تقييم الخوادم التي تدعم Azure Arc على جهاز ظاهري Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تم تصميم الخوادم التي تدعم Azure Arc لمساعدتك على توصيل الخوادم التي تعمل محليا أو في السحب الأخرى بAzure. عادة، لن تستخدم الخوادم التي تدعم Azure Arc على جهاز ظاهري Azure لأن جميع الإمكانات نفسها متوفرة أصلا لهذه الأجهزة الظاهرية، بما في ذلك تمثيل الجهاز الظاهري في Azure Resource Manager وملحقات الأجهزة الظاهرية والهويات المدارة ونهج Azure. إذا حاولت تثبيت خوادم تدعم Azure Arc على جهاز ظاهري Azure، فستتلقى رسالة خطأ تفيد بأنه غير مدعوم وسيتم إلغاء تثبيت الوكيل.

على الرغم من أنه لا يمكنك تثبيت الخوادم التي تدعم Azure Arc على جهاز ظاهري Azure لسيناريوهات الإنتاج، إلا أنه من الممكن تكوين الخوادم التي تدعم Azure Arc لتشغيلها على جهاز ظاهري Azure لأغراض التقييم والاختبار فقط. ستساعدك هذه المقالة في إعداد جهاز ظاهري Azure قبل أن تتمكن من تمكين الخوادم التي تدعم Azure Arc عليه.

ملاحظة

الخطوات الواردة في هذه المقالة مخصصة للأجهزة الظاهرية المستضافة في سحابة Azure. الخوادم التي تدعم Azure Arc غير مدعومة على الأجهزة الظاهرية التي تعمل على Azure Stack Hub أو Azure Stack Edge.

المتطلبات الأساسية

• يتم تعيين حسابك إلى دور "مساهم الجهاز الظاهري ".
• يقوم الجهاز الظاهري Azure بتشغيل نظام تشغيل مدعوم من قبل الخوادم التي تدعم Azure Arc. إذا لم يكن لديك جهاز ظاهري Azure ، فيمكنك نشر جهاز ظاهري بسيط Windows أو جهاز Ubuntu Linux 18.04 LTS VM بسيط.
• يمكن للجهاز الظاهري ل Azure الاتصال بالبريد الصادر لتنزيل حزمة وكيل Azure Connected Machine Windows من "مركز التنزيل ل Microsoft" و Linux من مستودع حزم Microsoft. إذا كان الاتصال الصادر بالإنترنت مقيدا باتباع نهج أمان تكنولوجيا المعلومات الخاص بك، فستحتاج إلى تنزيل حزمة الوكيل يدويا ونسخها إلى مجلد على جهاز Azure الظاهري.
• حساب يتمتع بامتيازات مرتفعة (أي مسؤول أو كجذر) على الجهاز الظاهري ووصول RDP أو SSH إلى الجهاز الظاهري.
• لتسجيل Azure VM وإدارته باستخدام خوادم Azure Arc الممكنة، فأنت عضو في دور مسؤول موارد الجهاز المتصل في Azure أو دور المساهم في مجموعة الموارد.

الخطة

لبدء إدارة Azure VM كخادم ممكن ل Azure Arc، تحتاج إلى إجراء التغييرات التالية على Azure VM قبل أن تتمكن من تثبيت الخوادم التي تدعم Azure Arc وتكوينها.

1. قم بإزالة أي ملحقات VM تم نشرها على Azure VM، مثل وكيل Log Analytics. بينما تدعم الخوادم التي تدعم Azure Arc العديد من الملحقات نفسها مثل الأجهزة الظاهرية ل Azure، لا يمكن لوكيل الخوادم التي تدعم Azure Arc إدارة ملحقات الأجهزة الظاهرية التي تم نشرها بالفعل على الجهاز الظاهري.

