通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 门户中使用多云连接器连接到 AWS

  • 项目

通过 Azure Arc 启用的多云连接器,可以使用 Azure 门户将非 Azure 公有云资源连接到 Azure。 目前,支持 AWS 公有云环境。

将 AWS 帐户连接到 Azure 时,需将 CloudFormation 模板部署到 AWS 帐户。 此模板将创建连接所需的所有资源。

先决条件

若要使用多云连接器,需要 AWS 和 Azure 中的相应权限。

AWS 先决条件

若要创建连接器并使用多云清单,需要在 AWS 中具有以下权限:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

对于 Arc 载入,必须满足更多先决条件

AWS 解决方案权限

上传 CloudFormation 模板时,会根据所选解决方案请求更多权限:

  • 对于“清单”,可以选择权限:

    1. 全局读取:提供对 AWS 帐户中所有资源的只读访问权限。 引入新服务后,连接器可以扫描这些资源,而无需更新 CloudFormation 模板。

    2. 最小特权访问:仅提供对所选服务下资源的读取访问权限。 如果将来选择扫描更多资源,则必须上传新的 CloudFormation 模板。

  • 对于 Arc Onboarding,我们的服务需要 EC2 写入 访问权限才能安装 Azure Connected Machine 代理

Azure 先决条件

若要在 Azure 订阅中使用多云连接器,需要参与者内置角色。

如果这是你第一次使用该服务,则需要注册这些资源提供程序,这需要对订阅具有参与者访问权限:

  • Microsoft.HybridCompute

  • Microsoft.HybridConnectivity

  • Microsoft.AwsConnector

  • Microsoft.Kubernetes

注意

多云连接器可与 Defender for Cloud 中的 AWS 连接器并行工作。 如果选择,可以使用这两个连接器。

在 Azure 门户中添加公有云

若要将 AWS 公有云添加到 Azure,请使用 Azure 门户输入详细信息并生成 CloudFormation 模板。

  1. 在 Azure 门户中,导航到“Azure Arc”

  2. 在“管理”下,选择“多云连接器(预览版)”。

  3. 在“连接器”窗格中,选择“创建”。

  4. 在“基本信息”页上执行以下操作:

    1. 选择要在其中创建连接器资源的订阅和资源组。
    2. 输入连接器的唯一名称,并选择受支持的区域
    3. 提供要连接的 AWS 帐户的 ID,并指示它是单个帐户还是组织帐户。
    4. 选择下一步

  5. 在“解决方案”页上,选择要用于此连接器的解决方案并对其进行配置。 选择“添加”以启用“清单”、“Arc 加入”,或同时启用两者。

    显示 Azure 门户中 AWS 连接器解决方案的屏幕截图。

    • 对于 Inventory,可以修改以下选项:

      1. 选择是否启用“添加所有受支持的 AWS 服务”。默认情况下会启用此功能,以便扫描所有服务(现在可用和将来添加的服务)。

      2. 选择要扫描和导入资源的 AWS 服务。 默认情况下,会选择所有可用的服务。

      3. 选择你的权限。 如果选中了“添加所有受支持的 AWS 服务”,则必须具有“全局读取”访问权限。

      4. 选择是否启用定期同步。默认情况下,此功能处于启用状态,以便连接器定期扫描 AWS 帐户。 如果取消选中该框,则只会扫描 AWS 帐户一次。

      5. 如果选中了“启用定期同步”,请确认或更改“重复间隔”选项,以指定对 AWS 帐户的扫描频率。

      6. 选择是否启用“包括所有受支持的 AWS 区域”。 选择此选项后,将扫描所有当前和将来的 AWS 区域。

      7. 选择要扫描 AWS 帐户中资源的区域。 默认情况下,会选择所有可用的区域。 如果选择了“包括所有受支持的 AWS 区域”,则必须选择所有区域。

      8. 完成选择后,选择“保存”以返回到“解决方案”页。

    • 对于 Arc 载入

      1. 选择一个连接方法,以确定 Connected Machine 代理应通过公共终结点还是代理服务器连接到 Internet。 如果选择“代理服务器”,请提供 EC2 实例可连接到的代理服务器 URL

      2. 选择是否启用定期同步。默认情况下,此功能处于启用状态,以便连接器定期扫描 AWS 帐户。 如果取消选中该框,则只会扫描 AWS 帐户一次。

      3. 如果选中了“启用定期同步”,请确认或更改“重复间隔”选项,以指定对 AWS 帐户的扫描频率。

      4. 选择是否启用“包括所有受支持的 AWS 区域”。 选择此选项后,将扫描所有当前和将来的 AWS 区域。

      5. 选择要扫描 AWS 帐户中的 EC2 实例的区域。 默认情况下,会选择所有可用的区域。 如果选择了“包括所有受支持的 AWS 区域”,则必须选择所有区域。

      6. 选择按 AWS 标记筛选 EC2 实例。 如果在此处输入标记值,则只会将包含该标记的 EC2 实例载入 Arc。如果将此值留空,发现的所有 EC2 实例将载入 Arc。

  6. 在“身份验证模板”页上,下载要上传到 AWS 的 CloudFormation 模板。 此模板基于你在“基本信息”中提供的信息和所选的解决方案而创建。 可以立即“上传模板”,或等到添加公有云完成。

  7. 在“标记”页上,输入要使用的任何标记。

  8. 在“查看和创建”页上,确认信息,然后选择“创建”。

如果在此过程中未上传模板,请按照下一部分中的步骤执行此操作。

将 CloudFormation 模板上传到 AWS

保存上一部分生成的 CloudFormation 模板后,需要将其上传到 AWS 公有云。 如果在 Azure 门户中完成 AWS 云连接之前上传模板,将立即扫描 AWS 资源。 如果在上传模板之前在 Azure 门户中完成“添加公有云过程,则扫描 AWS 资源并使其在 Azure 中可用需要更长的时间。

