Como registrar um agente do Azure Storage Mover
O serviço Azure Storage Mover utiliza agentes que executam os trabalhos de migração configurados no serviço. O agente é um dispositivo baseado em máquina virtual que você executa em um host de virtualização, próximo ao armazenamento de origem.
Você precisa registrar um agente para criar uma relação de confiança com seu recurso do Storage Mover. Essa confiança permite que seu agente receba com segurança trabalhos de migração e relate o progresso. O registro do agente pode ocorrer no ponto de extremidade público ou privado do recurso do Storage Mover. Um ponto de extremidade privado, também conhecido como link privado para um recurso, pode ser implantado em uma rede virtual (VNet) do Azure.
Você pode se conectar a uma VNET do Azure de outras redes, como uma rede corporativa local. Esse tipo de conexão é feito por meio de uma conexão VPN, como a Rota Expressa do Azure. Para saber mais sobre essa abordagem, consulte a documentação do Azure ExpressRoute e do Azure Private Link.
Importante
Atualmente, o Storage Mover pode ser configurado para rotear dados de migração do agente para a conta de armazenamento de destino por meio do Private Link. As pulsações e certificados de computação híbrida também podem ser roteados para um ponto de extremidade privado do serviço Azure Arc em sua rede virtual (VNet). Parte do tráfego do Storage Mover não pode ser roteado por meio do Private Link e é roteado pelo ponto de extremidade público de um recurso do Storage Mover. Esses dados incluem mensagens de controle, telemetria de progresso e logs de cópia.
Neste artigo, você aprenderá a registrar com êxito uma máquina virtual (VM) do agente do Storage Mover implantada anteriormente.
Pré-requisitos
Há dois pré-requisitos a serem concluídos antes que você possa registrar um agente do Azure Storage Mover:
Você precisa ter um recurso do Azure Storage Mover implantado.
Siga as etapas no artigo Criar um recurso de movimentação de armazenamento para implantar esse recurso em uma assinatura do Azure e região de sua escolha.Você precisa implantar a VM do agente do Azure Storage Mover.
Siga as etapas no artigo de implantação da VM do agente do Azure Storage Mover para criar a VM do agente e conectá-la à Internet.
Visão geral do registo
O processo de registro do agente cria uma relação de confiança entre o agente e o recurso de nuvem do Storage Mover. A confiança permite que você gerencie remotamente o agente e atribua a ele trabalhos de migração para execução.
O registo é sempre iniciado a partir do agente. No interesse da segurança, somente o agente pode estabelecer confiança entrando em contato com o serviço Storage Mover. O procedimento de registro utiliza suas credenciais e permissões do Azure no recurso de movimentação de armazenamento que você implantou anteriormente. Se você ainda não tiver um recurso de nuvem de movimentação de armazenamento ou uma VM de agente implantada, consulte a seção de pré-requisitos.
Etapa 1: Conectar-se à VM do agente
A VM do agente é um dispositivo. Ele oferece um shell administrativo que limita as operações que você pode executar nesta máquina. Quando você se conecta ao agente, o shell carrega e fornece opções que permitem que você interaja diretamente com ele. No entanto, a VM do agente é um dispositivo baseado em Linux e a funcionalidade de copiar e colar geralmente não funciona na janela padrão do host.
Em vez de usar a janela do host, considere usar uma conexão SSH. Esta abordagem oferece as seguintes vantagens:
- Você pode se conectar ao shell da VM do agente a partir de qualquer máquina de gerenciamento e não precisa estar conectado ao host.
- Copiar / colar é totalmente suportado.
A partir de uma máquina na mesma sub-rede que o agente, execute um comando ssh:
ssh <AgentIpAddress> -l admin
Importante
Um agente do Storage Mover recém-implantado tem uma senha padrão:
Usuário local: admin
Senha padrão: admin
Você será solicitado a alterar a senha padrão imediatamente após se conectar pela primeira vez a um agente recém-implantado. Anote a nova senha, não há nenhum processo para recuperá-la. Perder sua senha bloqueia você do shell administrativo. O gerenciamento de nuvem não requer essa senha de administrador local. Se o agente foi registrado anteriormente, você ainda pode usá-lo para trabalhos de migração. Os agentes são descartáveis. Eles têm pouco valor além do trabalho de migração atual que estão executando. Você sempre pode implantar um novo agente e usá-lo para executar o próximo trabalho de migração.
Etapa 2: Testar a conectividade de rede
Seu agente precisa estar conectado à internet.
Quando conectado ao shell administrativo, você pode testar o estado de conectividade dos agentes:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Selecione o item de menu 2) Configuração de rede.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Selecione o item de menu 3) Testar a conectividade de rede.
Importante
Só prossiga para a etapa de registro quando o teste de conectividade de rede não retornar nenhum problema.
Etapa 3: Registrar o agente
Nesta etapa, você registra seu agente com o recurso de movimentação de armazenamento implantado em uma assinatura do Azure. Conecte-se ao shell administrativo do seu agente e selecione o item de menu 4) Registre-se:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Você será solicitado a:
ID da subscrição
Nome do grupo de recursos
Nome do recurso do movimentador de armazenamento
Nome do agente: esse nome é mostrado para o agente no portal do Azure. Selecione um nome que identifique claramente essa VM de agente para você. Consulte a convenção de nomenclatura de recursos para escolher um nome suportado.
Escopo de Link Privado: Forneça o ID de recurso totalmente qualificado do seu Escopo de Link Privado se você estiver utilizando rede privada. Você pode encontrar mais informações sobre o Azure Private Link no artigo da documentação do Azure Private Link.
Importante
Se você configurou o Storage Mover para migrar seus dados pelo Private Link, deverá fornecer o ID de recurso totalmente qualificado do seu Escopo de Link Privado. Por exemplo,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope
.
