你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Connected Machine Agent 先决条件

  • 项目

注意

本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南

本主题介绍安装 Connected Machine Agent 以将物理服务器或虚拟机载入到已启用 Azure Arc 的服务器的基本要求。 某些加入方法需要满足其他要求。

支持的环境

已启用 Azure Arc 的服务器支持在 Azure 外部托管的物理服务器和虚拟机上安装 Connected Machine Agent。 这包括对在平台上运行的虚拟机的支持,如:

  • VMware(包括 Azure VMware 解决方案)
  • Azure Stack HCI
  • 其他云环境

不应在 Azure、Azure Stack Hub 或 Azure Stack Edge 中托管的虚拟机上安装 Azure Arc,因为它们已有类似的功能。 不过,可以使用一个 Azure VM 来模拟本地环境,但目的仅仅是进行测试。

在具有以下特征的系统上使用 Azure Arc 时请格外小心:

  • 克隆的系统
  • 从备份作为另一个服务器实例还原的系统
  • 用于创建“黄金映像”,以从中创建其他虚拟机的系统

如果两个代理使用相同的配置,当两个代理都尝试充当一个 Azure 资源时,你将遇到不一致的行为。 对于这种情况,最佳做法是在克隆、从备份还原或从黄金映像创建服务器后,使用自动化工具或脚本将该服务器加入 Azure Arc。

注意

有关在 VMware 环境中使用已启用 Azure Arc 的服务器的其他信息,请参阅 VMware 常见问题解答

支持的操作系统

Azure Arc 支持以下 Windows 和 Linux 操作系统。 仅支持 x86-64(64 位)体系结构。 Azure Connected Machine 代理无法在 x86(32 位)或基于 ARM 的体系结构上运行。

  • AlmaLinux 9
  • Amazon Linux 2 和 2023
  • Azure Linux (CBL-Mariner) 1.0、2.0
  • Azure Stack HCI
  • CentOS Linux 7 和 8
  • Debian 10、11 和 12
  • Oracle Linux 7、8 和 9
  • Red Hat Enterprise Linux (RHEL) 7、8 和 9
  • Rocky Linux 8 和 9
  • SUSE Linux Enterprise Server (SLES) 12 SP3-SP5 和 15
  • Ubuntu 16.04、18.04、20.04 和 22.04 LTS
  • Windows 10、11(请参阅客户端操作系统指南
  • Windows IoT 企业版
  • Windows Server 2008 R2 SP1、2012、2012 R2、2016、2019 和 2022
    • 支持桌面和服务器核心体验
    • Azure Stack HCI 支持 Azure Edition

Azure Connected Machine 代理尚未在由信息安全中心 (CIS) 基准强化的操作系统上进行测试。

客户端操作系统指南

只有在类似于服务器的环境中使用这些计算机时,Windows 10 和 11 客户端操作系统才支持 Azure Arc 服务和 Azure Connected Machine Agent。 也就是说,计算机应该始终:

  • 连接到 Internet
  • 连接到电源
  • 已开机

例如,负责处理数字标牌、销售点解决方案和一般性后端办公系统管理任务的运行 Windows 11 的计算机非常适合使用 Azure Arc。可能长时间脱机的最终用户生产力计算机(例如笔记本电脑)不应使用 Azure Arc,而应考虑使用 Microsoft IntuneMicrosoft Configuration Manager

短期服务器和虚拟桌面基础结构

Microsoft 不建议在短期(临时)服务器或虚拟桌面基础结构 (VDI) VM 上运行 Azure Arc。 Azure Arc 专为服务器的长期管理而设计,并未针对定期创建和删除服务器的方案进行优化。 例如,Azure Arc 不知道代理是否因执行计划的系统维护而脱机,或者 VM 是否已被删除,因此它不会自动清理已停止发送检测信号的服务器资源。 因此,如果你重新创建同名的 VM,并且存在同名的现有 Azure Arc 资源,则可能会遇到冲突。

Azure Stack HCI 上的 Azure 虚拟桌面不使用短期 VM,但支持在桌面 VM 中运行 Azure Arc。

软件要求

Windows 操作系统:

Linux 操作系统:

  • systemd
  • wget(用于下载安装脚本)
  • openssl
  • gnupg(仅限基于 Debian 的系统)

Windows 系统的本地用户登录权限

Azure Hybrid Instance Metadata Service 在低特权虚拟帐户 NT SERVICE\himds 下运行。 该帐户需要 Windows 中的“作为服务登录”权限才能运行。 大多数情况下,你无需执行任何操作,因为此权限已默认授予虚拟帐户。 但是,如果组织使用组策略自定义此设置,则你需要将 NT SERVICE\himds 添加到允许作为服务登录的帐户的列表中。

可以通过从“开始”菜单打开本地组策略编辑器 (gpedit.msc) 并导航到以下策略项来检查计算机上的当前策略:

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 作为服务登录

检查列表中是否有 NT SERVICE\ALL SERVICESNT SERVICE\himdsS-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083(NT SERVICE\himds 的静态安全标识符)。 如果列表中没有任何内容,你需要与组策略管理员合作,将 NT SERVICE\himds 添加到在服务器上配置用户权限分配的任何策略中。 组策略管理员需要在安装了 Azure Connected Machine 代理的计算机上进行更改,以便对象选取器正确解析标识。 无需配置代理或将代理连接到 Azure 即可进行此更改。

本地组策略编辑器的屏幕捕获,其中显示了哪些用户有权以服务身份登录。

所需的权限

需要使用以下 Azure 内置角色来对连接的计算机进行不同方面的管理:

  • 若要加入计算机,必须对你要在其中管理服务器的资源组具有 Azure Connected Machine 加入参与者角色。
  • 若要读取、修改和删除计算机,你必须在资源组中具有 Azure Connected Machine 资源管理员角色。
  • 若要在使用“生成脚本”方法时从下拉列表中选择某个资源组,你还需要对该资源组具有读取者角色(或拥有“读取者”访问权限的另一个角色)。

Azure 订阅和服务限制

可以在任何一个资源组、订阅或租户中注册的已启用 Azure Arc 的服务器数量没有限制。

每个已启用 Azure Arc 的服务器都与一个 Microsoft Entra 对象相关联,并计入目录配额。 有关可以在 Microsoft Entra 目录中使用的最大对象数量的信息,请参阅 Microsoft Entra 服务限制和局限性

Azure 资源提供程序

若要使用已启用 Azure Arc 的服务器,必须在订阅中注册以下 Azure 资源提供程序

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureArcData(如果你计划使用启用了 Arc 的 SQL Server)
  • Microsoft.Compute(用于 Azure 更新管理器和自动扩展升级)

可以使用以下命令注册资源提供程序:

Azure PowerShell:

Connect-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridConnectivity
Register-AzResourceProvider -ProviderNamespace Microsoft.AzureArcData

Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'
az provider register --namespace 'Microsoft.HybridConnectivity'
az provider register --namespace 'Microsoft.AzureArcData'

还可以在 Azure 门户中注册资源提供程序。

后续步骤