Udostępnij za pośrednictwem


Podłączanie komputerów hybrydowych do platformy Azure na dużą skalę

Serwery z obsługą usługi Azure Arc można włączyć dla wielu maszyn z systemem Windows lub Linux w środowisku z kilkoma elastycznymi opcjami w zależności od wymagań. Korzystając z dostarczonego przez nas skryptu szablonu, możesz zautomatyzować każdy etap instalacji, w tym nawiązanie połączenia z usługą Azure Arc. Wymagane jest jednak ręczne wykonanie tego skryptu przy użyciu konta o podwyższonych uprawnieniach na maszynie docelowej i na platformie Azure.

Jedną z metod łączenia komputerów z serwerami z obsługą usługi Azure Arc jest użycie jednostki usługi Microsoft Entra. Tę metodę jednostki usługi można użyć zamiast tożsamości uprzywilejowanej, aby interaktywnie połączyć komputer. Ta jednostka usługi to specjalna ograniczona tożsamość zarządzania, która ma tylko minimalne uprawnienia niezbędne do łączenia maszyn z platformą azcmagent Azure przy użyciu polecenia . Ta metoda jest bezpieczniejsza niż korzystanie z konta o wyższych uprawnieniach, takiego jak administrator dzierżawy, i jest zgodna z naszymi najlepszymi praktykami dotyczącymi bezpieczeństwa kontroli dostępu. Jednostka usługi jest używana tylko podczas dołączania; nie jest używany w żadnym innym celu.

Przed rozpoczęciem nawiązywania połączenia z komputerami należy zapoznać się z następującymi wymaganiami:

  1. Sprawdź, czy masz uprawnienia administratora na komputery, które chcesz dołączyć.

    Do zainstalowania agenta Connectedsa Machine na maszynach wymagane są uprawnienia administratora; w systemie Linux przy użyciu konta głównego, a w systemie Windows jako członka lokalnej grupa administratorów.

  2. Zapoznaj się z wymaganiami wstępnymi i sprawdź, czy twoja subskrypcja i zasoby spełniają wymagania. Musisz mieć rolę dołączania maszyny połączonej platformy Azure lub rolę Współautor dla grupy zasobów maszyny. Sprawdź, czy poniżsi dostawcy zasobów platformy Azure zostali wcześniej zarejestrowani w subskrypcji docelowej.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (jeśli planujesz włączyć Arc do instancji SQL Server)

    Szczegółowe instrukcje można znaleźć tutaj: Wymagania wstępne dostawców zasobów platformy Azure

    Aby uzyskać informacje o obsługiwanych regionach i innych powiązanych zagadnieniach, zobacz obsługiwane regiony świadczenia usługi Azure. Zapoznaj się również z naszym przewodnikiem planowania na dużą skalę, aby zrozumieć kryteria projektowania i wdrażania, a także nasze zalecenia dotyczące zarządzania i monitorowania.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Automatyczne połączenie dla programu SQL Server

Po podłączeniu serwera Windows lub Linux do usługi Azure Arc, gdzie zainstalowano również program Microsoft SQL Server, wystąpienia programu SQL Server zostaną automatycznie połączone z usługą Azure Arc. Program SQL Server włączony przez usługę Azure Arc zapewnia szczegółową inwentaryzację i dodatkowe możliwości zarządzania wystąpieniami programu SQL Server i bazami danych. W ramach procesu łączenia na serwerze z włączoną usługą Azure Arc zostanie wdrożone rozszerzenie, a do serwera SQL Server i baz danych zostaną zastosowane nowe role. Jeśli nie chcesz automatycznie łączyć serwerów SQL z usługą Azure Arc, możesz zrezygnować, dodając tag do serwera z systemem Windows lub Linux o nazwie ArcSQLServerExtensionDeployment i wartości Disabled , gdy jest połączony z usługą Azure Arc.

Aby uzyskać więcej informacji, zobacz Zarządzanie automatycznym połączeniem dla programu SQL Server włączonego przez usługę Azure Arc.

Tworzenie jednostki usługi na potrzeby wdrażania do pracy na dużą skalę

Jednostkę usługi można utworzyć w witrynie Azure Portal lub przy użyciu programu Azure PowerShell.

