Aracılığıyla paylaş

Azure sanal makinesinde Azure Arc özellikli sunucuları değerlendirme

  • Makale

Azure Arc özellikli sunucular, şirket içinde veya diğer bulutlarda çalışan sunucuları Azure'a bağlamanıza yardımcı olmak için tasarlanmıştır. Normalde azure sanal makinesini Azure Arc'a bağlamazsınız çünkü aynı özelliklerin tümü bu VM'ler için yerel olarak kullanılabilir. Azure VM'lerinin Azure Resource Manager, VM uzantıları, yönetilen kimlikler ve Azure İlkesi zaten bir gösterimi vardır. Azure Arc özellikli sunucuları bir Azure VM'ye yüklemeyi denerseniz, desteklenmeyen bir hata iletisi alırsınız.

Azure Arc özellikli sunucuları üretim senaryoları için bir Azure VM'ye yükleyemeseniz de, Azure Arc özellikli sunucuları yalnızca değerlendirme ve test amacıyla Azure VM'de çalışacak şekilde yapılandırmak mümkündür. Bu makalede, test amacıyla azure vm'sini şirket içi sunucu gibi görünecek şekilde hazırlama adımları açıklanmaktadır.

Not

Bu makaledeki adımlar, Azure bulutunda barındırılan sanal makinelere yöneliktir. Azure Arc özellikli sunucular, Azure Stack Hub veya Azure Stack Edge üzerinde çalışan sanal makinelerde desteklenmez.

Önkoşullar

  • Hesabınız Sanal Makine Katılımcısı rolüne atanır.
  • Azure sanal makinesi, Azure Arc özellikli sunucular tarafından desteklenen bir işletim sistemi çalıştırıyor. Azure VM'niz yoksa basit bir Windows VM veya basit bir Ubuntu Linux 18.04 LTS VM dağıtabilirsiniz.
  • Azure VM'niz, Windows için Azure Connected Machine aracı paketini Microsoft İndirme Merkezi'nden ve Linux'u Microsoft paket deposundan indirmek için giden iletişim kurabilir. İNTERNET'e giden bağlantı BT güvenlik ilkenize göre kısıtlanmışsa aracı paketini el ile indirebilir ve Azure VM'sinde bir klasöre kopyalayabilirsiniz.
  • VM'de yükseltilmiş (yönetici veya kök olarak) ayrıcalıklara ve VM'ye RDP veya SSH erişimine sahip bir hesap.
  • Azure Arc özellikli sunuculara Azure VM'yi kaydetmek ve yönetmek için, kaynak grubundaki Azure Bağlı Makine Kaynak Yöneticisi veya Katkıda Bulunan rolünün bir üyesisiniz.

Planlama

Azure Arc özellikli bir sunucu olarak Azure VM'nizi yönetmeye başlamak için Azure Arc özellikli sunucuları yükleyip yapılandırmadan önce Azure VM'de aşağıdaki değişiklikleri yapmanız gerekir.

  1. Azure İzleyici aracısı gibi Azure VM'ye dağıtılan tüm VM uzantılarını kaldırın. Azure Arc özellikli sunucular, Azure VM'leriyle aynı uzantıların çoğunu desteklese de, Azure Connected Machine aracısı vm'ye dağıtılmış vm uzantılarını yönetemez.

  2. Azure Windows veya Linux Konuk Aracısı'nı devre dışı bırakın. Azure VM konuk aracısı, Azure Connected Machine aracısına benzer bir amaca hizmet eder. İkisi arasındaki çakışmaları önlemek için Azure VM Aracısı'nın devre dışı bırakılması gerekir. Devre dışı bırakıldıktan sonra VM uzantılarını veya bazı Azure hizmetlerini kullanamazsınız.

  3. Azure Örnek Meta Veri Hizmeti'ne (IMDS) erişimi reddetmek için bir güvenlik kuralı oluşturun. IMDS, uygulamaların kaynak kimliği ve konumu dahil olmak üzere VM'nin Azure'daki gösterimi hakkında bilgi almak için çağırabileceği bir REST API'dir. IMDS ayrıca makineye atanan tüm yönetilen kimliklere erişim sağlar. Azure Arc özellikli sunucular kendi IMDS uygulamasını sağlar ve VM'nin Azure Arc gösterimi hakkında bilgi döndürür. Hem IMDS uç noktalarının kullanılabilir olduğu hem de uygulamaların ikisi arasında seçim yapmak zorunda olduğu durumlardan kaçınmak için Azure Arc özellikli sunucu IMDS uygulamasının kullanılabilir tek uygulama olması için Azure VM IMDS'sine erişimi engellersiniz.

Bu değişiklikleri yaptıktan sonra, Azure VM'niz Azure dışındaki herhangi bir makine veya sunucu gibi davranır ve Azure Arc özellikli sunucuları yüklemek ve değerlendirmek için gerekli başlangıç noktasındadır.