创建堆栈

按照以下步骤创建堆栈并上传模板:

  1. 打开 AWS CloudFormation 控制台并选择“创建堆栈”。

  2. 选择“模板已准备就绪”,然后选择“上传模板文件”。 选择“选择文件”,然后浏览以选择模板。 然后选择下一步

  3. 在“指定堆栈详细信息”中,输入堆栈名称。

    1. 如果选择了“Arc 载入”解决方案,请填写 Stack 参数中的以下详细信息:

      1. EC2SSMIAMRoleAutoAssignment:指定是否自动将用于 SSM 任务的 IAM 角色分配给 EC2 实例。 该值默认情况下设置为 true,且发现的所有 EC2 都将分配 IAM 角色。 如果将其设置为 false,则必须将 IAM 角色手动分配给要载入到 Arc 的 EC2 实例。

      2. EC2SSMIAMRoleAutoAssignmentSchedule:指定是否应定期自动分配用于 SSM 任务的 EC2 IAM 角色。 默认情况下,此设置设置为“启用”,这意味着任何将来发现的 EC2 计算机都会自动分配 IAM 角色。 如果将其设置为“禁用”,则必须将 IAM 角色手动分配给要载入到 Azure Arc 的任何新部署的 EC2。

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval:指定用于 SSM 任务的 EC2 IAM 角色的定期自动分配间隔(例如 15 分钟、6 小时或 1 天)。 如果将 EC2SSMIAMRoleAutoAssignment 设置为 true 并将 EC2SSMIAMRoleAutoAssignmentSchedule 设置为“启用”,则可以选择要为其分配 IAM 角色的新 EC2 实例的扫描频率。 默认情况下,此值为 1 天。

      4. EC2SSMIAMRolePolicyUpdateAllowed:指定在缺少权限策略时,是否允许用于 SSM 任务的现有 EC2 IAM 角色使用所需的权限策略进行更新。 默认情况下,此值设置为 true。 如果选择设置为 false,则必须手动将此 IAM 角色权限添加到 EC2 实例。

    2. 否则,请将其他选项设置为默认设置,然后选择“下一步”。

  4. 在“配置堆栈选项”中,将选项设置为默认设置,然后选择“下一步”。

  5. 在“审阅并创建”中,确认信息正确,选中确认复选框,然后选择“提交”。

创建 StackSet

如果 AWS 帐户是组织帐户,则还需要创建 StackSet 并再次上传模板。 为此,请执行以下操作:

  1. 打开 AWS CloudFormation 控制台并选择“StackSet”,然后选择“创建 StackSet”。

  2. 选择“模板已准备就绪”,然后选择“上传模板文件”。 选择“选择文件”,然后浏览以选择模板。 然后选择下一步

  3. 在“指定堆栈详细信息”中,输入 AzureArcMultiCloudStackset 作为 StackSet 名称

    1. 如果选择了“Arc 载入”解决方案,请填写堆栈参数中的以下详细信息:

      1. EC2SSMIAMRoleAutoAssignment:指定是否自动将用于 SSM 任务的 IAM 角色分配给 EC2 实例。 该值默认情况下设置为 true,且发现的所有 EC2 都将分配 IAM 角色。 如果将其设置为 false,则必须将 IAM 角色手动分配给要载入到 Arc 的 EC2 实例。

      2. EC2SSMIAMRoleAutoAssignmentSchedule:指定是否应定期自动分配用于 SSM 任务的 EC2 IAM 角色。 默认情况下,此设置设置为“启用”,这意味着任何将来发现的 EC2 计算机都会自动分配 IAM 角色。 如果将其设置为“禁用”,则必须手动将 IAM 角色分配给要载入 Arc 的任何新部署的 EC2 实例。

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval:指定用于 SSM 任务的 EC2 IAM 角色的定期自动分配间隔(例如,15 分钟、6 小时或 1 天)。 如果将 EC2SSMIAMRoleAutoAssignment 设置为 true 并将 EC2SSMIAMRoleAutoAssignmentSchedule 设置为“启用”,则可以选择要为其分配 IAM 角色的新 EC2 实例的扫描频率。 默认情况下,此值为 1 天。

      4. EC2SSMIAMRolePolicyUpdateAllowed:指定在缺少权限策略时,是否允许用于 SSM 任务的现有 EC2 IAM 角色使用所需的权限策略进行更新。 默认情况下,此值设置为 true。 如果选择设置为 false,则必须手动将此 IAM 角色权限添加到 EC2 实例。

    2. 否则,请将其他选项设置为默认设置,然后选择“下一步”。

  4. 在“配置堆栈选项”中,将选项设置为默认设置,然后选择“下一步”。

  5. 在“设置部署选项”中,输入要在其中部署 StackSet 的 AWS 帐户的 ID,然后选择要部署堆栈的任何 AWS 区域。 将其他选项设置为默认设置,然后选择“下一步”。

  6. 在“审阅”中,确认信息正确,选中确认复选框,然后选择“提交”。

确认部署

在 Azure 中完成“添加公有云”选项并将模板上传到 AWS 后,将创建连接器和所选解决方案。 平均而言,AWS 资源在 Azure 中可用大约需要一小时。 如果在 Azure 中创建公有云后上传模板,可能需要更多时间才能看到 AWS 资源。

AWS 资源使用命名约定 aws_yourAwsAccountId 存储在资源组中。 扫描将定期运行,以根据“启用定期同步”的选择内容更新这些资源。

后续步骤