你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对已启用 Azure Arc 的 System Center Virtual Machine Manager 执行持续维护和管理
在本文中,你会学习如何执行与已启用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 相关的各种维护和管理操作,如:
- 遵循最佳做法手动维护 Azure Arc 资源网桥
- 更新 SCVMM 帐户凭据
- 从 Azure Arc 资源网桥收集日志
维护已启用 Azure Arc 的 SCVMM 资源的最佳做法
Azure Arc 资源网桥在本地 SCVMM 管理服务器和 Azure 之间建立了连接。 资源网桥的组件可以将 Azure 的优点引入本地 SCVMM 托管虚拟机。 以下是你可以根据组织需求遵循的一些最佳做法:
安全地维护
.yaml和kubeconfig文件:成功部署 Azure Arc 资源网桥后,将创建三个配置文件:\<resource-bridge-name\>-resource.yaml、\<resource-bridge-name\>-appliance.yaml和\<resource-bridge-name\>-infra.yaml。 资源网桥 VM 托管管理 Kubernetes 群集。 默认情况下,在部署资源网桥的过程中,会在当前 CLI 目录中生成一个kubeconfig文件,用于维护资源网桥 VM。 必须安全地存储和维护这些文件,因为它们是资源网桥管理和升级所必需的。资源网桥锁:考虑到资源网桥的关键性质,管理员可以锁定资源网桥的 Azure 资源,以防止意外删除,从而防止 Azure 与 SCVMM 服务器的连接中断。 若要在资源网桥上放置资源锁,请导航到其 Azure 资源,然后在“设置”边栏选项卡下选择“锁定”。 可以从此处添加“删除”锁,防止自助服务用户意外删除资源网桥。
重要
“只读”和“删除”类型的资源锁都会禁用资源网桥的升级,必须在触发升级之前移除这些锁。
资源网桥健康状况警报:Azure Arc 资源网桥需要保持联机和正常(状态为“正在运行”),以确保已启用 Azure Arc 的 SCVMM 产品/服务持续正常运行。 由于凭据轮换(作为常规安全做法的一部分)或网络中的任何更改,资源网桥可能会定期进入脱机状态。 若要收到资源网桥意外停机的通知,可以按照以下步骤在资源网桥的 Azure 资源上设置健康状况警报:
- 在 Azure 门户中,搜索并导航到“服务运行状况”。
- 在左窗格中,选择“资源运行状况”>“资源运行状况”。
- 在“订阅”下拉列表中,选择资源网桥所在的订阅。 在“资源类型”下拉列表中,选择“Azure Arc 资源网桥”。 填充资源网桥列表后,选择要设置警报的资源网桥,然后选择“添加资源运行状况警报”。 如果要为订阅中的所有资源网桥设置警报,可以选择“添加资源运行状况警报”,而无需选择任何资源网桥。
- 根据你是希望持续接收有关运行状况的通知,还是仅在资源网桥运行不正常时接收通知,来配置警报规则中的条件。
- 使用通知类型和警报收件人配置操作组。
- 填写警报规则位置、标识符和可选标记的详细信息,完成警报规则的创建。
更新 SCVMM 帐户凭据(在加入后使用新密码或新 SCVMM 帐户)
已启用 Azure Arc 的 SCVMM 使用你在载入期间提供的 SCVMM 帐户凭据与你的 SCVMM 管理服务器通信。 这些凭据本地存储在 Arc 资源网桥 VM 上。
作为安全做法的一部分,可能需要轮换 SCVMM 帐户的凭据。 轮换凭据时,还必须更新提供给 Azure Arc 的凭据,以确保 Azure Arc SCVMM 正常运行。 如果在加入后需要使用其他 SCVMM 帐户,也可以使用相同的步骤。 必须确保新帐户也具有所有必需的 SCVMM 权限。
Arc 资源网桥上存储了两组不同的凭据。 可以对两者使用相同的帐户凭据。
- 考虑 Arc 资源网桥。 此帐户用于部署 Arc 资源网桥 VM,并将用于升级。
- SCVMM 群集扩展的帐户。 此帐户用于通过已启用 Azure Arc 的 SCVMM 发现清单并执行所有虚拟机操作。
若要更新 Arc 资源网桥帐户的凭据,请运行以下 Azure CLI 命令。 从可在本地访问 Arc 资源网桥的群集配置 IP 地址的工作站运行以下命令:
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance update-infracredentials scvmm --kubeconfig kubeconfig
有关命令的详细信息,请参阅az arcappliance get-credentials和az arcappliance update-infracredentials scvmm。
若要更新资源网桥上 SCVMM 群集扩展使用的凭据,请运行以下命令。 此命令可以从安装了 connectedscvmm CLI 扩展的任何位置运行。
az connectedscvmm scvmm connect --custom-location <name of the custom location> --location <Azure region> --name <name of the SCVMM resource in Azure> --resource-group <resource group for the SCVMM resource> --username <username for the SCVMM account> --password <password to the SCVMM account>
从 Arc 资源网桥收集日志
对于遇到的任何与 Azure Arc 资源网桥相关的问题,可以收集日志以进一步调查。 若要收集日志,请使用 Azure CLI Az arcappliance log 命令。
若要将日志保存到目标文件夹,请运行以下命令。 这些命令需要连接到群集配置 IP 地址。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs scvmm --kubeconfig kubeconfig --out-dir <path to specified output directory>
如果 Azure Arc 资源网桥上的 Kubernetes 群集未处于正常功能状态,则可以使用以下命令。 这些命令要求通过 SSH 连接到 Azure Arc 资源网桥接 VM 的 IP 地址。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs scvmm --out-dir <path to specified output directory> --ip XXX.XXX.XXX.XXX