2. تعطيل Azure Windows أو وكيل ضيف Linux. يخدم وكيل ضيف Azure VM غرضا مشابها لوكيل Azure Connected Machine. لتجنب التعارضات بين الاثنين، يجب تعطيل عامل Azure VM. بمجرد تعطيله، لا يمكنك استخدام ملحقات الجهاز الظاهري أو بعض خدمات Azure.

3. إنشاء قاعدة أمان لرفض الوصول إلى خدمة بيانات تعريف مثيل Azure (IMDS). IMDS هي واجهة برمجة تطبيقات REST يمكن للتطبيقات الاتصال بها للحصول على معلومات حول تمثيل الجهاز الظاهري في Azure، بما في ذلك معرف المورد والموقع. يوفر IMDS أيضا الوصول إلى أي هويات مدارة تم تعيينها للجهاز. توفر الخوادم التي تدعم Azure Arc تنفيذ IMDS الخاص بها وترجع معلومات حول تمثيل Azure Arc للجهاز الظاهري. لتجنب المواقف التي تتوفر فيها كل من نقطتي نهاية IMDS ويجب على التطبيقات الاختيار بين الاثنين، يمكنك حظر الوصول إلى Azure VM IMDS بحيث يكون تطبيق IMDS للخادم الذي تم تمكين Azure Arc هو الوحيد المتاح.

بعد إجراء هذه التغييرات، يتصرف جهاز Azure الظاهري مثل أي جهاز أو خادم خارج Azure ويكون في نقطة البداية الضرورية لتثبيت الخوادم التي تدعم Azure Arc وتقييمها.

عندما يتم تكوين الخوادم التي تدعم Azure Arc على الجهاز الظاهري، سترى تمثيلين له في Azure. أحدهما هو مورد Azure VM ، مع نوع مورد ، والآخر هو مورد Azure Arc ، مع Microsoft.Compute/virtualMachinesMicrosoft.HybridCompute/machines نوع مورد. نتيجة لمنع إدارة نظام التشغيل الضيف من خادم المضيف الفعلي المشترك، فإن أفضل طريقة للتفكير في المصدرين هي مورد Azure VM هو الجهاز الظاهري لجهاز VM الخاص بك، ويتيح لك التحكم في حالة الطاقة وعرض معلومات حول وحدات SKU والشبكة وتكوينات التخزين. يدير مورد Azure Arc نظام التشغيل الضيف في هذا الجهاز الظاهري، ويمكن استخدامه لتثبيت الإضافات وعرض بيانات الامتثال لنهج Azure وإكمال أي مهمة أخرى مدعومة بواسطة خوادم Azure Arc الممكنة.

إعادة تكوين Azure VM

1. أزل أي ملحقات جهاز ظاهري على جهاز Azure الظاهري.

   في مدخل Microsoft Azure، انتقل إلى مورد جهاز Azure الظاهري ومن الجزء الأيسر، حدد Extensions. إذا كان هناك أي ملحقات مثبتة على الجهاز الظاهري، حدد كل ملحق على حدى ثم حدد Uninstall. انتظر حتى تنتهي جميع الملحقات من إزالة التثبيت قبل المتابعة إلى الخطوة 2.

2. عطّل عامل ضيف جهاز Azure الظاهري.

   لتعطيل عامل ضيف جهاز Azure الظاهري، ستحتاج إلى الاتصال بجهازك الظاهري باستخدام اتصال سطح مكتب بعيد (Windows) أو SSH (Linux). بمجرد الاتصال ، قم بتشغيل الأوامر التالية لتعطيل وكيل الضيف.

   على سبيل Windows، قم بتشغيل أوامر PowerShell التالية:

   Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
   Stop-Service WindowsAzureGuestAgent -Force -Verbose
   

   بالنسبة لنظام التشغيل Linux، قم بتشغيل الأوامر التالية:

   current_hostname=$(hostname)
   sudo service walinuxagent stop
   sudo waagent -deprovision -force
   sudo rm -rf /var/lib/waagent
   sudo hostnamectl set-hostname $current_hostname
   

3. احظر الوصول إلى نقطة نهاية Azure IMDS.

