Udostępnij za pośrednictwem

Nawiązywanie połączenia z usługą AWS za pomocą łącznika wielochmurowego w witrynie Azure Portal

  • Artykuł

Łącznik wielochmurowy włączony przez usługę Azure Arc umożliwia łączenie zasobów chmury publicznej spoza platformy Azure z platformą Azure przy użyciu witryny Azure Portal. Obecnie obsługiwane są środowiska chmury publicznej platformy AWS.

W ramach łączenia konta platformy AWS z platformą Azure wdrażasz szablon CloudFormation na koncie platformy AWS. Ten szablon tworzy wszystkie wymagane zasoby dla połączenia.

Wymagania wstępne

Aby korzystać z łącznika wielochmurowego, potrzebne są odpowiednie uprawnienia zarówno na platformie AWS, jak i na platformie Azure.

Wymagania wstępne dotyczące platformy AWS

Aby utworzyć łącznik i użyć spisu wielochmurowego, potrzebne są następujące uprawnienia w usłudze AWS:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

W przypadku dołączania do usługi Arc istnieje więcej wymagań wstępnych, które muszą zostać spełnione.

Uprawnienia rozwiązania AWS

Po przekazaniu szablonu CloudFormation zostanie zażądana większa liczba uprawnień na podstawie wybranych rozwiązań:

  • W obszarze Spis możesz wybrać swoje uprawnienia:

    1. Odczyt globalny: zapewnia dostęp tylko do odczytu do wszystkich zasobów na koncie platformy AWS. Po wprowadzeniu nowych usług łącznik może skanować te zasoby bez konieczności aktualizowania szablonu CloudFormation.

    2. Dostęp do najniższych uprawnień: zapewnia dostęp do odczytu tylko do zasobów w ramach wybranych usług. Jeśli zdecydujesz się na skanowanie pod kątem większej liczby zasobów w przyszłości, należy przekazać nowy szablon CloudFormation.

  • W przypadku dołączania do usługi Arc nasza usługa wymaga dostępu do zapisu EC2 w celu zainstalowania agenta połączonej maszyny platformy Azure.

Wymagania wstępne platformy Azure

Aby korzystać z łącznika wielochmurowego w ramach subskrypcji platformy Azure, musisz mieć wbudowaną rolę Współautor .

Jeśli używasz usługi po raz pierwszy, musisz zarejestrować tych dostawców zasobów, co wymaga dostępu współautora w subskrypcji:

  • Microsoft.HybridCompute

  • Microsoft.HybridConnectivity

  • Microsoft.AwsConnector

  • Microsoft.Kubernetes

Uwaga

Łącznik wielochmurowy może współpracować z łącznikiem platformy AWS w Defender dla Chmury. Jeśli wybierzesz, możesz użyć obu tych łączników.

Dodawanie chmury publicznej w witrynie Azure Portal

Aby dodać chmurę publiczną platformy AWS do platformy Azure, użyj witryny Azure Portal, aby wprowadzić szczegóły i wygenerować szablon CloudFormation.

  1. W witrynie Azure Portal przejdź do usługi Azure Arc.

  2. W obszarze Zarządzanie wybierz pozycję Łączniki wielochmurowe (wersja zapoznawcza).

  3. W okienku Łączniki wybierz pozycję Utwórz.

  4. Na stronie Podstawy:

    1. Wybierz subskrypcję i grupę zasobów, w której chcesz utworzyć zasób łącznika.
    2. Wprowadź unikatową nazwę łącznika i wybierz obsługiwany region.
    3. Podaj identyfikator konta platformy AWS, z którym chcesz się połączyć, i określ, czy jest to jedno konto, czy konto organizacji.
    4. Wybierz Dalej.

  5. Na stronie Rozwiązania wybierz rozwiązania, których chcesz używać z tym łącznikiem, i skonfiguruj je. Wybierz pozycję Dodaj, aby włączyć inwentaryzację, dołączanie do usługi Arc lub obie te opcje.

    Zrzut ekranu przedstawiający łącznik Rozwiązania dla łącznika platformy AWS w witrynie Azure Portal.

