共用方式為

如何註冊 Azure 儲存體Mover代理程式

  • 發行項

Azure 儲存體 Mover 服務會利用代理程式來執行您在服務中設定的移轉作業。 代理程式是您在虛擬主機上執行的虛擬機型設備,靠近來源記憶體。

您必須註冊代理程式,才能建立與 儲存體 Mover 資源的信任關係。 此信任可讓代理程式安全地接收移轉作業並報告進度。 代理程式註冊可以透過 儲存體 Mover 資源的公用或私人端點進行。 私人端點也稱為資源的私人連結,可以在 Azure 虛擬網路 (VNet) 中部署。

您可以從其他網路連線到 Azure VNET,例如內部部署公司網路。 這種類型的連線是透過 VPN 連線進行,例如 Azure Express Route。 若要深入瞭解此方法,請參閱 Azure ExpressRouteAzure Private Link 檔。

重要

目前,儲存體Mover可以設定為透過 Private Link 將移轉數據從代理程式路由傳送至目的地記憶體帳戶。 混合式計算活動訊號和憑證也可以路由傳送至虛擬網路 (VNet) 中的私人 Azure Arc 服務端點。 某些 儲存體 Mover 流量無法透過 Private Link 路由傳送,而且會透過記憶體行動器資源的公用端點路由傳送。 此數據報括控制訊息、進度遙測和複製記錄。

在本文中,您將瞭解如何成功註冊先前部署的 儲存體 Mover 代理程式虛擬機 (VM)。

必要條件

您必須先完成兩個先決條件,才能註冊 Azure 儲存體 Mover 代理程式:

  1. 您必須部署 Azure 儲存體 Mover 資源。
    請遵循建立記憶體行動器資源一文中的步驟,在您選擇的 Azure 訂用帳戶和區域中部署此資源。

  2. 您必須部署 Azure 儲存體 Mover 代理程式 VM。
    請遵循 Azure 儲存體Mover代理程式 VM 部署一文中的步驟來建立代理程式 VM,並將其連線到因特網。

註冊概觀

Image showing three components. The storage mover agent, deployed on-premises and close to the source data to be migrated. The storage mover cloud resource, deployed in an Azure resource group. And finally, a line connecting the two.

代理程式註冊程式會在代理程式與 儲存體 Mover 雲端資源之間建立信任。 信任可讓您從遠端管理代理程式,併為其指派要執行的移轉作業。

註冊一律會從代理程式起始。 為了安全起因,只有代理程式可以透過連絡 儲存體 Mover 服務來建立信任。 註冊程式會利用您先前部署之記憶體行動器資源的 Azure 認證和許可權。 如果您尚未部署記憶體行動器雲端資源或代理程式 VM,請參閱 必要條件一節

步驟 1:連線 代理程式 VM

代理程式 VM 是設備。 它提供系統管理殼層,以限制您可以在這部電腦上執行的作業。 當您連線到代理程式時,殼層會載入並提供可讓您直接與其互動的選項。 不過,代理程式 VM 是 Linux 型設備,而且複製和貼上功能通常無法在預設主機視窗中運作。

請考慮改用 SSH 連線,而不是使用主機視窗。 此方法提供下列優點:

  • 您可以從任何管理計算機連線到代理程式 VM 的殼層,而且不需要登入主機。
  • 完全支援複製/貼上。

從與代理程式位於相同子網的電腦上,執行 ssh 命令:

ssh <AgentIpAddress> -l admin

重要

新部署的 儲存體 Mover 代理程式具有默認密碼:本機用戶:
系統管理員
默認密碼: admin

系統會提示您,並建議您在您第一次連線到新部署的代理程序之後立即變更默認密碼。 記下新密碼,沒有復原它的程式。 從系統管理命令介面中遺失密碼鎖定。 雲端管理不需要此本機系統管理員密碼。 如果代理程式先前已註冊,您仍然可以將它用於移轉作業。 代理程式是可處置的。 除了他們正在執行的目前移轉作業之外,它們幾乎沒有價值。 您一律可以部署新的代理程式,並改用該代理程式來執行下一個移轉作業。

步驟 2:測試網路連線能力

您的代理程式必須連線到因特網。

登入系統管理殼層時,您可以測試代理程式連線狀態:

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

選取功能表項 2) 網路設定

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

選取功能表項 3) 測試網路連線能力

重要

只有在網路連線測試傳回任何問題時,才繼續進行註冊步驟。

步驟 3:註冊代理程式

在此步驟中,您會向您在 Azure 訂用帳戶中部署的記憶體行動器資源註冊代理程式。 連線 至代理程式的系統管理殼層,然後選取功能表項 4) 註冊

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

系統會提示您:

  • 訂用帳戶識別碼

  • 資源群組名稱

  • 儲存體mover資源名稱

  • 代理程式名稱:此名稱會顯示 Azure 入口網站 中的代理程式。 選取清楚識別此代理程式 VM 的名稱。 請參閱資源命名慣例,以選擇支持的名稱。

  • Private Link 範圍:如果您使用專用網,請提供 Private Link 範圍的完整資源識別碼。 您可以在 Azure Private Link 檔文章中找到 Azure Private Link 的詳細資訊。