Azure Arc özellikli sunucular VM'de yapılandırıldığında Azure'da iki gösterimini görürsünüz. Biri kaynak türüne sahip Microsoft.Compute/virtualMachines Azure VM kaynağı, diğeri ise kaynak türüne sahip bir Microsoft.HybridCompute/machines Azure Arc kaynağıdır. Konuk işletim sisteminin paylaşılan fiziksel konak sunucusundan yönetilmesini engellemenin bir sonucu olarak, iki kaynak hakkında düşünmenin en iyi yolu Azure VM kaynağı vm'nizin sanal donanımıdır ve güç durumunu denetledikten sonra SKU, ağ ve depolama yapılandırmaları hakkındaki bilgileri görüntüleyebilirsiniz. Azure Arc kaynağı, bu VM'deki konuk işletim sistemini yönetir ve uzantıları yüklemek, Azure İlkesi uyumluluk verilerini görüntülemek ve Azure Arc özellikli sunucular tarafından desteklenen diğer tüm görevleri tamamlamak için kullanılabilir.

Azure VM'sini yeniden yapılandırma

Not

Windows için ortam değişkenini bir Azure VM yüklemesinde ARC'ı geçersiz kacak şekilde ayarlayın.

[System.Environment]::SetEnvironmentVariable("MSFT_ARC_TEST",'true', [System.EnvironmentVariableTarget]::Machine)

  1. Azure VM'sinde tüm VM uzantılarını kaldırın.

    Azure portalında Azure VM kaynağınıza gidin ve sol bölmeden Uzantılar'ı seçin. VM'de yüklü uzantılar varsa, her uzantıyı ayrı ayrı seçin ve ardından Kaldır'ı seçin. 2. adıma geçmeden önce tüm uzantıların kaldırma işleminin tamamlanmasını bekleyin.

  2. Azure VM Konuk Aracısı'nı devre dışı bırakın.

    Azure VM Konuk Aracısı'nı devre dışı bırakmak için Uzak Masaüstü Bağlantısı (Windows) veya SSH (Linux) kullanarak VM'nize bağlanın ve konuk aracısını devre dışı bırakmak için aşağıdaki komutları çalıştırın.

    Windows için aşağıdaki PowerShell komutlarını çalıştırın:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

    Linux için aşağıdaki komutları çalıştırın:

    sudo systemctl stop walinuxagent
sudo systemctl disable walinuxagent

  3. Azure IMDS uç noktasına erişimi engelleyin.

    Not

    Aşağıdaki yapılandırmaların 169.254.169.254 ve 169.254.169.253 için uygulanması gerekir. Bunlar sırasıyla Azure ve Azure Stack HCI'de IMDS için kullanılan uç noktalardır.

    Sunucuya bağlıyken Azure IMDS uç noktasına erişimi engellemek için aşağıdaki komutları çalıştırın. Windows için aşağıdaki PowerShell komutunu çalıştırın:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

    Linux için, 80 numaralı TCP bağlantı noktası üzerinden giden erişimi engellemenin en iyi yolu için dağıtımınızın belgelerine 169.254.169.254/32 bakın. Normalde yerleşik güvenlik duvarıyla giden erişimi engellersiniz, ancak iptable'lar veya nftable'lar ile de geçici olarak engelleyebilirsiniz.

    Azure VM'niz Ubuntu çalıştırıyorsa, karmaşık olmayan güvenlik duvarını (UFW) yapılandırmak için aşağıdaki adımları uygulayın:

    sudo ufw --force enable
sudo ufw deny out from any to 169.254.169.254
sudo ufw default allow incoming

    Azure VM'niz Red Hat veya SUSE Linux Enterprise Server (SLES) çalıştırıyorsa, güvenlik duvarını yapılandırmak için aşağıdaki adımları gerçekleştirin:

    sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j REJECT
sudo firewall-cmd --reload

    Diğer dağıtımlar için güvenlik duvarı belgelerinize başvurun veya aşağıdaki komutla genel bir iptables kuralı yapılandırın:

    sudo iptables -I OUTPUT 1 -d 169.254.169.254 -j REJECT

    Not

    Kalıcı bir iptables çözümü kullanılmadığı sürece iptables yapılandırmasının her yeniden başlatmadan sonra ayarlanması gerekir.

  4. Azure Connected Machine aracısını yükleyin ve yapılandırın.

    VM artık Azure Arc özellikli sunucuları değerlendirmeye başlamanıza hazırdır. Azure Connected Machine aracısını yüklemek ve yapılandırmak için bkz . Azure portalını kullanarak karma makineleri bağlama ve betikli yöntemi kullanarak yükleme betiği oluşturma ve yükleme adımlarını izleyin.

    Not

    İnternet'e giden bağlantı Azure VM'nizden kısıtlanmışsa aracı paketini el ile indirebilirsiniz. Aracı paketini Azure VM'ye kopyalayın ve Kaynak klasöre başvurmak için Azure Arc özellikli sunucular yükleme betiğini değiştirin.

Adımlardan birini kaçırdıysanız, yükleme betiği bir Azure VM'de çalıştığını algılar ve bir hatayla sonlanır. 1-3 arası adımları tamamladığınızı doğrulayın ve betiği yeniden çalıştırın.

Azure Arc ile bağlantıyı doğrulama

Azure Arc özellikli sunuculara kaydolmak için aracıyı yükleyip yapılandırdıktan sonra, sunucunun başarıyla bağlandığını doğrulamak için Azure portalına gidin. Makinenizi Azure portalında görüntüleyin.

Başarılı bir sunucu bağlantısı

Sonraki adımlar