    • W obszarze Spis można zmodyfikować następujące opcje:

      1. Wybierz, czy chcesz włączyć opcję Dodaj wszystkie obsługiwane usługi AWS. Domyślnie jest to włączone, aby wszystkie usługi (dostępne teraz i dodane w przyszłości) zostały zeskanowane.

      2. Wybierz usługi AWS, dla których chcesz skanować i importować zasoby. Domyślnie wszystkie dostępne usługi są zaznaczone.

      3. Wybierz swoje uprawnienia. Jeśli zaznaczono opcję Dodaj wszystkie obsługiwane usługi AWS, musisz mieć globalny dostęp do odczytu .

      4. Wybierz, czy włączyć okresową synchronizację. Domyślnie jest to włączone, aby łącznik regularnie skanował konto platformy AWS. Jeśli usuniesz zaznaczenie pola, twoje konto platformy AWS zostanie zeskanowane tylko raz.

      5. Jeśli opcja Włącz okresową synchronizację jest zaznaczona, potwierdź lub zmień opcję Powtarzaj każdy wybór, aby określić częstotliwość skanowania konta platformy AWS.

      6. Wybierz, czy włączyć opcję Uwzględnij wszystkie obsługiwane regiony platformy AWS. Po wybraniu tej opcji wszystkie bieżące i przyszłe regiony platformy AWS są skanowane.

      7. Wybierz regiony do skanowania pod kątem zasobów na koncie platformy AWS. Domyślnie wybierane są wszystkie dostępne regiony. W przypadku wybrania opcji Uwzględnij wszystkie obsługiwane regiony platformy AWS należy wybrać wszystkie regiony.

      8. Po zakończeniu wybierania wybierz pozycję Zapisz , aby powrócić do strony Rozwiązania .

    • W przypadku dołączania do usługi Arc:

      1. Wybierz metodę łączności, aby określić, czy agent połączonej maszyny powinien łączyć się z Internetem za pośrednictwem publicznego punktu końcowego lub przez serwer proxy. W przypadku wybrania pozycji Serwer proxy podaj adres URL serwera proxy, z którym można nawiązać połączenie z wystąpieniem usługi EC2.

      2. Wybierz, czy włączyć okresową synchronizację. Domyślnie jest to włączone, aby łącznik regularnie skanował konto platformy AWS. Jeśli usuniesz zaznaczenie pola, twoje konto platformy AWS zostanie zeskanowane tylko raz.

      3. Jeśli opcja Włącz okresową synchronizację jest zaznaczona, potwierdź lub zmień opcję Powtarzaj każdy wybór, aby określić częstotliwość skanowania konta platformy AWS.

      4. Wybierz, czy włączyć opcję Uwzględnij wszystkie obsługiwane regiony platformy AWS. Po wybraniu tej opcji wszystkie bieżące i przyszłe regiony platformy AWS są skanowane.

      5. Wybierz regiony do skanowania pod kątem wystąpień usługi EC2 na koncie platformy AWS. Domyślnie wybierane są wszystkie dostępne regiony. W przypadku wybrania opcji Uwzględnij wszystkie obsługiwane regiony platformy AWS należy wybrać wszystkie regiony.

      6. Wybierz filtrowanie wystąpień EC2 według tagu AWS. Jeśli w tym miejscu wprowadzisz wartość tagu, tylko wystąpienia usługi EC2 zawierające ten tag są dołączane do usługi Arc. Pozostawiając tę wartość pustą, wszystkie odnalezione wystąpienia usługi EC2 są dołączane do usługi Arc.

  6. Na stronie Szablon uwierzytelniania pobierz szablon CloudFormation, który zostanie przekazany do platformy AWS. Ten szablon jest tworzony na podstawie informacji podanych w temacie Podstawy i wybrane rozwiązania. Szablon można przekazać od razu lub poczekać na zakończenie dodawania chmury publicznej.

  7. Na stronie Tagi wprowadź wszelkie tagi, których chcesz użyć.

  8. Na stronie Przeglądanie i tworzenie potwierdź informacje, a następnie wybierz pozycję Utwórz.

Jeśli szablon nie został przekazany podczas tego procesu, wykonaj kroki opisane w następnej sekcji, aby to zrobić.