Uwaga

Aby utworzyć jednostkę usługi, dzierżawa firmy Microsoft Entra musi zezwolić użytkownikom na rejestrowanie aplikacji. Jeśli tak nie jest, Twoje konto musi być członkiem roli administracyjnej Administrator aplikacji lub Administrator aplikacji w chmurze. Aby uzyskać więcej informacji na temat wymagań dotyczących poziomu dzierżawy, zobacz Delegowanie uprawnień rejestracji aplikacji w usłudze Microsoft Entra ID . Aby przypisać role serwera z obsługą usługi Arc, twoje konto musi być członkiem roli Właściciel lub Administrator dostępu użytkowników w subskrypcji, która ma być używana do dołączania.

Azure Portal

Usługa Azure Arc w witrynie Azure Portal zapewnia usprawniony sposób tworzenia jednostki usługi, która może służyć do łączenia maszyn hybrydowych z platformą Azure.

  1. W witrynie Azure Portal przejdź do usługi Azure Arc, a następnie wybierz pozycję Jednostki usługi w menu po lewej stronie.
  2. Wybierz Dodaj.
  3. Wprowadź nazwę jednostki usługi.
  4. Określ, czy jednostka usługi będzie miała dostęp do całej subskrypcji, czy tylko do określonej grupy zasobów.
  5. Wybierz subskrypcję (i grupę zasobów, jeśli ma to zastosowanie), do której jednostka usługi będzie miała dostęp.
  6. W sekcji Klucz tajny klienta wybierz czas trwania, dla którego będzie używany wygenerowany klucz tajny klienta. Opcjonalnie możesz wprowadzić przyjazną nazwę wybranego w polu Opis .
  7. W sekcji Przypisanie roli wybierz pozycję Dołączanie połączonej maszyny platformy Azure.
  8. Wybierz pozycję Utwórz.

Zrzut ekranu przedstawiający ekran tworzenia jednostki usługi Azure Arc w witrynie Azure Portal.

Azure PowerShell

Za pomocą programu Azure PowerShell można utworzyć jednostkę usługi za pomocą polecenia cmdlet New-AzADServicePrincipal.

  1. Sprawdź kontekst sesji programu Azure PowerShell, aby upewnić się, że pracujesz w odpowiedniej subskrypcji. Jeśli chcesz zmienić subskrypcję, użyj polecenia Set-AzContext .

    Get-AzContext
    
  2. Uruchom następujące polecenie, aby utworzyć jednostkę usługi i przypisać jej rolę dołączania maszyny połączonej platformy Azure dla wybranej subskrypcji. Po utworzeniu jednostki usługi zostanie wyświetlony identyfikator aplikacji i wpis tajny. Wpis tajny jest ważny przez 1 rok, po którym należy wygenerować nowy wpis tajny i zaktualizować wszystkie skrypty przy użyciu nowego wpisu tajnego.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
    $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
    
    AppId                                Secret
    -----                                ------
    aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
    

    Wartości z następujących właściwości są używane z parametrami przekazywanymi do elementu azcmagent:

    • Wartość właściwości AppId jest używana dla wartości parametru --service-principal-id
    • Wartość z właściwości Secret jest używana dla parametru używanego --service-principal-secret do łączenia agenta.

Generowanie skryptu instalacji z portalu Azure Portal

Użyj witryny Azure Portal, aby utworzyć skrypt, który automatyzuje pobieranie i instalację agenta oraz ustanawia połączenie z usługą Azure Arc. Aby ukończyć ten proces, wykonaj następujące czynności:

  1. W przeglądarce przejdź do witryny Azure Portal.

  2. Na stronie Maszyny — Azure Arc wybierz pozycję Dodaj/Utwórz w lewym górnym rogu, a następnie wybierz pozycję Dodaj maszynę z menu rozwijanego.

  3. Na stronie Dodawanie serwerów za pomocą usługi Azure Arc wybierz kafelek Dodaj wiele serwerów, a następnie wybierz pozycję Generuj skrypt.

