Подключение гибридных компьютеров к Azure в большом масштабе
Используя ряд гибких возможностей, перечень которых зависит от ваших требований, вы можете включить серверы с поддержкой Azure Arc для нескольких компьютеров с ОС Windows или Linux в своей среде. Используя предоставленный скрипт шаблона, вы можете автоматизировать каждый шаг установки, включая установку подключения к Azure Arc. Однако для выполнения этого сценария необходимо вручную использовать учетную запись с повышенными разрешениями на целевом компьютере и в Azure.
Одним из способов подключения компьютеров к серверам с поддержкой Azure Arc является использование субъекта-службы Microsoft Entra. Этот метод субъекта-службы можно использовать вместо привилегированного удостоверения для интерактивного подключения компьютера. Этот субъект-служба представляет собой специальное ограниченное удостоверение управления, которое имеет только минимальное разрешение, необходимое для подключения компьютеров к Azure с помощью azcmagent
команды. Этот метод безопаснее, чем использование более привилегированной учетной записи, такой как клиент Администратор istrator и следует нашим рекомендациям по обеспечению безопасности доступа. Субъект-служба используется только во время подключения; он не используется для других целей.
Прежде чем приступить к подключению компьютеров, ознакомьтесь со следующими требованиями:
Убедитесь, что у вас есть разрешение администратора на компьютерах, которые вы хотите подключить.
разрешения Администратор istrator необходимы для установки агента Подключение компьютеров на компьютерах; в Linux с помощью корневой учетной записи и в Windows в качестве члена группы локальных Администратор istratorов.
Проверьте предварительные требования и убедитесь, что ваша подписка и ресурсы соответствуют требованиям. Вам потребуется роль подключения Подключение компьютера Azure или роль участника для группы ресурсов компьютера. Обязательно зарегистрируйте указанные ниже поставщики ресурсов Azure заранее в целевой подписке.
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureArcData (если планируется включить экземпляры SQL Server с поддержкой Arc)
Дополнительные сведения см. здесь: предварительные требования для поставщиков ресурсов Azure
Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Автоматическое подключение для SQL Server
При подключении сервера Windows или Linux к Azure Arc с установленным Microsoft SQL Server экземпляры SQL Server будут автоматически подключены к Azure Arc. SQL Server, включенный Azure Arc , предоставляет подробные возможности инвентаризации и дополнительные возможности управления для экземпляров и баз данных SQL Server. В процессе подключения расширение развертывается на сервере с поддержкой Azure Arc, а новые роли будут применены к SQL Server и базам данных. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment
и значением Disabled
при подключении к Azure Arc.
Дополнительные сведения см. в статье "Управление автоматическим подключением для SQL Server" с поддержкой Azure Arc.
Создание субъекта-службы для подключения в масштабе
Субъект-службу можно создать в портал Azure или с помощью Azure PowerShell.
Примечание.
Чтобы создать субъект-службу, клиент Microsoft Entra должен разрешить пользователям регистрировать приложения. Если это не так, ваша учетная запись должна быть членом административной роли приложения Администратор istrator или Cloud Application Администратор istrator. Дополнительные сведения о требованиях уровня клиента см. в разделе "Делегирование разрешений на регистрацию приложений" в идентификаторе Microsoft Entra. Чтобы назначить роли сервера с поддержкой Arc, ваша учетная запись должна быть членом роли владельца или доступа пользователей Администратор istrator в подписке, которую вы хотите использовать для подключения.
Портал Azure
Служба Azure Arc в портал Azure предоставляет упрощенный способ создания субъекта-службы, который можно использовать для подключения гибридных компьютеров к Azure.
- В портал Azure перейдите к Azure Arc, а затем выберите субъекты-службы в меню слева.
- Выберите Добавить.
- Введите имя субъекта-службы.
- Выберите, будет ли субъект-служба иметь доступ ко всей подписке или только определенной группе ресурсов.
- Выберите подписку (и группу ресурсов, если применимо), к которой субъект-служба будет иметь доступ.
- В разделе секрета клиента выберите длительность использования созданного секрета клиента. При необходимости можно ввести понятное имя в поле "Описание ".
- В разделе "Назначение ролей" выберите Azure Подключение подключенного компьютера.
- Нажмите кнопку создания.
Azure PowerShell
Вы можете создать субъект-службу с помощью Azure PowerShell, выполнив командлет New-AzADServicePrincipal.
Проверьте контекст сеанса Azure PowerShell, чтобы убедиться, что вы работаете в правильной подписке. Если необходимо изменить подписку, используйте Set-AzContext .
