Azure sanal makinesinde Azure Arc özellikli sunucuları değerlendirme

  • Makale

Dikkat

Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.

Azure Arc özellikli sunucular, şirket içinde veya diğer bulutlarda çalışan sunucuları Azure'a bağlamanıza yardımcı olmak için tasarlanmıştır. Normalde azure sanal makinesini Azure Arc'a bağlamazsınız çünkü aynı özelliklerin tümü bu VM'ler için yerel olarak kullanılabilir. Azure VM'lerinin Azure Resource Manager, VM uzantıları, yönetilen kimlikler ve Azure İlkesi zaten bir gösterimi vardır. Azure Arc özellikli sunucuları bir Azure VM'ye yüklemeyi denerseniz, desteklenmeyen bir hata iletisi alırsınız.

Azure Arc özellikli sunucuları üretim senaryoları için bir Azure VM'ye yükleyemeseniz de, Azure Arc özellikli sunucuları yalnızca değerlendirme ve test amacıyla Azure VM'de çalışacak şekilde yapılandırmak mümkündür. Bu makalede, test amacıyla azure vm'sini şirket içi sunucu gibi görünecek şekilde hazırlama adımları açıklanmaktadır.

Not

Bu makaledeki adımlar, Azure bulutunda barındırılan sanal makinelere yöneliktir. Azure Arc özellikli sunucular, Azure Stack Hub veya Azure Stack Edge üzerinde çalışan sanal makinelerde desteklenmez.

Önkoşullar

  • Hesabınız Sanal Makine Katılımcısı rolüne atanır.
  • Azure sanal makinesi, Azure Arc özellikli sunucular tarafından desteklenen bir işletim sistemi çalıştırıyor. Azure VM'niz yoksa basit bir Windows VM veya basit bir Ubuntu Linux 18.04 LTS VM dağıtabilirsiniz.
  • Azure VM'niz, Microsoft İndirme Merkezi'nden Windows için Azure Bağlan ed Machine aracı paketini ve Microsoft paket deposundan Linux'u indirmek için giden iletişim kurabilir. İNTERNET'e giden bağlantı BT güvenlik ilkenize göre kısıtlanmışsa aracı paketini el ile indirebilir ve Azure VM'sinde bir klasöre kopyalayabilirsiniz.
  • VM'de yükseltilmiş (yönetici veya kök olarak) ayrıcalıklara ve VM'ye RDP veya SSH erişimine sahip bir hesap.
  • Azure Arc özellikli sunuculara Azure VM'yi kaydetmek ve yönetmek için, kaynak grubundaki Azure Bağlan Ed Machine Resource Yönetici istrator veya Contributor rolünün bir üyesisiniz.

Planlama

Azure Arc özellikli bir sunucu olarak Azure VM'nizi yönetmeye başlamak için Azure Arc özellikli sunucuları yükleyip yapılandırmadan önce Azure VM'de aşağıdaki değişiklikleri yapmanız gerekir.

  1. Log Analytics aracısı gibi Azure VM'ye dağıtılan tüm VM uzantılarını kaldırın. Azure Arc özellikli sunucular, Azure VM'leriyle aynı uzantıların çoğunu desteklese de, Azure Bağlan Makine aracısı vm'ye dağıtılmış vm uzantılarını yönetemez.

  2. Azure Windows veya Linux Konuk Aracısı'nı devre dışı bırakın. Azure VM konuk aracısı, Azure Bağlan ed Machine aracısına benzer bir amaca hizmet eder. İkisi arasındaki çakışmaları önlemek için Azure VM Aracısı'nın devre dışı bırakılması gerekir. Devre dışı bırakıldıktan sonra VM uzantılarını veya bazı Azure hizmetlerini kullanamazsınız.

  3. Azure Örnek Meta Veri Hizmetine (I AVH) erişimi reddetmek için bir güvenlik kuralı oluşturun. I AVH uygulamaların vm'nin Azure'daki temsili hakkında kaynak kimliği ve konumu da dahil olmak üzere bilgi almak için çağırabileceği bir REST API'dir. Ayrıca AVH makineye atanan tüm yönetilen kimliklere erişim de sağlıyorum. Azure Arc özellikli sunucular kendi I AVH uygulamasını sağlar ve VM'nin Azure Arc gösterimi hakkında bilgi döndürür. Hem I AVH uç noktalarının kullanılabildiği hem de uygulamaların ikisi arasında seçim yapmak zorunda olduğu durumlardan kaçınmak için, Azure Arc özellikli I AVH uygulamasının tek kullanılabilir sunucu olması için I AVH Azure VM'sine erişimi engellersiniz.

Bu değişiklikleri yaptıktan sonra, Azure VM'niz Azure dışındaki herhangi bir makine veya sunucu gibi davranır ve Azure Arc özellikli sunucuları yüklemek ve değerlendirmek için gerekli başlangıç noktasındadır.

