Registro de un agente de Azure Storage Mover
El servicio Azure Storage Mover utiliza agentes para llevar a cabo los trabajos de migración que configure en el servicio. El agente es un dispositivo basado en máquina virtual que se ejecuta en un host de virtualización, cerca del almacenamiento de origen.
Debe registrar un agente para crear una relación de confianza con el recurso de Storage Mover. Esta confianza permite al agente recibir de forma segura trabajos de migración e informar del progreso. El registro del agente puede producirse a través del punto de conexión público o privado del recurso de Storage Mover. Un punto de conexión privado, también conocido como vínculo privado a un recurso, se puede implementar en una red virtual (VNet) de Azure.
Puede conectarse a una red virtual de Azure desde otras redes, como una red corporativa local. Este tipo de conexión se realiza a través de una conexión VPN, como Azure ExpressRoute. Para más información sobre este enfoque, consulte la documentación de Azure ExpressRoute y Azure Private Link.
Importante
Actualmente, Storage Mover se puede configurar para enrutar los datos de migración desde el agente a la cuenta de almacenamiento de destino a través de Private Link. Los latidos y certificados de proceso híbrido también se pueden enrutar a un punto de conexión de servicio privado de Azure Arc en la red virtual (VNet). Parte del tráfico de Storage Mover no se puede enrutar a través de Private Link y se enruta a través del punto de conexión público de un recurso de Storage Mover. Estos datos incluyen mensajes de control, telemetría de progreso y registros de copia.
En este artículo, aprenderá a registrar correctamente una máquina virtual (VM) del agente de Storage Mover implementada previamente.
Requisitos previos
Hay dos requisitos previos para poder registrar un agente de Azure Storage Mover:
Debe tener implementado un recurso de Azure Storage Mover.
Siga los pasos del artículo Creación de un recurso de Storage Mover para implementar este recurso en una suscripción y región de Azure que prefiera.Debe implementar la máquina virtual del agente de Azure Storage Mover.
Siga los pasos descritos en el artículo Implementación de máquinas virtuales del agente de Azure Storage Mover para crear la máquina virtual del agente y conectarla a Internet.
Introducción al registro
El proceso de registro del agente crea una confianza entre el agente y el recurso en la nube Storage Mover. La confianza le permite administrar de forma remota el agente y asignarle los trabajos de migración que se van a ejecutar.
El registro siempre se inicia desde el agente. Por motivos de seguridad, solo el agente puede establecer confianza al ponerse en contacto con el servicio Storage Mover. El procedimiento de registro usa las credenciales y permisos de Azure en el recurso de Storage Mover que ha implementado anteriormente. Si aún no tiene un recurso en la nube de Storage Mover o una máquina virtual del agente implementada, consulte la sección requisitos previos.
Paso 1: conectarse a la máquina virtual del agente
La máquina virtual del agente es un dispositivo. Ofrece un shell administrativo que limita las operaciones que puede hacer en esta máquina. Cuando se conecta al agente, el shell se carga y proporciona opciones que le permiten interactuar directamente con él. Sin embargo, la máquina virtual del agente es un dispositivo basado en Linux y la funcionalidad de copia y pegado a menudo no funciona en la ventana de host predeterminada.
En lugar de usar la ventana host, considere la posibilidad de usar una conexión SSH en su lugar. Este enfoque proporciona las siguientes ventajas:
- Puede conectarse al shell de la máquina virtual del agente desde cualquier máquina de administración y no es necesario iniciar sesión en el host.
- Copiar y pegar es totalmente compatible.
Desde una máquina en la misma subred que el agente, ejecute un comando ssh:
ssh <AgentIpAddress> -l admin
Importante
Un agente de Storage Mover recién implementado tiene una contraseña predeterminada:
Usuario local:admin
Contraseña predeterminada:admin
Se le pedirá que cambie la contraseña predeterminada inmediatamente después de conectarse a un agente recién implementado. Anote la nueva contraseña, no hay ningún proceso para recuperarla. La pérdida de la contraseña le bloquea del shell administrativo. La administración en la nube no requiere esta contraseña de administrador local. Si el agente se registró anteriormente, todavía puede usarlo para los trabajos de migración. Los agentes son descartables. Contienen poco valor más allá del trabajo de migración actual que están ejecutando. Siempre puede implementar un nuevo agente y usarlo en su lugar para ejecutar el siguiente trabajo de migración.
Paso 2: probar la conectividad de red
El agente debe estar conectado a Internet.
Cuando haya iniciado sesión en el shell administrativo, puede probar el estado de conectividad de los agentes:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Seleccione el elemento de menú 2) Configuración de red.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Seleccione el elemento de menú 3) Probar la conectividad de red.
Importante
Continúe solo con el paso de registro cuando la prueba de conectividad de red no devuelva ningún problema.
Paso 3: registrar el agente
En este paso, registrará el agente con el recurso de Storage Mover que ha implementado en una suscripción de Azure. Conéctese al shell administrativo del agente y seleccione el elemento de menú 4) Registrar:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Se le pedirá lo siguiente:
Id. de suscripción
Nombre del grupo de recursos
Nombre del recurso de Storage Mover
Nombre del agente: este nombre se mostrará en Azure Portal. Seleccione un nombre que identifique claramente esta máquina virtual del agente. Consulte la convención de nomenclatura de recursos para elegir un nombre admitido.
Ámbito de Private Link: proporcione el identificador de recurso completo del ámbito de Private Link si usa redes privadas. Puede encontrar más información sobre Azure Private Link en el artículo de documentación de Azure Private Link.
Importante
Si ha configurado Storage Mover para migrar los datos a través de Private Link, debe proporcionar el identificador de recurso completo del ámbito de Private Link. Por ejemplo,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope
.
