Server. В процессе подключения расширение развертывается на сервере с поддержкой Azure Arc, а новые роли будут применены к SQL Server и базам данных. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в статье "Управление автоматическим подключением для SQL Server" с поддержкой Azure Arc.

Создание субъекта-службы для подключения в масштабе

Субъект-службу можно создать в портал Azure или с помощью Azure PowerShell.

Примечание.

Чтобы создать субъект-службу, клиент Microsoft Entra должен разрешить пользователям регистрировать приложения. Если это не так, ваша учетная запись должна быть членом административной роли приложения Администратор istrator или Cloud Application Администратор istrator. Дополнительные сведения о требованиях уровня клиента см. в разделе "Делегирование разрешений на регистрацию приложений" в идентификаторе Microsoft Entra. Чтобы назначить роли сервера с поддержкой Arc, ваша учетная запись должна быть членом роли владельца или доступа пользователей Администратор istrator в подписке, которую вы хотите использовать для подключения.

Портал Azure

Служба Azure Arc в портал Azure предоставляет упрощенный способ создания субъекта-службы, который можно использовать для подключения гибридных компьютеров к Azure.

  1. В портал Azure перейдите к Azure Arc, а затем выберите субъекты-службы в меню слева.
  2. Выберите Добавить.
  3. Введите имя субъекта-службы.
  4. Выберите, будет ли субъект-служба иметь доступ ко всей подписке или только определенной группе ресурсов.
  5. Выберите подписку (и группу ресурсов, если применимо), к которой субъект-служба будет иметь доступ.
  6. В разделе секрета клиента выберите длительность использования созданного секрета клиента. При необходимости можно ввести понятное имя в поле "Описание ".
  7. В разделе "Назначение ролей" выберите Azure Подключение подключенного компьютера.
  8. Нажмите кнопку создания.

Снимок экрана: экран создания субъекта-службы Azure Arc в портал Azure.

Azure PowerShell

Вы можете создать субъект-службу с помощью Azure PowerShell, выполнив командлет New-AzADServicePrincipal.

  1. Проверьте контекст сеанса Azure PowerShell, чтобы убедиться, что вы работаете в правильной подписке. Если необходимо изменить подписку, используйте Set-AzContext .

    Get-AzContext

  2. Выполните следующую команду, чтобы создать субъект-службу и назначить ей роль подключения Подключение компьютера Azure для выбранной подписки. После создания субъекта-службы будет напечатан идентификатор приложения и секрет. Секрет действителен в течение 1 года, после чего необходимо создать новый секрет и обновить все скрипты с новым секретом.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    Значения из следующих свойств используются для параметров, передаваемыми в azcmagent.

    • Значение свойства AppId используется для --service-principal-id значения параметра.
    • Значение из свойства Secret используется для параметра, используемого для --service-principal-secret подключения агента.

Создание скрипта установки на портале Azure

Скрипт для автоматизации скачивания и установки, а также для установки подключения к Azure Arc, доступен на портале Azure. Чтобы завершить процесс, выполните следующие действия:

  1. В браузере перейдите на портал Azure.

  2. На странице "Компьютеры " Azure Arc" выберите "Добавить или создать" в левом верхнем углу, а затем выберите "Добавить компьютер" в раскрывающемся меню.

  3. На странице "Добавление серверов с помощью Azure Arc" выберите плитку "Добавить несколько серверов" и выберите "Создать скрипт".

  4. На вкладке Основные используйте следующие значения.

    1. Выберите группу подписок и ресурсов для компьютеров.
    2. В раскрывающемся списке Регион выберите регион Azure для хранения метаданных серверов.
    3. В раскрывающемся списке Операционная система выберите операционную систему, в которой должен выполняться скрипт.
    4. Если компьютер обменивается данными через прокси-сервер для подключения к Интернету, укажите IP-адрес прокси-сервера или имя и номер порта, которые будут использоваться компьютером для взаимодействия с прокси-сервером. С помощью этой конфигурации агент обменивается данными через прокси-сервер по протоколу HTTP. Введите значение в формате http://<proxyURL>:<proxyport>.
    5. Выберите Далее.
    6. В разделе "Проверка подлинности" в раскрывающемся списке субъекта-службы выберите Arc-for-servers. Затем нажмите кнопку "Далее".

  5. На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами.

  6. Выберите Далее.

  7. На вкладке Download and run script (Скачивание и выполнение скрипта) просмотрите сводные данные и щелкните Скачать. Если вам все еще нужно внести изменения, щелкните Назад.

Для Windows вам будет предложено сохранить на компьютер файл OnboardingScript.ps1, а для Linux — OnboardingScript.sh.

Установка агента и подключение к Azure

Используя шаблон скрипта, созданного ранее, можно установить и настроить агент Connected Machine на нескольких гибридных компьютерах Linux и Windows с помощью предпочтительного средства автоматизации вашей организации. Скрипт выполняет действия, аналогичные описанным в статье Подключение гибридных компьютеров к Azure на портале Azure. Разница заключается в последнем шаге установки подключения к Azure Arc с помощью команды azcmagent и субъекта-службы.

Ниже приведены параметры команды azcmagent для использования субъекта-службы.

  • service-principal-id: уникальный идентификатор (GUID), представляющий идентификатор приложения субъекта-службы.
  • service-principal-secret: пароль субъекта-службы.
  • tenant-id : уникальный идентификатор (GUID), представляющий выделенный экземпляр идентификатора Microsoft Entra.
  • subscription-id : идентификатор подписки (GUID) подписки Azure, в которой нужны компьютеры.
  • resource-group : имя группы ресурсов, к которой нужно принадлежать подключенным компьютерам.
  • location : см . поддерживаемые регионы Azure. Это расположение может совпадать или не совпадать с расположением группы ресурсов.
  • resource-name : (Необязательно) Используется для представления ресурса Azure локального компьютера. Если это значение не указано, будет использовано имя узла компьютера.

Вы можете узнать больше о программе командной строки azcmagent, изучив справочные материалы по Azcmagent.

Примечание.

Скрипт Windows PowerShell поддерживает только запуск из 64-разрядной версии Windows PowerShell.

После установки агента и настройки его подключения к серверам с поддержкой Azure Arc перейдите на портал Azure и проверьте, подключен ли сервер. Просмотрите свои компьютеры на портале Azure.

Снимок экрана: успешное подключение к серверу в портал Azure.

Следующие шаги