如何註冊 Azure Storage Mover 代理程式
Azure Storage Mover 服務會利用代理程式來執行您在服務中設定的移轉工作。 代理程式是您在虛擬主機上執行的虛擬機器設備,靠近來源儲存體。
您必須註冊代理程式,以建立與 Storage Mover 資源的信任關係。 此信任可讓代理程式安全接收移轉作業並報告進度。 代理程式註冊可以透過 Storage Mover 資源的公用或私人端點進行。 私人端點也稱為資源的私人連結,可以在 Azure 虛擬網路 (VNet) 中部署。
您可以從其他網路連線到 Azure VNET,例如內部部署公司網路。 這種類型的連線是透過 VPN 連線進行,例如 Azure ExpressRoute。 若要深入了解此方法,請參閱 Azure ExpressRoute 和 Azure Private Link 文件。
重要
目前,Storage Mover 可以設定為透過 Private Link 將移轉資料從代理程式路由傳送至目的地儲存體帳戶。 混合式計算活動訊號和憑證也可以路由傳送至虛擬網路 (VNet) 中的私人 Azure Arc 服務端點。 某些 Storage Mover 流量無法透過 Private Link 路由傳送,而且會透過 Storage Mover 資源的公用端點路由傳送。 此資料報括控制訊息、進度遙測和複製記錄。
在本文中,您將瞭解如何成功註冊先前部署的 Storage Mover 代理程虛擬機器 (VM)。
必要條件
註冊 Azure Storage Mover 代理程式之前應完成兩個必要條件:
您必須部署 Azure Storage Mover 資源。
請遵循建立 Storage Mover 資源一文中的步驟,在您選擇的 Azure 訂用帳戶和區域中部署此資源。您需要部署 Azure Storage Mover 代理程式 VM。
請遵循 Azure Storage Mover 代理程式 VM 部署一文中的步驟來建立代理程式 VM,並使其連線至網際網路。
註冊概觀
代理程式註冊程序會在代理程式與 Storage Mover 雲端資源之間建立信任。 信任可讓您從遠端系統管理代理程式,並指派其執行移轉工作。
註冊一律會從代理程式起始。 為了安全性,只有代理程式可以透過連絡 Storage Mover 服務來建立信任。 註冊程序會利用您先前部署之 Storage Mover 資源的 Azure 認證和許可權。 如果您尚未部署 Storage Mover 雲端資源或代理程式 VM,請參閱必要條件一節。
步驟 1:連線至代理程式 VM
代理程式 VM 是一台設備。 其提供系統管理殼層,限制您可以在這部電腦上執行的作業。 當您連線到代理程式時,殼層會載入並提供可讓您直接與其互動的選項。 不過,代理程式 VM 是以 Linux 為基礎的設備,而且複製和貼上功能通常無法在預設主控件視窗內運作。
請考慮改用 SSH 連線,而不是使用主控件視窗。 此方法提供下列優點:
- 您可以從任何管理電腦連線至代理程式 VM 的殼層,而不需要登入主機。
- 完全支援複製/貼上。
從與代理程式位於相同子網路上的電腦,執行 ssh 命令:
ssh <AgentIpAddress> -l admin
重要
新部署的 Storage Mover 代理程式具有預設密碼:
本機使用者:admin
預設密碼:admin
系統會提示您在第一次連線至新部署的代理程式之後,立即變更預設密碼。 請記下新密碼,沒有任何流程可將其復原。 遺失密碼會讓您無法進入系統管理殼層。 雲端管理不需要此本機管理員密碼。 如果是以前註冊的代理程式,還是可以用來進行移轉作業。 您可以處置掉代理程式。 除了目前執行的移轉作業外,這些代理程式沒什麼價值。 您永遠都可以部署新的代理程式,並改用該代理程式來執行下一個移轉作業。
步驟 2:測試網路連線能力
您的代理程式必須連線至網際網路。
登入系統管理殼層時,您可以測試代理程式連線狀態:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
選取功能表項目 2) [網路設定]。
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
選取功能表項目 3) [測試網路連線能力]。
重要
只有在網路連線測試傳回沒有問題時,才繼續進行註冊步驟。
步驟 3:註冊應用程式
在此步驟中,您會向您在 Azure 訂用帳戶中部署的 Storage Mover 資源註冊代理程式。 連線至代理程式的系統管理殼層,然後選取功能表項目 [4) 註冊]:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
系統會提示您:
訂用帳戶識別碼
資源群組名稱
Storage Mover 資源名稱
代理程式名稱:此名稱會針對Azure 入口網站中的代理程式顯示。 選取可清楚識別此代理程式 VM 的名稱。 請參閱資源命名慣例,以選擇支援的名稱。
Private Link 範圍:如果您使用私人網路,請提供 Private Link 範圍的完整資源識別碼。 如需 Azure Private Link 的詳細資訊,請參閱 Azure Private Link 文件一文。
重要
如果您已將 Storage Mover 設定為透過 Private Link 移轉資料,則必須提供 Private Link 範圍的完整資源識別碼。 例如:
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope。
提供這些值之後,代理程式會嘗試註冊。 在註冊程序期間,您必須使用具有訂用帳戶和 Storage Mover 資源權限的認證登入 Azure。
重要
您用於註冊的 Azure 認證必須具有指定資源群組和 Storage Mover 資源的擁有者權限。
針對驗證,代理程式會利用裝置驗證流程搭配 Microsoft Entra ID。
代理程式顯示裝置驗證 URL:https://microsoft.com/devicelogin 和唯一的登入程式碼。 瀏覽至網際網路連線電腦上的顯示 URL、輸入程式碼,並使用您的認證登入 Azure。
代理程式顯示詳細的進度。 註冊完成後,您能夠在 Azure 入口網站中看到代理程式。 代理程式在您註冊代理程式的 Storage Mover 資源中,位於 [已註冊的代理程式] 底下。
驗證和授權
若要使用 Azure 完成順暢的驗證,以及各種 Azure 資源的授權,代理程式會向下列 Azure 服務註冊:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Azure Storage Mover 服務
您可以透過您在 Azure 訂用帳戶中部署的 Storage Mover 資源,查看並管理 Azure Storage Mover 服務的註冊。 已註冊的代理程式是 Azure Resource Manager (ARM) 資源。 您只能透過註冊程序建立此資源。 您可以從任何 Azure Resource Manager 用戶端查詢資源的詳細資料。 用戶端包括 Azure 入口網站、Az PowerShell 模組 PowerShell 和 Az PowerShell 模組 CLI。
當您想要將移轉工資握指派給其象徵的特定代理程式 VM 時,您可以參考此 Azure Resource Manager (ARM) 資源。
Azure Arc 服務
代理程式也會向 Azure Arc 服務註冊。 ARC 可用來指派和維護此已註冊代理程式的 Microsoft Entra 受控識別。
Azure Storage Mover 會使用系統指派的受控識別。 受控識別是可能僅適用於 Azure 資源之特殊類型的服務主體。 刪除受控識別後,對應的服務主體也會自動移除。
當您取消註冊代理程式時,系統會自動起始刪除程序。 不過,還有其他方式可以移除此身分識別。 這麼做讓已註冊的代理程式無法運作,並要求取消註冊代理程式。 只有註冊程序可以取得代理程式,以正確取得和維護其 Azure 身分識別。
注意
在公開預覽期間,向 Azure Arc 服務註冊會有副作用。 Server-Azure Arc 類型的個別資源也會部署在與 Storage Mover 資源相同的資源群組中。 您無法透過此資源管理代理程式。
您看似能夠透過 Server-Azure Arc 資源管理 Storage Mover 代理程式的各個層面,但在大多數情況下則無法。 最好是透過 Storage Mover 資源中的 [已註冊的代理程式] 窗格,或透過本機系統管理殼層來專門管理代理程式。
警告
請勿刪除針對與 Storage Mover 資源相同資源群組中註冊之代理程式所建立的 Azure Arc 伺服器資源。 刪除此資源的唯一安全時間是您先前取消註冊此資源對應的代理程式時。
授權
已註冊的代理程式必須獲得授權,才能存取您訂用帳戶中的數個服務和資源。 受控識別是用來證明其身分的方式。 然後,Azure 服務或資源就可以決定代理程式是否已獲得存取權的授權。
代理程式會自動獲得與 Storage Mover 服務交談的授權。 例如,除了終結受控識別,您無法透過取消註冊代理程式來查看或影響此授權。
Just-In-Time 授權
對於移轉作業,存取目標端點可能是代理程式必須授權的最重要資源。 授權是透過角色型存取控制進行。 針對作為目標的 Azure Blob 容器,已註冊的代理程式的受控識別會指派給目標容器的內建角色 Storage Blob Data Contributor (而非整個儲存體帳戶)。 同樣地,存取 Azure 檔案共享目標時,已註冊的代理程式的受控識別會指派給內建角色 Storage File Data Privileged Contributor。
這些指派是在 Azure 入口網站的系統管理員登入內容中進行。 因此,系統管理員必須是目標容器的角色型存取控制 (RBAC) 控制平面角色「擁有者」的成員。 當您開始移轉工作時,系統會立即進行此指派。 此時,您已選取代理程式來執行移轉工作。 在此啟動動作中,代理程式會獲得目標容器資料平面的權限。 代理程式不會獲授權而執行任何管理平面動作,例如刪除目標容器或設定其上的任何功能。
警告
存取權會授與執行移轉工作的特定代理程式 Just-In-Time。 不過,系統不會自動移除代理程式存取目標的授權。 您必須從特定目標手動移除代理程式的受控識別,或取消註冊代理程式才能終結服務主體。 此動作會移除所有目標儲存體授權,以及代理程式與 Storage Mover 和 Azure Arc 服務通訊的能力。
下一步
定義來源和目標端點,為移轉資料作準備。