Get-AzContext
Выполните следующую команду, чтобы создать субъект-службу и назначить ей роль подключения Подключение компьютера Azure для выбранной подписки. После создания субъекта-службы будет напечатан идентификатор приложения и секрет. Секрет действителен в течение 1 года, после чего необходимо создать новый секрет и обновить все скрипты с новым секретом.
$sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding" $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
AppId Secret ----- ------ aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
Значения из следующих свойств используются для параметров, передаваемыми в
azcmagent
.- Значение свойства AppId используется для
--service-principal-id
значения параметра. - Значение из свойства Secret используется для параметра, используемого для
--service-principal-secret
подключения агента.
- Значение свойства AppId используется для
Создание скрипта установки на портале Azure
Скрипт для автоматизации скачивания и установки, а также для установки подключения к Azure Arc, доступен на портале Azure. Чтобы завершить процесс, выполните следующие действия:
В браузере перейдите на портал Azure.
На странице "Компьютеры " Azure Arc" выберите "Добавить или создать" в левом верхнем углу, а затем выберите "Добавить компьютер" в раскрывающемся меню.
На странице "Добавление серверов с помощью Azure Arc" выберите плитку "Добавить несколько серверов" и выберите "Создать скрипт".
На вкладке Основные используйте следующие значения.
- Выберите группу подписок и ресурсов для компьютеров.
- В раскрывающемся списке Регион выберите регион Azure для хранения метаданных серверов.
- В раскрывающемся списке Операционная система выберите операционную систему, в которой должен выполняться скрипт.
- Если компьютер обменивается данными через прокси-сервер для подключения к Интернету, укажите IP-адрес прокси-сервера или имя и номер порта, которые будут использоваться компьютером для взаимодействия с прокси-сервером. С помощью этой конфигурации агент обменивается данными через прокси-сервер по протоколу HTTP. Введите значение в формате
http://<proxyURL>:<proxyport>
. - Выберите Далее.
- В разделе "Проверка подлинности" в раскрывающемся списке субъекта-службы выберите Arc-for-servers. Затем нажмите кнопку "Далее".
На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами.
Выберите Далее.
На вкладке Download and run script (Скачивание и выполнение скрипта) просмотрите сводные данные и щелкните Скачать. Если вам все еще нужно внести изменения, щелкните Назад.
Для Windows вам будет предложено сохранить на компьютер файл OnboardingScript.ps1
, а для Linux — OnboardingScript.sh
.
Установка агента и подключение к Azure
Используя шаблон скрипта, созданного ранее, можно установить и настроить агент Connected Machine на нескольких гибридных компьютерах Linux и Windows с помощью предпочтительного средства автоматизации вашей организации. Скрипт выполняет действия, аналогичные описанным в статье Подключение гибридных компьютеров к Azure на портале Azure. Разница заключается в последнем шаге установки подключения к Azure Arc с помощью команды azcmagent
и субъекта-службы.
Ниже приведены параметры команды azcmagent
для использования субъекта-службы.
service-principal-id
: уникальный идентификатор (GUID), представляющий идентификатор приложения субъекта-службы.service-principal-secret
: пароль субъекта-службы.tenant-id
: уникальный идентификатор (GUID), представляющий выделенный экземпляр идентификатора Microsoft Entra.subscription-id
: идентификатор подписки (GUID) подписки Azure, в которой нужны компьютеры.resource-group
: имя группы ресурсов, к которой нужно принадлежать подключенным компьютерам.location
: см . поддерживаемые регионы Azure. Это расположение может совпадать или не совпадать с расположением группы ресурсов.resource-name
: (Необязательно) Используется для представления ресурса Azure локального компьютера. Если это значение не указано, будет использовано имя узла компьютера.
Вы можете узнать больше о программе командной строки azcmagent
, изучив справочные материалы по Azcmagent.
Примечание.
Скрипт Windows PowerShell поддерживает только запуск из 64-разрядной версии Windows PowerShell.
После установки агента и настройки его подключения к серверам с поддержкой Azure Arc перейдите на портал Azure и проверьте, подключен ли сервер. Просмотрите свои компьютеры на портале Azure.
Следующие шаги
- Ознакомьтесь с руководством по планированию и развертыванию, чтобы спланировать развертывание серверов с поддержкой Azure Arc в любом масштабе и реализацию централизованного управления и мониторинга.
- Узнайте, как устранять проблемы с подключением агента.
- Узнайте, как управлять компьютерами с помощью Политика Azure для таких вещей, как гостевая конфигурация виртуальной машины, проверка отчетов компьютеров в ожидаемой рабочей области Log Analytics, мониторинг с помощью аналитики виртуальных машин и многое другое.