Después de proporcionar estos valores, el agente intentará registrarlos. Durante el proceso de registro, es necesario iniciar sesión en Azure con credenciales que tengan permisos para la suscripción y el recurso del mover de almacenamiento.
Importante
Las credenciales de Azure que use para el registro deben tener permisos de propietario para el grupo de recursos y el recurso de Storage Mover especificados.
Para la autenticación, el agente utiliza el flujo de autenticación del dispositivo con Microsoft Entra ID.
El agente mostrará la dirección URL de autenticación del dispositivo: https://microsoft.com/devicelogin y un código de inicio de sesión único. Vaya a la dirección URL mostrada en una máquina conectada a Internet, escriba el código e inicie sesión en Azure con sus credenciales.
El agente muestra el progreso detallado. Una vez completado el registro, podrá ver el agente en Azure Portal. Estará en Agentes registrados, en el recurso de Storage Mover con el que ha registrado el agente.
Autenticación y autorización
Para hacer la autenticación sin problemas con Azure, además de la autorización en varios recursos de Azure, el agente se registra con los siguientes servicios de Azure:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Servicio Azure Storage Mover
El registro en el servicio Azure Storage Mover es visible y administrable a través del recurso de Storage Mover que ha implementado en la suscripción de Azure. Un agente registrado es un recurso de Azure Resource Manager (ARM). Solo puede crear este recurso a través del proceso de registro. Puede consultar detalles sobre el recurso desde cualquier cliente de Azure Resource Manager. Los clientes incluyen Azure Portal, el módulo Az de PowerShell y la CLI del módulo Az de PowerShell.
Puede hacer referencia a este recurso de Azure Resource Manager (ARM) cuando quiera asignar trabajos de migración a la máquina virtual del agente específico que simboliza.
Servicio de Azure Arc
El agente también se registra con el servicio Azure Arc. Arc se usa para asignar y mantener una identidad administrada de Microsoft Entra para este agente registrado.
Azure Storage Mover usa una identidad administrada asignada por el sistema. Una identidad administrada es una entidad de servicio de un tipo especial que solo se puede usar con recursos de Azure. Cuando se elimina la identidad administrada, también se quita automáticamente la entidad de servicio correspondiente.
El proceso de eliminación se inicia automáticamente al anular el registro del agente. Sin embargo, hay otras maneras de quitar esta identidad. Si lo hace, incapacitará al agente registrado y requerirá que se anule su registro. Solo el proceso de registro puede conseguir que un agente obtenga y mantenga su identidad de Azure correctamente.
Nota:
Durante la versión preliminar pública, hay un efecto secundario del registro con el servicio Azure Arc. Un recurso independiente del tipo Server-Azure Arc también se implementa en el mismo grupo de recursos que el recurso de Storage Mover. No podrá administrar el agente a través de este recurso.
Aunque parezca que se pueden administrar aspectos del agente de Storage Mover a través del recurso Server-Azure Arc, pero en la mayoría de los casos no se puede. Es mejor administrar exclusivamente el agente a través del panel Agentes registrados del recurso de movimiento de almacenamiento o a través del shell administrativo local.
Advertencia
No elimine el recurso de servidor de Azure Arc que se crea para un agente registrado en el mismo grupo de recursos que el recurso de Storage Mover. El único momento seguro para eliminar este recurso es cuando se ha anulado previamente el registro del agente al que corresponde.
Authorization
El agente registrado debe tener acceso autorizado a varios servicios y recursos de la suscripción. La identidad administrada es su manera de demostrar su identidad. Después, el servicio o recurso de Azure puede decidir si el agente está autorizado para acceder a él.
El agente está autorizado automáticamente para conversar con el servicio Storage Mover. No podrá ver ni influir en esta autorización a menos que destruya la identidad administrada, por ejemplo, si anula el registro del agente.
Autorización Just-In-Time
Para un trabajo de migración, el acceso al punto de conexión de destino es quizá el recurso más importante para el que se debe autorizar un agente. La autorización tiene lugar a través del control de acceso basado en roles. Para un contenedor de blobs de Azure como destino, la identidad administrada del agente registrado se asigna al rol integrado Storage Blob Data Contributor
del contenedor de destino (no a toda la cuenta de almacenamiento). Del mismo modo, al acceder a un destino de recurso compartido de archivos de Azure, la identidad administrada del agente registrado se asigna al rol integrado Storage File Data Privileged Contributor
.
Estas asignaciones se hacen en el contexto de inicio de sesión del administrador en Azure Portal. Por lo tanto, el administrador debe ser miembro del rol del plano de control del control de acceso basado en roles (RBAC) "Propietario" para el contenedor de destino. Esta asignación se hace Just-In-Time cuando se inicia un trabajo de migración. En este momento, ha seleccionado un agente para ejecutar un trabajo de migración. Como parte de esta acción de inicio, el agente tiene permisos para el plano de datos del contenedor de destino. El agente no estará autorizado para llevar a cabo ninguna acción del plano de administración, como eliminar el contenedor de destino ni configurar ninguna característica en él.
Advertencia
El acceso se concede a un agente específico Just-In-Time para ejecutar un trabajo de migración. Sin embargo, la autorización del agente para acceder al destino no se quita automáticamente. Debe quitar manualmente la identidad administrada del agente de un destino específico o anular su registro para destruir la entidad de servicio. Esta acción quita toda la autorización de almacenamiento de destino, así como la capacidad del agente para comunicarse con los servicios Storage Mover y Azure Arc.
Pasos siguientes
Defina los puntos de conexión de origen y destino como preparación para migrar los datos.