Registrera en Azure Storage Mover-agent
Azure Storage Mover-tjänsten använder agenter som utför de migreringsjobb som du konfigurerar i tjänsten. Agenten är en virtuell datorbaserad installation som du kör på en virtualiseringsvärd, nära källlagringen.
Du måste registrera en agent för att skapa en förtroenderelation med din Storage Mover-resurs. Med det här förtroendet kan din agent ta emot migreringsjobb på ett säkert sätt och rapportera förloppet. Agentregistrering kan ske över antingen den offentliga eller privata slutpunkten för din Storage Mover-resurs. En privat slutpunkt, även kallad den privata länken till en resurs, kan distribueras i ett virtuellt Azure-nätverk (VNet).
Du kan ansluta till ett virtuellt Azure-nätverk från andra nätverk, till exempel ett lokalt företagsnätverk. Den här typen av anslutning görs via en VPN-anslutning, till exempel Azure Express Route. Mer information om den här metoden finns i dokumentationen om Azure ExpressRoute och Azure Private Link .
Viktigt!
För närvarande kan Storage Mover konfigureras för att dirigera migreringsdata från agenten till mållagringskontot via Private Link. Hybrid Compute-pulsslag och certifikat kan också dirigeras till en privat Azure Arc-tjänstslutpunkt i ditt virtuella nätverk (VNet). En del Storage Mover-trafik kan inte dirigeras via Private Link och dirigeras över den offentliga slutpunkten för en lagringsflyttarresurs. Dessa data omfattar kontrollmeddelanden, förloppstelemetri och kopieringsloggar.
I den här artikeln får du lära dig hur du registrerar en tidigare distribuerad virtuell lagringsflyttaragent (VM).
Förutsättningar
Det finns två förutsättningar för att slutföras innan du kan registrera en Azure Storage Mover-agent:
Du måste ha en Azure Storage Mover-resurs distribuerad.
Följ stegen i artikeln Skapa en lagringsflyttare för att distribuera den här resursen i en Azure-prenumeration och valfri region.Du måste distribuera den virtuella Azure Storage Mover-agentens virtuella dator.
Följ stegen i artikeln om distribution av virtuella datorer med Azure Storage Mover-agenten för att skapa den virtuella agentdatorn och ansluta den till Internet.
Registreringsöversikt
Agentregistreringsprocessen skapar ett förtroende mellan agenten och lagringsflyttarmolnresursen. Med förtroendet kan du fjärrhantera agenten och tilldela den migreringsjobb att köra.
Registreringen initieras alltid från agenten. I säkerhetssyfte kan endast agenten upprätta förtroende genom att kontakta Storage Mover-tjänsten. Registreringsproceduren använder dina Azure-autentiseringsuppgifter och behörigheter för den lagringsflyttarresurs som du tidigare har distribuerat. Om du inte har någon molnresurs för lagringsflyttare eller om en virtuell agentdator har distribuerats ännu läser du avsnittet förutsättningar.
Steg 1: Ansluta till den virtuella agentdatorn
Den virtuella agentdatorn är en installation. Det erbjuder ett administrativt gränssnitt som begränsar de åtgärder som du kan utföra på den här datorn. När du ansluter till agenten läses gränssnittet in och ger dig alternativ som gör att du kan interagera direkt med den. Den virtuella agentdatorn är dock en Linux-baserad installation och kopierings- och inklistringsfunktioner fungerar ofta inte i standardvärdfönstret.
I stället för att använda värdfönstret bör du överväga att använda en SSH-anslutning i stället. Den här metoden ger följande fördelar:
- Du kan ansluta till den virtuella agentdatorns gränssnitt från vilken hanteringsdator som helst och behöver inte vara inloggad på värden.
- Kopiera/klistra in stöds fullt ut.
Kör ett ssh-kommando från en dator i samma undernät som agenten:
ssh <AgentIpAddress> -l admin
Viktigt!