  4. Na stronie Podstawy podaj następujące informacje:

    1. Wybierz subskrypcję i grupę zasobów dla maszyn.
    2. Z listy rozwijanej Region wybierz region świadczenia usługi Azure, aby przechowywać metadane serwerów.
    3. Z listy rozwijanej System operacyjny wybierz system operacyjny skonfigurowany do uruchamiania skryptu.
    4. W polu Metoda łączności wybierz sposób połączenia agenta usługi Azure Connected Machine z Internetem:
      • Publiczny punkt końcowy
      • Serwer proxy — wprowadź adres IP serwera proxy lub nazwę i numer portu, który będzie używany przez maszynę w formacie http://<proxyURL>:<proxyport>.
      • Prywatny punkt końcowy — wybierz istniejący zakres łącza prywatnego i punkt końcowy lub utwórz nowy.
    5. Wybierz Dalej.
    6. W sekcji Uwierzytelnianie na liście rozwijanej Jednostka usługi wybierz pozycję Arc-for-servers. Następnie wybierz pozycję Dalej.
  5. Na stronie Tagi przejrzyj sugerowane domyślne tagi lokalizacji fizycznej i wprowadź wartość lub określ co najmniej jeden tag niestandardowy do obsługi standardów.

  6. Wybierz Dalej.

  7. Na stronie Pobieranie i uruchamianie skryptu przejrzyj informacje podsumowania, a następnie wybierz pozycję Pobierz. Jeśli nadal musisz wprowadzać zmiany, wybierz pozycję Wstecz.

W przypadku systemu Windows zostanie wyświetlony monit o zapisanie OnboardingScript.ps1elementu i dla systemu Linux OnboardingScript.sh na komputerze.

Instalowanie agenta i nawiązywanie połączenia z platformą Azure

Korzystając z utworzonego wcześniej szablonu skryptu, można zainstalować i skonfigurować agenta połączonej maszyny na wielu hybrydowych maszynach z systemem Linux i Windows przy użyciu preferowanego narzędzia automatyzacji w organizacji. Skrypt wykonuje podobne kroki opisane w artykule Łączenie maszyn hybrydowych z platformą Azure w witrynie Azure Portal . Różnica polega na ostatnim kroku, w którym nawiązujesz połączenie z usługą Azure Arc przy użyciu polecenia przy użyciu azcmagent jednostki usługi.

Poniżej przedstawiono ustawienia, które konfigurują azcmagent polecenie do użycia dla jednostki usługi.

  • service-principal-id : unikatowy identyfikator (GUID), który reprezentuje identyfikator aplikacji jednostki usługi.
  • service-principal-secret | Hasło jednostki usługi.
  • tenant-id : unikatowy identyfikator (GUID), który reprezentuje twoje dedykowane wystąpienie identyfikatora Entra firmy Microsoft.
  • subscription-id : identyfikator subskrypcji (GUID) subskrypcji platformy Azure, w której mają być używane maszyny.
  • resource-group : nazwa grupy zasobów, do której mają należeć połączone maszyny.
  • location : Zobacz obsługiwane regiony platformy Azure. Ta lokalizacja może być taka sama lub inna, co lokalizacja grupy zasobów.
  • resource-name : (Opcjonalnie) Służy do reprezentacji zasobu platformy Azure na maszynie lokalnej. Jeśli nie określisz tej wartości, zostanie użyta nazwa hosta maszyny.

Aby dowiedzieć się więcej na temat azcmagent narzędzia wiersza polecenia, zapoznaj się z dokumentacją modułu Azcmagent.

Uwaga

Skrypt programu Windows PowerShell obsługuje tylko uruchamianie z 64-bitowej wersji programu Windows PowerShell.

Po zainstalowaniu agenta i skonfigurowaniu go w celu nawiązania połączenia z serwerami z obsługą usługi Azure Arc przejdź do witryny Azure Portal, aby sprawdzić, czy serwer został pomyślnie połączony. Wyświetl maszyny w witrynie Azure Portal.

Zrzut ekranu przedstawiający pomyślne połączenie serwera w witrynie Azure Portal.

Następne kroki

  • Zapoznaj się z przewodnikiem planowania i wdrażania, aby zaplanować wdrażanie serwerów z obsługą usługi Azure Arc w dowolnej skali i zaimplementować scentralizowane zarządzanie i monitorowanie.
  • Dowiedz się, jak rozwiązywać problemy z połączeniem agenta.
  • Dowiedz się, jak zarządzać maszynami przy użyciu usługi Azure Policy, aby uzyskać informacje o konfiguracji gościa maszyny wirtualnej, weryfikować, czy maszyny raportują do oczekiwanego obszaru roboczego usługi Log Analytics, monitorowania za pomocą szczegółowych informacji o maszynach wirtualnych i nie tylko.