Przekazywanie szablonu CloudFormation do platformy AWS

Po zapisaniu szablonu CloudFormation wygenerowanego w poprzedniej sekcji należy przekazać go do chmury publicznej platformy AWS. Jeśli przekażesz szablon przed zakończeniem łączenia chmury AWS w witrynie Azure Portal, zasoby platformy AWS są skanowane natychmiast. Jeśli ukończysz proces Dodawanie chmury publicznej w witrynie Azure Portal przed przekazaniem szablonu, skanowanie zasobów platformy AWS i udostępnienie ich na platformie Azure potrwa nieco dłużej.

Tworzenie stosu

Wykonaj następujące kroki, aby utworzyć stos i przekazać szablon:

  1. Otwórz konsolę AWS CloudFormation i wybierz pozycję Utwórz stos.

  2. Wybierz pozycję Szablon jest gotowy, a następnie wybierz pozycję Przekaż plik szablonu. Wybierz pozycję Wybierz plik i przejdź, aby wybrać szablon. Następnie kliknij przycisk Dalej.

  3. W obszarze Określ szczegóły stosu wprowadź nazwę stosu.

    1. Jeśli wybrano rozwiązanie dołączania do usługi Arc, wypełnij następujące szczegóły w parametrach stosu:

      1. EC2SSMIAMRoleAutoAssignment: określa, czy role IAM używane dla zadań SSM są automatycznie przypisywane do wystąpień usługi EC2. Domyślnie jest ona ustawiona na wartość true , a wszystkie odnalezione usługi EC2 będą miały przypisaną rolę IAM. Jeśli ustawisz wartość false, musisz ręcznie przypisać rolę zarządzanie dostępem i tożsamościami do wystąpień usługi EC2, które mają zostać dołączone do usługi Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: określa, czy rola IAM usługi EC2 używana dla zadań SSM powinna być okresowo przypisywana automatycznie. Domyślnie jest to włączone , co oznacza, że każda w przyszłości wykryta maszyna EC2 będzie miała automatycznie przypisaną rolę zarządzanie dostępem i tożsamościami. Jeśli ustawisz tę opcję na wyłączenie, musisz ręcznie przypisać rolę zarządzanie dostępem i tożsamościami do wszystkich nowo wdrożonych usług EC2, które mają zostać dołączone do usługi Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: określa okresowy interwał automatycznego przypisania roli IAM EC2 używanej dla zadań SSM (na przykład 15 minut, 6 godzin lub 1 dzień). Jeśli ustawisz parametr EC2SSMIAMRoleAutoAssignment na true i EC2SSMIAMRoleAutoAssignmentSchedule, możesz wybrać, jak często chcesz skanować pod kątem nowych wystąpień usługi EC2, które mają zostać przypisane do roli IAM. Domyślnie jest to 1 dzień.

      4. EC2SSMIAMRolePolicyUpdateAllowed: określa, czy istniejące role zarządzania dostępem i tożsamościami ec2 używane dla zadań SSM mogą być aktualizowane przy użyciu wymaganych zasad uprawnień, jeśli ich brakuje. Domyślnie jest to wartość true. Jeśli zdecydujesz się ustawić wartość false, musisz ręcznie dodać to uprawnienie roli zarządzanie dostępem i tożsamościami do wystąpienia usługi EC2.

    2. W przeciwnym razie pozostaw inne opcje ustawione na ustawienia domyślne i wybierz przycisk Dalej.

  4. W obszarze Konfigurowanie opcji stosu pozostaw opcje ustawione na ustawienia domyślne, a następnie wybierz pozycję Dalej.

  5. W obszarze Przeglądanie i tworzenie upewnij się, że informacje są poprawne, zaznacz pole wyboru potwierdzenia, a następnie wybierz pozycję Prześlij.

Tworzenie zestawu stosów

Jeśli twoje konto platformy AWS jest kontem organizacji, musisz również utworzyć zestaw StackSet i ponownie przekazać szablon. Aby to zrobić:

  1. Otwórz konsolę AWS CloudFormation i wybierz pozycję StackSets, a następnie wybierz pozycję Utwórz zestaw stosów.

  2. Wybierz pozycję Szablon jest gotowy, a następnie wybierz pozycję Przekaż plik szablonu. Wybierz pozycję Wybierz plik i przejdź, aby wybrać szablon. Następnie kliknij przycisk Dalej.