En nyligen distribuerad Storage Mover-agent har ett standardlösenord:
Lokal användare: administratör
Standardlösenord: administratör
Du uppmanas att ändra standardlösenordet omedelbart efter att du först har anslutit till en nyligen distribuerad agent. Anteckna det nya lösenordet, det finns ingen process för att återställa det. Om du förlorar lösenordet låser du dig från det administrativa gränssnittet. Molnhantering kräver inte det här lokala administratörslösenordet. Om agenten har registrerats tidigare kan du fortfarande använda den för migreringsjobb. Agenter är disponibla. De har lite värde utöver det aktuella migreringsjobbet som de kör. Du kan alltid distribuera en ny agent och använda den i stället för att köra nästa migreringsjobb.
Steg 2: Testa nätverksanslutningen
Din agent måste vara ansluten till Internet.
När du är inloggad i det administrativa gränssnittet kan du testa agenternas anslutningstillstånd:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Välj menyalternativ 2) Nätverkskonfiguration.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Välj menyalternativ 3) Testa nätverksanslutningen.
Viktigt!
Gå bara vidare till registreringssteget när nätverksanslutningstestet inte returnerar några problem.
Steg 3: Registrera agenten
I det här steget registrerar du din agent med den lagringsflyttarresurs som du har distribuerat i en Azure-prenumeration. Anslut till agentens administrativa gränssnitt och välj sedan menyalternativ 4) Registrera:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Du uppmanas att:
Prenumerations-ID:t
Namn på resursgrupp
Resursnamn för lagringsflyttare
Agentnamn: Det här namnet visas för agenten i Azure Portal. Välj ett namn som tydligt identifierar den här virtuella agentdatorn åt dig. Se namngivningskonventionen för resurser för att välja ett namn som stöds.
Private Link-omfång: Ange det fullständigt kvalificerade resurs-ID:t för ditt Private Link-omfång om du använder privata nätverk. Mer information om Azure Private Link finns i dokumentationsartikeln för Azure Private Link.
Viktigt!
Om du har konfigurerat Storage Mover för att migrera dina data via Private Link måste du ange det fullständigt kvalificerade resurs-ID:t för ditt Private Link-omfång. Exempel:
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope
När du har angett dessa värden försöker agenten registrera sig. Under registreringsprocessen måste du logga in på Azure med autentiseringsuppgifter som har behörighet till din prenumerations- och lagringsflyttarresurs.
Viktigt!
De Azure-autentiseringsuppgifter som du använder för registrering måste ha ägarbehörighet till den angivna resursgruppen och lagringsflyttarresursen.
För autentisering använder agenten flödet för enhetsautentisering med Microsoft Entra-ID.
Agenten visar url:en för enhetsautentisering: https://microsoft.com/devicelogin och en unik inloggningskod. Gå till den visade URL:en på en internetansluten dator, ange koden och logga in på Azure med dina autentiseringsuppgifter.
Agenten visar detaljerad förlopp. När registreringen är klar kan du se agenten i Azure Portal. Det är under Registrerade agenter i lagringsflyttarresursen som du har registrerat agenten med.
Autentisering och auktorisering
För att utföra sömlös autentisering med Azure och auktorisering till olika Azure-resurser registreras agenten med följande Azure-tjänster:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Azure Storage Mover-tjänsten
Registreringen till Azure Storage-flytttjänsten är synlig och hanterbar via den lagringsflyttarresurs som du har distribuerat i din Azure-prenumeration. En registrerad agent är en ARM-resurs (Azure Resource Manager). Du kan bara skapa den här resursen genom registreringsprocessen. Du kan fråga efter information om resursen från valfri Azure Resource Manager-klient. Klienterna innehåller Azure Portal, Az PowerShell-modulen PowerShell och Az PowerShell-modulen CLI.
Du kan referera till den här ARM-resursen (Azure Resource Manager) när du vill tilldela migreringsjobb till den specifika virtuella agentdatorn som den symboliserar.