Depois de fornecer esses valores, o agente tentará o registro. Durante o processo de registo, é necessário iniciar sessão no Azure com credenciais que tenham permissões para a sua subscrição e recurso de movimentação de armazenamento.
Importante
As credenciais do Azure que você usa para registro devem ter permissões de proprietário para o grupo de recursos especificado e o recurso de movimentação de armazenamento.
Para autenticação, o agente utiliza o fluxo de autenticação do dispositivo com o Microsoft Entra ID.
O agente exibe a URL de autenticação do dispositivo: https://microsoft.com/devicelogin e um código de entrada exclusivo. Navegue até a URL exibida em uma máquina conectada à Internet, insira o código e entre no Azure com suas credenciais.
O agente exibe o progresso detalhado. Quando o registro estiver concluído, você poderá ver o agente no portal do Azure. Ele está em Agentes registrados no recurso de movimentação de armazenamento no qual você registrou o agente.
Autenticação e Autorização
Para realizar a autenticação contínua com o Azure e a autorização para vários recursos do Azure, o agente é registrado nos seguintes serviços do Azure:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Serviço Azure Storage Mover
O registro no serviço de movimentação de armazenamento do Azure é visível e gerenciável por meio do recurso de movimentação de armazenamento que você implantou em sua assinatura do Azure. Um agente registrado é um recurso do Azure Resource Manager (ARM). Só pode criar este recurso através do processo de registo. Você pode consultar detalhes sobre o recurso de qualquer cliente do Azure Resource Manager. Os clientes incluem o portal do Azure, o módulo PowerShell do Az PowerShell e a CLI do módulo do Az PowerShell.
Você pode fazer referência a esse recurso do Azure Resource Manager (ARM) quando quiser atribuir trabalhos de migração à VM de agente específica que ele simboliza.
Serviço Azure Arc
O agente também está registrado no serviço Azure Arc. O Arc é usado para atribuir e manter uma identidade gerenciada do Microsoft Entra para esse agente registrado.
O Azure Storage Mover usa uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada é uma entidade de serviço de um tipo especial que só pode ser usada com recursos do Azure. Quando a identidade gerenciada é excluída, a entidade de serviço correspondente também é removida automaticamente.
O processo de exclusão é iniciado automaticamente quando você cancela o registro do agente. No entanto, existem outras maneiras de remover essa identidade. Isso incapacita o agente registrado e exige que o agente não seja registrado. Somente o processo de registro pode fazer com que um agente obtenha e mantenha sua identidade do Azure corretamente.
Nota
Durante a visualização pública, há um efeito colateral do registro no serviço Azure Arc. Um recurso separado do tipo Server-Azure Arc também é implantado no mesmo grupo de recursos que seu recurso de movimentação de armazenamento. Você não poderá gerenciar o agente por meio desse recurso.
Pode parecer que você é capaz de gerenciar aspetos do agente de movimentação de armazenamento por meio do recurso Server-Azure Arc , mas na maioria dos casos não pode. É melhor gerenciar exclusivamente o agente por meio do painel Agentes registrados em seu recurso de movimentação de armazenamento ou por meio do shell administrativo local.
Aviso
Não exclua o recurso de servidor Azure Arc criado para um agente registrado no mesmo grupo de recursos que o recurso de movimentação de armazenamento. O único momento seguro para excluir esse recurso é quando você cancelou o registro prévio do agente ao qual esse recurso corresponde.
Autorização
O agente registrado precisa estar autorizado a acessar vários serviços e recursos em sua assinatura. A identidade gerida é a sua forma de provar a sua identidade. O serviço ou recurso do Azure pode então decidir se o agente está autorizado a acessá-lo.
O agente é automaticamente autorizado a conversar com o serviço Storage Mover. Você não pode ver ou influenciar essa autorização a não ser destruir a identidade gerenciada, por exemplo, cancelando o registro do agente.
Autorização just-in-time
Para um trabalho de migração, o acesso ao ponto de extremidade de destino é talvez o recurso mais importante para o qual um agente deve ser autorizado. A autorização ocorre por meio do controle de acesso baseado em função. Para um contêiner de blob do Azure como destino, a identidade gerenciada do agente registrado é atribuída à função Storage Blob Data Contributor
interna do contêiner de destino (não a conta de armazenamento inteira). Da mesma forma, ao acessar um destino de compartilhamento de arquivos do Azure, a identidade gerenciada do agente registrado é atribuída à função Storage File Data Privileged Contributor
interna.
Essas atribuições são feitas no contexto de entrada do administrador no portal do Azure. Portanto, o administrador deve ser um membro da função de plano de controle de controle baseado em função (RBAC) "Proprietário" para o contêiner de destino. Essa atribuição é feita just-in-time quando você inicia um trabalho de migração. É neste ponto que você selecionou um agente para executar um trabalho de migração. Como parte dessa ação inicial, o agente recebe permissões para o plano de dados do contêiner de destino. O agente não está autorizado a executar nenhuma ação do plano de gerenciamento, como excluir o contêiner de destino ou configurar quaisquer recursos nele.
Aviso
O acesso é concedido a um agente específico just-in-time para executar um trabalho de migração. No entanto, a autorização do agente para acessar o destino não é removida automaticamente. Você deve remover manualmente a identidade gerenciada do agente de um destino específico ou cancelar o registro do agente para destruir a entidade de serviço. Essa ação remove toda a autorização de armazenamento de destino, bem como a capacidade do agente de se comunicar com os serviços Storage Mover e Azure Arc.
Próximos passos
Defina seus pontos de extremidade de origem e de destino em preparação para migrar seus dados.