    重要

    如果您已將 儲存體Mover設定為透過 Private Link 移轉數據,則必須提供 Private Link 範圍的完整資源標識碼。 例如: /subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope

提供這些值之後,代理程式會嘗試註冊。 在註冊程式期間,您必須使用具有訂用帳戶和記憶體行動器資源許可權的認證登入 Azure。

重要

您用於註冊的 Azure 認證必須具有指定資源群組和記憶體行動器資源的擁有者許可權。

為了進行驗證,代理程式會 利用裝置驗證流程 與 Microsoft Entra ID。

代理程式會顯示裝置驗證 URL: https://microsoft.com/devicelogin 和唯一的登入程式代碼。 流覽至因特網連線電腦上的顯示 URL、輸入程式代碼,然後使用您的認證登入 Azure。

代理程式會顯示詳細的進度。 註冊完成後,您就可以在 Azure 入口網站 中看到代理程式。 它位於 您已向代理程式註冊的記憶體行動器資源中已註冊的代理程式 底下。

驗證和授權

若要使用 Azure 完成無縫驗證,以及各種 Azure 資源的授權,代理程式會向下列 Azure 服務註冊:

  • Azure 儲存體 Mover (Microsoft.儲存體Mover)
  • Azure Arc (Microsoft.HybridCompute)

Azure 儲存體 Mover 服務

您可以透過您在 Azure 訂用帳戶中部署的記憶體行動器資源,看見並管理 Azure 儲存體 mover 服務的註冊。 已註冊的代理程式是 Azure Resource Manager (ARM) 資源。 您只能透過註冊程式建立此資源。 您可以從任何 Azure Resource Manager 用戶端查詢資源的詳細數據。 用戶端包括 Azure 入口網站、Az PowerShell 模組 PowerShell 和 Az PowerShell 模組 CLI。

當您想要將移轉作業指派給它所象徵的特定代理程式 VM 時,您可以參考此 Azure Resource Manager (ARM) 資源。

Azure Arc 服務

代理程式也會向 Azure Arc 服務註冊。 Arc 可用來指派和維護 此已註冊代理程式的 Microsoft Entra 受控識別

Azure 儲存體Mover會使用系統指派的受控識別。 受控識別是特殊類型的服務主體,只能與 Azure 資源搭配使用。 刪除受控識別時,也會自動移除對應的服務主體。

當您取消註冊代理程式時,會自動起始刪除程式。 不過,還有其他方法可移除此身分識別。 這樣做無法使已註冊的代理程式無法運作,並要求取消註冊代理程式。 只有註冊程式可以取得代理程式,以正確取得和維護其 Azure 身分識別。

注意

在公開預覽期間,向 Azure Arc 服務註冊會有副作用。 Server-Azure Arc 類型的個別資源也會部署在與記憶體行動器資源相同的資源群組中。 您無法透過此資源管理代理程式。

您可能能夠透過 Server-Azure Arc 資源管理記憶體行動器代理程式的各個層面,但在大多數情況下,您無法。 最好是透過記憶體移動資源中的 [已註冊的代理程式] 窗格,或透過本機系統管理殼層獨佔管理代理 程式

警告

請勿刪除針對與記憶體行動器資源位於相同資源群組中註冊代理程式所建立的 Azure Arc 伺服器資源。 刪除此資源的唯一安全時間是您先前取消註冊此資源的代理程式對應時。

授權

已註冊的代理程式必須獲得授權,才能存取您訂用帳戶中的數個服務和資源。 受控識別是證明其身分識別的方式。 然後,Azure 服務或資源可以決定是否授權代理程式存取它。

代理程式會自動獲得與 儲存體 Mover 服務交談的授權。 例如,您無法透過取消註冊代理程式來查看或影響此授權,而無法終結受控識別。

Just-In-Time 授權

對於移轉作業,存取目標端點可能是代理程式必須授權的最重要資源。 授權會透過 角色型存取控制 進行。 針對作為目標的 Azure Blob 容器,已註冊的代理程式的受控識別會指派給目標容器的內建角色 Storage Blob Data Contributor (而非整個儲存體帳戶)。 同樣地,存取 Azure 檔案共用目標時,已註冊的代理程式的受控識別會指派給內建角色 Storage File Data Privileged Contributor

這些指派是在系統管理員在Azure 入口網站的登入內容中進行。 因此,系統管理員必須是目標容器的角色型存取控制 (RBAC) 控制平面角色「擁有者」成員。 當您開始移轉作業時,會立即進行此指派。 此時您已選取代理程式來執行移轉作業。 在此啟動動作中,代理程式會獲授與目標容器之資料平面的許可權。 代理程式無權執行任何管理平面動作,例如刪除目標容器或設定其上的任何功能。

警告

存取權會授與特定代理程式 Just-In-Time 來執行移轉作業。 不過,不會自動移除代理程式存取目標的授權。 您必須手動從特定目標移除代理程式的受控識別,或取消註冊代理程式以終結服務主體。 此動作會移除所有目標儲存體授權,以及代理程式與 儲存體 Mover 和 Azure Arc 服務通訊的能力。

下一步

定義來源和目標端點,以準備移轉您的資料。

建立和管理來源和目標端點