Udostępnij za pośrednictwem


Migrowanie z konta Uruchom jako do tożsamości zarządzanych

Ważne

  • Konto Uruchom jako usługi Azure Automation zostało wycofane 30 września 2023 r. i zostało zastąpione przez tożsamości zarządzane. Zalecamy rozpoczęcie migracji elementów Runbook do korzystania z tożsamości zarządzanych. Aby uzyskać więcej informacji, zobacz przeprowadzanie migracji z istniejących kont Uruchom jako do tożsamości zarządzanej.
  • Opóźnienie tej funkcji ma bezpośredni wpływ na obciążenie pomocy technicznej, ponieważ spowodowałoby to niepowodzenie uaktualnień agenta mobilności.

W tym artykule pokazano, jak przeprowadzić migrację elementów Runbook do korzystania z tożsamości zarządzanych dla usługi Azure Site Recovery. Konta usługi Azure Automation są używane przez klientów usługi Azure Site Recovery do automatycznego aktualizowania agentów chronionych maszyn wirtualnych. Usługa Site Recovery tworzy konta Uruchom jako usługi Azure Automation po włączeniu replikacji za pośrednictwem bloku maszyny wirtualnej IaaS i magazynu usługi Recovery Services.

Na platformie Azure zarządzane tożsamości eliminują potrzebę zarządzania poświadczeniami przez deweloperów, zapewniając tożsamość dla zasobu Azure w Microsoft Entra ID i używając jej do uzyskiwania tokenów Microsoft Entra.

Wymagania wstępne

Przed migracją z konta Uruchom jako do tożsamości zarządzanej upewnij się, że masz odpowiednie role, aby utworzyć tożsamość przypisaną przez system dla konta usługi Automation i przypisać mu rolę Właściciel w odpowiednim magazynie usługi Recovery Services.

Uwaga

Możesz użyć tego samego konta automatyzacji w wielu magazynach usługi Recovery Services, jednak zarówno konto usługi Automation, jak i magazyn usługi Recovery Services powinny znajdować się w tym samym regionie.

Korzyści z tożsamości zarządzanych

Oto niektóre korzyści płynące z używania tożsamości zarządzanych:

  • Dostęp do poświadczeń — nie musisz zarządzać poświadczeniami.
  • Uproszczone uwierzytelnianie — tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnym zasobie obsługującym uwierzytelnianie firmy Microsoft Entra, w tym własne aplikacje.
  • Ekonomiczne — tożsamości zarządzane mogą być używane bez dodatkowych kosztów.
  • Podwójne szyfrowanie — tożsamość zarządzana jest również używana do szyfrowania/odszyfrowywania danych i metadanych przy użyciu klucza zarządzanego przez klienta przechowywanego w usłudze Azure Key Vault, zapewniając podwójne szyfrowanie.

Uwaga

Tożsamości zarządzane dla zasobów platformy Azure to nowa nazwa usługi znanej wcześniej jako Tożsamość usługi zarządzanej (MSI).

Migrowanie z istniejącego konta Uruchom jako do tożsamości zarządzanej

Konfigurowanie tożsamości zarządzanych

Tożsamości zarządzane można skonfigurować za pomocą:

  • Azure Portal
  • Interfejs wiersza polecenia platformy Azure
  • szablon usługi Azure Resource Manager (ARM)

Uwaga

Aby uzyskać więcej informacji na temat cykli migracji i osi czasu pomocy technicznej dotyczącej tworzenia konta Uruchom jako i odnawiania certyfikatów, zobacz często zadawane pytania.

W witrynie Azure Portal

Aby przeprowadzić migrację typu uwierzytelniania konta usługi Azure Automation z uwierzytelniania Uruchom jako do uwierzytelniania tożsamości zarządzanej, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz magazyn usługi Recovery Services, dla którego chcesz przeprowadzić migrację elementów Runbook.

  2. Na stronie głównej magazynu usługi Recovery Services wykonaj następujące czynności:

    1. W okienku po lewej stronie w obszarze Zarządzanie wybierz pozycję Infrastruktura usługi Site Recovery. Zrzut ekranu przedstawiający stronę **Infrastruktura usługi Site Recovery**.