  3. W obszarze Określanie szczegółów stosu wprowadź jako AzureArcMultiCloudStackset nazwę StackSet

    1. Jeśli wybrano rozwiązanie do dołączania do usługi Arc, wypełnij następujące szczegóły w parametrach stosu:

      1. EC2SSMIAMRoleAutoAssignment: określa, czy role IAM używane dla zadań SSM są automatycznie przypisywane do wystąpień usługi EC2. Domyślnie jest ona ustawiona na wartość true , a wszystkie odnalezione usługi EC2 będą miały przypisaną rolę IAM. Jeśli ustawisz wartość false, musisz ręcznie przypisać rolę zarządzanie dostępem i tożsamościami do wystąpień usługi EC2, które mają zostać dołączone do usługi Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: określa, czy rola IAM usługi EC2 używana dla zadań SSM powinna być okresowo automatycznie przypisywana. Domyślnie jest to włączone , co oznacza, że każda w przyszłości wykryta maszyna EC2 będzie miała automatycznie przypisaną rolę zarządzanie dostępem i tożsamościami. Jeśli ustawisz tę opcję na wyłączenie, musisz ręcznie przypisać rolę zarządzanie dostępem i tożsamościami do dowolnego nowo wdrożonego wystąpienia usługi EC2, które ma zostać dołączone do usługi Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: określa okresowy interwał automatycznego przypisania roli IAM EC2 używanej dla zadań SSM (takich jak, 15 minut, 6 godzin lub 1 dzień). Jeśli ustawisz parametr EC2SSMIAMRoleAutoAssignment na true i EC2SSMIAMRoleAutoAssignmentSchedule, możesz wybrać, jak często chcesz skanować pod kątem nowych wystąpień usługi EC2, które mają zostać przypisane do roli IAM. Domyślnie jest to 1 dzień.

      4. EC2SSMIAMRolePolicyUpdateAllowed: określa, czy istniejące role zarządzania dostępem i tożsamościami ec2 używane dla zadań SSM mogą być aktualizowane przy użyciu wymaganych zasad uprawnień, jeśli ich brakuje. Domyślnie jest to wartość true. Jeśli zdecydujesz się ustawić wartość false, musisz ręcznie dodać to uprawnienie roli zarządzanie dostępem i tożsamościami do wystąpienia usługi EC2.

    2. W przeciwnym razie pozostaw inne opcje ustawione na ustawienia domyślne i wybierz przycisk Dalej.

  4. W obszarze Konfigurowanie opcji stosu pozostaw opcje ustawione na ustawienia domyślne, a następnie wybierz pozycję Dalej.

  5. W obszarze Ustaw opcje wdrażania wprowadź identyfikator konta platformy AWS, na którym zostanie wdrożony zestaw StackSet, i wybierz dowolny region platformy AWS, aby wdrożyć stos. Pozostaw inne opcje ustawione na ustawienia domyślne, a następnie wybierz pozycję Dalej.

  6. W obszarze Przejrzyj upewnij się, że informacje są poprawne, zaznacz pole wyboru potwierdzenia, a następnie wybierz pozycję Prześlij.

Potwierdzanie wdrożenia

Po zakończeniu opcji Dodaj chmurę publiczną na platformie Azure i przekazaniu szablonu do platformy AWS łącznik i wybrane rozwiązania zostaną utworzone. Średnio udostępnienie zasobów platformy AWS na platformie Azure zajmuje około godziny. Jeśli przekażesz szablon po utworzeniu chmury publicznej na platformie Azure, może upłynąć nieco więcej czasu, zanim zobaczysz zasoby platformy AWS.

Zasoby platformy AWS są przechowywane w grupie zasobów przy użyciu konwencji aws_yourAwsAccountIdnazewnictwa . Skanowanie będzie uruchamiane regularnie w celu zaktualizowania tych zasobów na podstawie opcji Włącz okresową synchronizację .

Następne kroki

  • Wykonywanie zapytań dotyczących spisu za pomocą rozwiązania spisu łącznika z wieloma chmurami.
  • Dowiedz się, jak używać rozwiązania dołączania do usługi Arc w wielu chmurach.