   أثناء استمرار الاتصال بالخادم، قم بتشغيل الأوامر التالية لمنع الوصول إلى نقطة نهاية Azure IMDS. للحصول على Windows، قم بتشغيل الأمر PowerShell التالي:

   New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
   

   بالنسبة لنظام التشغيل Linux، راجع وثائق التوزيع للحصول على أفضل طريقة لحظر الوصول الصادر إلى 169.254.169.254/32 منفذ TCP 80. عادة ما ستقوم بحظر الوصول الصادر باستخدام جدار الحماية المدمج ، ولكن يمكنك أيضا حظره مؤقتا باستخدام iptables أو nftables.

   إذا كان جهاز Azure الظاهري الخاص بك يقوم بتشغيل Ubuntu، فقم بتنفيذ الخطوات التالية لتكوين جدار الحماية غير المعقد (UFW):

   sudo ufw --force enable
   sudo ufw deny out from any to 169.254.169.254
   sudo ufw default allow incoming
   

   إذا كان جهاز Azure الظاهري يعمل بنظام CentOS أو Red Hat أو SUSE Linux Enterprise Server (SLES)، فقم بتنفيذ الخطوات التالية لتكوين جدار الحماية:

   firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp -d 169.254.169.254 -j DROP
   firewall-cmd --reload
   

   بالنسبة للتوزيعات الأخرى، راجع مستندات جدار الحماية أو قم بتكوين قاعدة iptables عامة باستخدام الأمر التالي:

   iptables -A OUTPUT -d 169.254.169.254 -j DROP
   

   ملاحظة

   يجب تعيين تكوين iptables بعد كل إعادة تشغيل ما لم يتم استخدام حل iptables ثابت.

4. قم بتثبيت وكيل الخوادم الذي يدعم Azure Arc وتكوينه.

   أصبح الجهاز الظاهري جاهزا الآن لبدء تقييم الخوادم التي تدعم Azure Arc. لتثبيت وكيل الخوادم الذي يدعم Azure Arc وتكوينه، راجع الاتصال الأجهزة المختلطة باستخدام مدخل Azure واتبع الخطوات لإنشاء برنامج نصي للتثبيت وتثبيته باستخدام الطريقة المكتوبة.

   ملاحظة

   إذا كان الاتصال الصادر بالإنترنت مقيدا من جهاز Azure الظاهري، فستحتاج إلى تنزيل حزمة الوكيل يدويا. انسخ حزمة العامل إلى Azure VM، وقم بتعديل البرنامج النصي لتثبيت الخوادم التي تدعم Azure Arc للرجوع إلى المجلد المصدر.

إذا فاتتك إحدى الخطوات، يكتشف البرنامج النصي للتثبيت أنه قيد التشغيل على جهاز Azure الظاهري وينتهي بحدوث خطأ. تحقق من إكمال الخطوات من 1 إلى 3، ثم أعد تشغيل البرنامج النصي.

تحقق من الاتصال بـ Azure Arc

بعد تثبيت العامل وتكوينه للتسجيل في الخوادم التي تدعم Azure Arc، انتقل إلى مدخل Azure للتحقق من اتصال الخادم بنجاح. اعرض جهازك في ⁧⁩مدخل Azure⁧⁩.

الخطوات التالية

• تعرف على كيفية تخطيط وتمكين عدد كبير من الأجهزة للخوادم التي تدعم Azure Arc لتبسيط تكوين إمكانات إدارة الأمان والمراقبة الأساسية في Azure.

• تعرف على ملحقات Azure VM المدعومة المتوفرة لدينا لتبسيط النشر مع خدمات Azure الأخرى مثل التشغيل التلقائي وKeyVault وغيرها لجهاز Windows أو Linux.

• عند الانتهاء من الاختبار، قم بإزالة تثبيت عامل الخوادم الذي يدعم Azure Arc.