    2. W obszarze Dla maszyn wirtualnych platformy Azure wybierz pozycję Ustawienia aktualizacji rozszerzenia. Ta strona zawiera szczegółowe informacje o typie uwierzytelniania dla konta automatyzacji używanego do zarządzania rozszerzeniami usługi Site Recovery.

    3. Na tej stronie wybierz pozycję Migruj , aby przeprowadzić migrację typu uwierzytelniania dla kont usługi Automation, aby używać tożsamości zarządzanych.

      Zrzut ekranu przedstawiający stronę Tworzenie magazynu usługi Recovery Services.

Uwaga

Upewnij się, że tożsamość zarządzana przypisana przez system jest wyłączona dla wyświetlonego przycisku "Migruj". Jeśli konto nie zostało zmigrowane, a przycisk "Migruj" nie jest wyświetlany, wyłącz tożsamość zarządzaną dla konta usługi Automation i spróbuj ponownie.

  1. Po pomyślnej migracji konta usługi Automation zostanie zaktualizowany typ uwierzytelniania dla połączonego konta na stronie Ustawienia aktualizacji rozszerzenia.
  2. Po zakończeniu operacji migracji przełącz przycisk Site Recovery, aby zarządzać nim, aby włączyć go ponownie.

Po pomyślnym przeprowadzeniu migracji z konta Uruchom jako do konta tożsamości zarządzanych zostaną odzwierciedlone następujące zmiany na kontach Uruchom jako usługi Automation:

  • Tożsamość zarządzana przypisana przez system jest włączona dla konta (jeśli jeszcze nie jest włączona).
  • Uprawnienie roli Współautor jest przypisane do subskrypcji magazynu usługi Recovery Services.
  • Zaktualizowano skrypt, który aktualizuje agenta mobilności w celu korzystania z uwierzytelniania opartego na tożsamości zarządzanej.

Aby połączyć istniejące konto usługi Automation tożsamości zarządzanej z magazynem usługi Recovery Services. Wykonaj te kroki:

Włączanie tożsamości zarządzanej dla magazynu

  1. Przejdź do wybranego konta usługi Automation. W obszarze Ustawienia konta wybierz pozycję Tożsamość.

    Zrzut ekranu przedstawiający stronę ustawień tożsamości.

  2. W obszarze Przypisany system zmień stan na Wł., a następnie wybierz pozycję Zapisz.

    Zostanie wygenerowany identyfikator obiektu. Magazyn jest teraz zarejestrowany w usłudze Azure Active Directory. Zrzut ekranu przedstawiający stronę ustawień tożsamości systemu.

  3. Wróć do magazynu usługi Recovery Services. W okienku po lewej stronie wybierz opcję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). Zrzut ekranu przedstawiający stronę ustawień zarządzania dostępem i tożsamościami.

  4. Wybierz pozycję Dodaj>dodaj przypisanie>roli Współautor, aby otworzyć stronę Dodawanie przypisania roli.

    Uwaga

    Po ustawieniu konta usługi Automation możesz zmienić rolę konta z Współautor na Współautor usługi Site Recovery.

  5. Na stronie Dodawanie przypisania roli upewnij się, że wybrano pozycję Tożsamość zarządzana.

  6. Wybierz pozycję Wybierz członków. W okienku Wybieranie tożsamości zarządzanych wykonaj następujące czynności:

    1. W polu Wybierz wprowadź nazwę konta automatyzacji tożsamości zarządzanej.
    2. W polu Tożsamość zarządzana wybierz pozycję Wszystkie tożsamości zarządzane przypisane przez system.
    3. Wybierz opcję Wybierz. Zrzut ekranu przedstawiający stronę wybierania ustawień tożsamości zarządzanej.
  7. Wybierz Przejrzyj + przypisz.

  8. Przejdź do ustawień aktualizacji rozszerzenia w magazynie usługi Recovery Services, przełącz przycisk Site Recovery, aby zarządzać, aby włączyć je ponownie.

Następne kroki

Dowiedz się więcej na następujące tematy: