使用 Azure VM 测试已启用 Azure Arc 的服务器功能

  • 10 分钟

注意

本文引用了 CentOS,这是一个处于生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南

当你准备在 Wide World Importers 的数千台计算机上进行部署时,你首先要对测试已启用 Azure Arc 的服务器及其功能感兴趣。 尽管无法在 Azure 虚拟机 (VM) 上安装已启用 Azure Arc 的服务器用于生产方案,但也可以将已启用 Azure Arc 的服务器配置为在 Azure VM 上运行,仅用于评估和测试目的。 在本单元中,我们会展示如何使用 Azure VM 来测试已启用 Azure Arc 的服务器功能。

假设的环境描述

在本讨论中,我们假设已有一个 Windows Server Azure VM。 部署在 Azure 中的 Windows Server 版本应为 Windows Server 2008 R2 SP1 及更高版本(包括 Server Core)。

也就是说,已启用 Azure Arc 的服务器还支持以下 Linux 分发版:

  • Ubuntu 16.04、18.04 和 20.04 LTS (x64)
  • CentOS Linux 7 和 8 (x64)
  • SUSE Linux Enterprise Server (SLES) 12 和 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 和 8 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

为已启用 Azure Arc 的服务器准备 Azure VM

由于 Azure VM 已注册并作为 Azure 资源进行管理,因此需要重新配置 VM。 重新配置 VM 包含删除扩展、禁用 Azure VM 来宾代理和阻止 Azure IMDS 访问。 完成这三项更改后,Azure VM 的行为就像 Azure 之外的任何计算机或服务器一样。 这个重新配置的 Azure VM 为安装和评估已启用 Azure Arc 的服务器提供了一个起点。

  1. 删除 Azure VM 上的任何 VM 扩展。

    在 Azure 门户中,导航到 Azure VM 资源。 在左侧窗格的“设置”下,选择“扩展 + 应用程序”。

    如果 VM 上安装了任何扩展,请单独选择每个扩展,然后选择“卸载”。

    等待所有扩展完成卸载,然后再继续下一步。

  2. 禁用 Azure VM 来宾代理。

    若要禁用 Azure VM 来宾代理,需使用远程桌面连接 (Windows) 或 SSH (Linux) 连接到 VM。

    当你连接到 Windows 计算机时,运行以下 PowerShell 命令来禁用来宾代理:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

  3. 阻止访问 Azure IMDS 终结点。

    在仍连接到服务器的情况下,请配置 VM 以阻止对 Azure IMDS 终结点的访问。

    连接到 Windows 计算机时,运行以下 PowerShell 命令:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

重新配置 Azure VM

Azure 门户有一个向导,可以自动执行脚本,以自动完成 Azure Arc 的下载、安装和连接。若要为环境生成自定义脚本,请执行以下步骤:

  1. 在浏览器中转到 Azure 门户。

  2. 在搜索字段中输入“Azure Arc”,然后从选项中选择“Azure Arc”。

  3. 在“Azure Arc”页上,选择“免费添加基础结构”磁贴中的“添加”。

  4. 选择“服务器”磁贴中的“添加”。

  5. 在“使用 Azure Arc 添加服务器”页上,选择“添加单个服务器”磁贴中的“生成脚本”。

  6. 当显示“使用 Azure Arc 添加服务器”向导时,请在“先决条件”选项卡上选择“下一步”。

  7. 在“资源详细信息”选项卡上,提供以下内容:

    1. 在“资源组”下拉列表中,选择要从中管理计算机的资源组。

    2. 在“区域”下拉列表中,选择用于存储服务器元数据的 Azure 区域。

    3. 在“操作系统”下拉列表中,选择“Windows”。

    4. 对于“连接方法”,选择“公共终结点”。

    5. 选择“下一步” 。

  8. 在“标记”选项卡上,查看建议的默认“物理位置标记”并输入任何所需的值,或指定一个或多个“定义标记”以达到标准。

  9. 选择“下一步” 。

  10. 在“下载并运行脚本”选项卡上,查看摘要信息。 如果需要进行任何更改,请选择“上一步”;否则,请选择“下载”。

    脚本下载为 ./OnboardingScript.ps1

若要使用脚本进行安装,必须在重新配置的 Azure 虚拟机中从 PowerShell 运行下载的脚本。

  1. 连接并登录到重新配置的 Azure VM。

  2. 将在前面的步骤中下载的脚本复制到 VM 上的已知位置。

  3. 打开权限提升的 PowerShell 命令提示符。 仅支持在 64 位版本的 Windows PowerShell 中运行该脚本。

  4. 切换到复制脚本的文件夹或共享位置,并运行 ./OnboardingScript.ps1 脚本在服务器上执行它。

既然你有了已启用 Azure Arc 的服务器,就可以开始测试 Microsoft Defender for Cloud、Azure Monitor、Azure Policy、VM 扩展和一系列已启用 Azure Arc 的服务器功能。