共用方式為

在 Azure 入口網站中使用多重雲端連接器連線到 AWS

  • 發行項

Azure Arc 所啟用的多雲端連接器可讓您使用 Azure 入口網站,將非 Azure 公用雲端資源連線到 Azure。 目前支援 AWS 公用雲端環境。

將 AWS 帳戶連線至 Azure 時,您會將 CloudFormation 範本部署至 AWS 帳戶。 此範本會針對連線建立所有必要的資源。

必要條件

若要使用多重雲端連接器,您需要 AWS 和 Azure 中適當的權限。

AWS 必要條件

若要建立連接器並使用多重雲端清查,您需要 AWS 中的下列權限:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

針對 Arc 上線,必須 符合更多必要條件。

AWS 解決方案許可權

當您上傳 CloudFormation 範本時,會根據您選取的解決方案要求更多許可權:

  • 針對 [清查],您可以選擇您的許可權:

    1. 全域讀取:提供 AWS 帳戶中所有資源的唯讀存取權。 引進新的服務時,連接器可以掃描這些資源,而不需要更新的 CloudFormation 範本。

    2. 最低許可權存取:僅提供所選服務下資源的讀取許可權。 如果您選擇在未來掃描更多資源,則必須上傳新的 CloudFormation 範本。

  • 針對 Arc 上線,我們的服務需要 EC2 寫入 存取權,才能安裝 Azure Connected Machine Agent

Azure 必要條件

若要在 Azure 訂用帳戶中使用多重雲端連接器,您需要參與者內建角色。

如果這是您第一次使用服務,您必須註冊這些資源提供者,這需要訂用帳戶上的參與者存取權:

  • Microsoft.HybridCompute
  • Microsoft.HybridConnectivity
  • Microsoft.AwsConnector
  • Microsoft.Kubernetes

注意

多重雲端連接器可以與適用於雲端的 Defender 中的 AWS 連接器並排運作。 如果您選擇,兩個連接器都可以使用。

在 Azure 入口網站中新增您的公用雲端

若要將 AWS 公用雲端新增至 Azure,請使用 Azure 入口網站輸入詳細資料並產生 CloudFormation 範本。

  1. 從 Azure 入口網站中,瀏覽至 Azure Arc

  2. 在 [管理] 下,選取 [多重雲端連接器 (預覽)]

  3. 在 [連接器] 窗格中,選取 [建立]

  4. 在 [基本] 頁面上:

    1. 請選取要在其中建立連接器資源的訂用帳戶和資源群組。
    2. 輸入連接器的唯一名稱,然後選取 [支援的區域]
    3. 提供您想要連線的 AWS 帳戶識別碼,並指出它是單一帳戶還是組織帳戶。
    4. 選取 [下一步]。

  5. 在 [解決方案] 頁面上,選取您想要搭配此連接器使用哪些解決方案並加以設定。 選取 [新增] 以啟用 清查Arc 上線,或兩者。

    顯示 Azure 入口網站中 AWS 連接器解決方案的螢幕擷取畫面。

    • 針對清查,您可以修改下列選項:

      1. 選擇是否要啟用 [新增所有支援的 AWS 服務]。 默認會啟用此選項,因此會掃描所有服務(現在可用,未來新增的服務)。

      2. 選擇要掃描和匯入資源的 AWS 服務。 根據預設,會選取所有可用的服務。

      3. 選擇您的許可權。 如果 核取 [新增所有支援的 AWS 服務 ],您必須具有 全域讀取 許可權。

      4. 選擇是否要啟用定期同步處理。根據預設,此選項會啟用,讓連接器定期掃描 AWS 帳戶。 如果您取消核取方塊,您的 AWS 帳戶只會掃描一次。

      5. 如果 核取 [啟用定期同步 處理],請確認或變更 [遞歸], 以指定掃描 AWS 帳戶的頻率。

      6. 選擇是否要啟用 [包含所有支援的 AWS 區域]。 選取此選項,會掃描所有目前和未來的AWS區域。

      7. 選擇要掃描 AWS 帳戶中資源的哪個區域。 根據預設,會選取所有可用的區域。 如果您選取 [ 包含所有支援的 AWS 區域],則必須選取所有區域。

      8. 完成選取之後,請選取 [儲存] 以返回 [解決方案] 頁面。

    • 針對 Arc 上線:

      1. 選取 [連線能力方法] 以判斷連線的電腦代理程式是否應透過公用端點或 Proxy 伺服器連線到網際網路。 如果您選取 [Proxy 伺服器],則必須提供 EC2 執行個體可以連線的 Proxy 伺服器 URL
      2. 選擇是否要啟用定期同步處理。根據預設,此選項會啟用,讓連接器定期掃描 AWS 帳戶。 如果您取消核取方塊,您的 AWS 帳戶只會掃描一次。
      3. 如果 核取 [啟用定期同步 處理],請確認或變更 [遞歸], 以指定掃描 AWS 帳戶的頻率。
      4. 選擇是否要啟用 [包含所有支援的 AWS 區域]。 選取此選項,會掃描所有目前和未來的AWS區域。
      5. 選擇要掃描 AWS 帳戶中 EC2 執行個體的哪個區域。 根據預設,會選取所有可用的區域。 如果您選取 [ 包含所有支援的 AWS 區域],則必須選取所有區域。
      6. 選擇依 AWS 標籤篩選 EC2 實例。 如果您在這裡輸入標籤值,則只有包含該標籤的 EC2 實例會上線至 Arc。藉由將此值保留空白,所有探索到的 EC2 實例都會上線至 Arc。

  6. 在 [驗證範本] 頁面上,下載您將上傳至 AWS 的 CloudFormation 範本。 此範本是根據您在 [基本概念] 和所選解決方案中提供的資訊所建立。 您可以立即上傳範本,或等到您完成新增公用雲端才上傳。

  7. 在 [標籤] 頁面上,輸入您想要使用的任何標籤。

  8. 在 [ 檢閱和建立] 頁面上,確認您的資訊,然後選取 [ 建立]。

如果您在此流程期間未上傳範本,請遵循下一節中的步驟來執行此動作。

將 CloudFormation 範本上傳至 AWS

儲存上一節中產生的 CloudFormation 範本之後,您必須將其上傳至 AWS 公用雲端。 如果您在完成在 Azure 入口網站 中連線 AWS 雲端之前上傳範本,則會立即掃描您的 AWS 資源。 如果您在上傳範本之前,先完成在 Azure 入口網站 中新增公用雲端程式,則掃描 AWS 資源並在 Azure 中提供它們需要較長的時間。

建立堆疊

請遵循這些步驟來建立堆疊並上傳您的範本:

  1. 開啟 AWS CloudFormation 控制台,然後選取 [建立堆疊]

  2. 選取 [範本已就緒],然後選取 [上傳範本檔案]。 選取 [選擇檔案],然後瀏覽以選取您的範本。 然後選取下一步

  3. 在 [指定堆疊詳細資料]中,輸入堆疊名稱。

    1. 如果您選取 Arc 上線 解決方案,請在 Stack 參數中填寫下列詳細資料:

      1. EC2SSMIAMRoleAutoAssignment:指定是否會自動將用於 SSM 工作的 IAM 角色指派給 EC2 實例。 根據預設,此選項會設定為 true,而且所有探索到的 EC2 機器都會指派 IAM 角色。 如果您將此選項設定為 false, 則必須手動將 IAM 角色指派給您想要上線至 Arc 的 EC2 實例。

      2. EC2SSMIAMRoleAutoAssignmentSchedule:指定是否應該定期自動指派用於 SSM 工作的 EC2 IAM 角色。 根據預設,此選項會設定為 啟用, 這表示未來探索到的任何 EC2 機器都會自動指派 IAM 角色。 如果您將此選項設定為 停用, 您必須手動將 IAM 角色指派給您想要上線至 Azure Arc 的任何新部署 EC2。

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval:指定自動指派用於 SSM 工作的 EC2 IAM 角色的定期間隔(例如 15 分鐘、6 小時或 1 天)。 如果您將 EC2SSMIAMRoleAutoAssignment 設定為 trueEC2SSMIAMRoleAutoAssignmentSchedule 啟用,您可以選擇要掃描要指派 IAM 角色的新 EC2 實例的頻率。 默認間隔為 1天