Azure Arc özellikli sunucular VM'de yapılandırıldığında Azure'da iki gösterimini görürsünüz. Biri kaynak türüne sahip Microsoft.Compute/virtualMachines Azure VM kaynağı, diğeri ise kaynak türüne sahip bir Microsoft.HybridCompute/machines Azure Arc kaynağıdır. Konuk işletim sisteminin paylaşılan fiziksel konak sunucusundan yönetilmesini engellemenin bir sonucu olarak, iki kaynak hakkında düşünmenin en iyi yolu Azure VM kaynağı vm'nizin sanal donanımıdır ve güç durumunu denetledikten sonra SKU, ağ ve depolama yapılandırmaları hakkındaki bilgileri görüntüleyebilirsiniz. Azure Arc kaynağı, bu VM'deki konuk işletim sistemini yönetir ve uzantıları yüklemek, Azure İlkesi uyumluluk verilerini görüntülemek ve Azure Arc özellikli sunucular tarafından desteklenen diğer tüm görevleri tamamlamak için kullanılabilir.

Azure VM'sini yeniden yapılandırma

Not

Windows için ortam değişkenini bir Azure VM yüklemesinde ARC'ı geçersiz kacak şekilde ayarlayın.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

  1. Azure VM'sinde tüm VM uzantılarını kaldırın.

    Azure portalında Azure VM kaynağınıza gidin ve sol bölmeden Uzantılar'ı seçin. VM'de yüklü uzantılar varsa, her uzantıyı ayrı ayrı seçin ve ardından Kaldır'ı seçin. 2. adıma geçmeden önce tüm uzantıların kaldırma işleminin tamamlanmasını bekleyin.

  2. Azure VM Konuk Aracısı'nı devre dışı bırakın.

    Azure VM Konuk Aracısı'nı devre dışı bırakmak için Uzak Masaüstü Bağlan ion (Windows) veya SSH (Linux) kullanarak VM'nize bağlanın ve konuk aracısını devre dışı bırakmak için aşağıdaki komutları çalıştırın.

    Windows için aşağıdaki PowerShell komutlarını çalıştırın:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

    Linux için aşağıdaki komutları çalıştırın:

    sudo systemctl stop walinuxagent
sudo systemctl disable walinuxagent

  3. Azure I AVH uç noktasına erişimi engelleyin.

    Sunucuya bağlıyken Azure I AVH uç noktasına erişimi engellemek için aşağıdaki komutları çalıştırın. Windows için aşağıdaki PowerShell komutunu çalıştırın:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

    Linux için, 80 numaralı TCP bağlantı noktası üzerinden giden erişimi engellemenin en iyi yolu için dağıtımınızın belgelerine 169.254.169.254/32 bakın. Normalde yerleşik güvenlik duvarıyla giden erişimi engellersiniz, ancak iptable'lar veya nftable'lar ile de geçici olarak engelleyebilirsiniz.

    Azure VM'niz Ubuntu çalıştırıyorsa, karmaşık olmayan güvenlik duvarını (UFW) yapılandırmak için aşağıdaki adımları uygulayın:

    sudo ufw --force enable
sudo ufw deny out from any to 169.254.169.254
sudo ufw default allow incoming

    Azure VM'niz CentOS, Red Hat veya SUSE Linux Enterprise Server (SLES) çalıştırıyorsa güvenlik duvarını yapılandırmak için aşağıdaki adımları gerçekleştirin:

    sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
sudo firewall-cmd --reload

    Diğer dağıtımlar için güvenlik duvarı belgelerinize başvurun veya aşağıdaki komutla genel bir iptables kuralı yapılandırın:

    sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT

    Not

    Kalıcı bir iptables çözümü kullanılmadığı sürece iptables yapılandırmasının her yeniden başlatmadan sonra ayarlanması gerekir.

  4. Azure Bağlan Ed Machine aracısını yükleyin ve yapılandırın.

    VM artık Azure Arc özellikli sunucuları değerlendirmeye başlamanıza hazırdır. Azure Bağlan ed Machine aracısını yüklemek ve yapılandırmak için bkz. Azure portalını kullanarak karma makineleri Bağlan ve betikli yöntemi kullanarak yükleme betiği oluşturma ve yükleme adımlarını izleyin.

    Not

    İnternet'e giden bağlantı Azure VM'nizden kısıtlanmışsa aracı paketini el ile indirebilirsiniz. Aracı paketini Azure VM'ye kopyalayın ve Kaynak klasöre başvurmak için Azure Arc özellikli sunucular yükleme betiğini değiştirin.

Adımlardan birini kaçırdıysanız, yükleme betiği bir Azure VM'de çalıştığını algılar ve bir hatayla sonlanır. 1-3 arası adımları tamamladığınızı doğrulayın ve betiği yeniden çalıştırın.

Azure Arc ile bağlantıyı doğrulama

Azure Arc özellikli sunuculara kaydolmak için aracıyı yükleyip yapılandırdıktan sonra, sunucunun başarıyla bağlandığını doğrulamak için Azure portalına gidin. Makinenizi Azure portalında görüntüleyin.

Başarılı bir sunucu bağlantısı

Sonraki adımlar