Azure Arc-tjänsten
Agenten är också registrerad hos Azure Arc-tjänsten. Arc används för att tilldela och underhålla en Microsoft Entra-hanterad identitet för den registrerade agenten.
Azure Storage Mover använder en systemtilldelad hanterad identitet. En hanterad identitet är ett huvudnamn för tjänsten av en särskild typ som bara kan användas med Azure-resurser. När den hanterade identiteten tas bort tas även motsvarande tjänsthuvudnamn bort automatiskt.
Borttagningsprocessen initieras automatiskt när du avregistrerar agenten. Det finns dock andra sätt att ta bort den här identiteten. Om du gör det blir den registrerade agenten oskadliggörande och agenten måste avregistreras. Endast registreringsprocessen kan få en agent att hämta och underhålla sin Azure-identitet korrekt.
Kommentar
Under den offentliga förhandsversionen finns det en bieffekt av registreringen med Azure Arc-tjänsten. En separat resurs av typen Server-Azure Arc distribueras också i samma resursgrupp som din lagringsflyttarresurs. Du kommer inte att kunna hantera agenten via den här resursen.
Det kan verka som om du kan hantera aspekter av lagringsflyttaragenten via Server-Azure Arc-resursen, men i de flesta fall kan du inte göra det. Det är bäst att uteslutande hantera agenten via fönstret Registrerade agenter i din lagringsflyttresurs eller via det lokala administrativa gränssnittet.
Varning
Ta inte bort Azure Arc-serverresursen som skapas för en registrerad agent i samma resursgrupp som lagringsflyttarresursen. Den enda säkra tiden att ta bort den här resursen är när du tidigare avregistrerade agenten som resursen motsvarar.
Auktorisering
Den registrerade agenten måste ha behörighet att komma åt flera tjänster och resurser i din prenumeration. Den hanterade identiteten är dess sätt att bevisa sin identitet. Azure-tjänsten eller -resursen kan sedan avgöra om agenten har behörighet att komma åt den.
Agenten har automatiskt behörighet att kommunicera med Storage Mover-tjänsten. Du kan inte se eller påverka den här auktoriseringen utan att förstöra den hanterade identiteten, till exempel genom att avregistrera agenten.
Just-in-time-auktorisering
För ett migreringsjobb är åtkomst till målslutpunkten kanske den viktigaste resursen som en agent måste auktoriseras för. Auktorisering sker via rollbaserad åtkomstkontroll. För en Azure Blob-container som mål tilldelas den registrerade agentens hanterade identitet den inbyggda rollen Storage Blob Data Contributor för målcontainern (inte hela lagringskontot). På samma sätt tilldelas den registrerade agentens hanterade identitet till den inbyggda rollen Storage File Data Privileged Contributornär du kommer åt ett Azure-filresursmål.
Dessa tilldelningar görs i administratörens inloggningskontext i Azure Portal. Därför måste administratören vara medlem i rollbaserad åtkomstkontroll (RBAC) kontrollplansrollen "Ägare" för målcontainern. Den här tilldelningen görs just-in-time när du startar ett migreringsjobb. Det är nu du har valt en agent för att köra ett migreringsjobb. Som en del av den här startåtgärden får agenten behörighet till målcontainerns dataplan. Agenten har inte behörighet att utföra några åtgärder på hanteringsplanet, till exempel att ta bort målcontainern eller konfigurera några funktioner på den.
Varning
Åtkomst beviljas till en specifik agent just-in-time för att köra ett migreringsjobb. Agentens behörighet att komma åt målet tas dock inte bort automatiskt. Du måste antingen ta bort agentens hanterade identitet manuellt från ett specifikt mål eller avregistrera agenten för att förstöra tjänstens huvudnamn. Den här åtgärden tar bort all mållagringsauktorisering samt agentens möjlighet att kommunicera med Storage Mover- och Azure Arc-tjänsterna.
Nästa steg
Definiera dina käll- och målslutpunkter som förberedelse för migrering av dina data.