      4. EC2SSMIAMRolePolicyUpdateAllowed:指定遺失時,是否允許現有用於 SSM 工作的 EC2 IAM 角色更新所需的許可權原則。 根據預設,此選項會設定為 true。 如果您選擇將 設為 false,您必須手動將此 IAM 角色許可權新增至 EC2 實例。

    2. 否則,請將其他選項設定為預設設定,然後選取 [ 下一步]。

  4. 在 [設定堆疊選項] 中,將其他選項保留為其預設設定,然後選取 [下一步]

  5. 在 [檢閱並建立] 中,確認資訊正確,選取 [確認] 核取方塊,然後選取 [提交]

建立 StackSet

如果您的 AWS 帳戶是組織帳戶,您也需要建立 StackSet 並再次上傳範本。 若要這麼做︰

  1. 開啟 AWS CloudFormation 控制台,選取 [StackSets],然後選取 [建立堆疊]

  2. 選取 [範本已就緒],然後選取 [上傳範本檔案]。 選取 [選擇檔案],然後瀏覽以選取您的範本。 然後選取下一步

  3. [指定堆棧詳細數據] 中,輸入 AzureArcMultiCloudStackset 作為 StackSet 名稱

    1. 如果您選取 Arc 上線 解決方案,請在 Stack 參數中填寫下列詳細資料:

      1. EC2SSMIAMRoleAutoAssignment:指定是否會自動將用於 SSM 工作的 IAM 角色指派給 EC2 實例。 根據預設,此選項會設定為 true,而且所有探索到的 EC2 機器都會指派 IAM 角色。 如果您將此選項設定為 false, 則必須手動將 IAM 角色指派給您想要上線至 Arc 的 EC2 實例。

      2. EC2SSMIAMRoleAutoAssignmentSchedule:指定是否應該定期自動指派用於 SSM 工作的 EC2 IAM 角色。 根據預設,此選項會設定為 啟用, 這表示未來探索到的任何 EC2 機器都會自動指派 IAM 角色。 如果您將此選項設定為 停用, 您必須手動將 IAM 角色指派給您想要上線至 Arc 的任何新部署 EC2 實例。

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval:指定用於 SSM 工作的 EC2 IAM 角色自動指派的定期間隔(例如,15 分鐘、6 小時或 1 天)。 如果您將 EC2SSMIAMRoleAutoAssignment 設定為 trueEC2SSMIAMRoleAutoAssignmentSchedule 啟用,您可以選擇要掃描要指派 IAM 角色的新 EC2 實例的頻率。 默認間隔為 1天

      4. EC2SSMIAMRolePolicyUpdateAllowed:指定遺失時,是否允許現有用於 SSM 工作的 EC2 IAM 角色更新所需的許可權原則。 根據預設,此選項會設定為 true。 如果您選擇將 設為 false,您必須手動將此 IAM 角色許可權新增至 EC2 實例。

    2. 否則,請將其他選項設定為預設設定,然後選取 [ 下一步]。

  4. 在 [設定堆疊選項] 中,將其他選項保留為其預設設定,然後選取 [下一步]

  5. 在 [設定部署選項] 中,輸入要部署 StackSet 之 AWS 帳戶的識別碼,然後選取任何要部署堆疊的 AWS 區域。 將其他選項保留為其預設設定,然後選取 [下一步]

  6. 在 [檢閱] 中,確認資訊正確,選取 [確認] 核取方塊,然後選取 [提交]

確認部署

完成 Azure 中的 [ 新增公用雲端 ] 選項,並將範本上傳至 AWS 之後,就會建立連接器和選取的解決方案。 平均而言,您的 AWS 資源大約需要一小時才能在 Azure 中使用。 如果您在 Azure 中建立公用雲端之後上傳範本,則可能需要更多時間才能看到 AWS 資源。

AWS 資源會使用命名慣例 aws_yourAwsAccountId儲存在資源群組中,並具有繼承自其訂用帳戶的許可權。 掃描會定期執行,以根據您的 啟用定期同步 選取專案來更新這些資源。

下一步