Připojení hybridních počítačů do Azure ve velkém měřítku

  • Článek

Servery s podporou Azure Arc můžete povolit pro více počítačů s Windows nebo Linuxem ve vašem prostředí s několika flexibilními možnostmi v závislosti na vašich požadavcích. Pomocí skriptu šablony, který poskytujeme, můžete automatizovat všechny kroky instalace, včetně navázání připojení ke službě Azure Arc. Tento skript ale musíte spustit ručně pomocí účtu se zvýšenými oprávněními na cílovém počítači a v Azure.

Jednou z metod připojení počítačů k serverům s podporou Azure Arc je použití instančního objektu Microsoft Entra. Tuto metodu instančního objektu je možné použít místo privilegované identity k interaktivnímu připojení počítače. Tento instanční objekt je speciální omezená identita správy, která má pouze minimální oprávnění potřebná k připojení počítačů k Azure pomocí azcmagent příkazu. Tato metoda je bezpečnější než použití vyššího privilegovaného účtu, jako je tenant Správa istrator, a dodržuje naše osvědčené postupy zabezpečení řízení přístupu. Instanční objekt se používá pouze během onboardingu; nepoužívá se k žádnému jinému účelu.

Než začnete připojovat počítače, projděte si následující požadavky:

  1. Ujistěte se, že na počítačích, které chcete připojit, máte oprávnění správce.

    Správa istrator oprávnění jsou nutná k instalaci Připojení ed machine agenta na počítače; v Linuxu pomocí kořenového účtu a v systému Windows jako člen skupiny Local Správa istrators.

  2. Zkontrolujte požadavky a ověřte, že vaše předplatné a prostředky splňují požadavky. Pro skupinu prostředků počítače budete muset mít roli onboardingu počítačů azure Připojení nebo roli Přispěvatel. Nezapomeňte předem zaregistrovat níže uvedené poskytovatele prostředků Azure ve vašem cílovém předplatném.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (pokud plánujete povolit instance SQL Serveru arc)

    Podrobný postup najdete tady: Požadavky na poskytovatele prostředků Azure

    Informace o podporovaných oblastech a dalších souvisejících aspektech najdete v podporovaných oblastech Azure. Projděte si také našeho průvodce plánováním ve velkém měřítku a seznamte se s kritérii návrhu a nasazení a také s doporučeními pro správu a monitorování.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Automatické připojení pro SQL Server

Když k Azure Arc připojíte server s Windows nebo Linuxem, který má nainstalovaný i Microsoft SQL Server, instance SQL Serveru se automaticky připojí i k Azure Arc. SQL Server povolený službou Azure Arc poskytuje podrobný inventář a další možnosti správy pro instance a databáze SQL Serveru. V rámci procesu připojení se na server s podporou Azure Arc nasadí rozšíření a pro vaše SQL Server a databáze se použijí nové role . Pokud nechcete automaticky připojit SQL Servery ke službě Azure Arc, můžete se odhlásit přidáním značky na server s Windows nebo Linuxem s názvem ArcSQLServerExtensionDeployment a hodnotou Disabled , když je připojený k Azure Arc.

Další informace najdete v tématu Správa automatického připojení pro SQL Server, který povoluje Azure Arc.

Vytvoření instančního objektu pro onboarding ve velkém měřítku

Instanční objekt můžete vytvořit na webu Azure Portal nebo pomocí Azure PowerShellu.

Poznámka:

Pokud chcete vytvořit instanční objekt, musí váš tenant Microsoft Entra umožnit uživatelům registrovat aplikace. Pokud ne, musí být váš účet členem role správce aplikace Správa istrator nebo cloudová aplikace Správa istrator. Další informace o požadavcích na úrovni tenanta najdete v tématu Delegování oprávnění registrace aplikace v Microsoft Entra ID . Pokud chcete přiřadit role serveru s podporou arc, musí být váš účet členem role Vlastník nebo Uživatelský přístup Správa istrator v předplatném, které chcete použít pro onboarding.

portál Azure

Služba Azure Arc na webu Azure Portal poskytuje zjednodušený způsob vytvoření instančního objektu, který se dá použít k připojení hybridních počítačů k Azure.

  1. Na webu Azure Portal přejděte na Azure Arc a v nabídce vlevo vyberte Instanční objekty .
  2. Vyberte Přidat.
  3. Zadejte název instančního objektu.
  4. Zvolte, jestli má instanční objekt přístup k celému předplatnému, nebo jenom ke konkrétní skupině prostředků.
  5. Vyberte předplatné (a případně skupinu prostředků), ke kterému bude mít instanční objekt přístup.
  6. V části Tajný kód klienta vyberte dobu, po kterou se bude používat vygenerovaný tajný klíč klienta. Volitelně můžete do pole Popis zadat popisný název podle svého výběru.
  7. V části Přiřazení role vyberte Azure Připojení onboarding počítače.
  8. Vyberte Vytvořit.

Snímek obrazovky s obrazovkou pro vytvoření instančního objektu Azure Arc na webu Azure Portal

Azure PowerShell

Pomocí Azure PowerShellu můžete vytvořit instanční objekt pomocí rutiny New-AzADServicePrincipal.

  1. Zkontrolujte kontext relace Azure PowerShellu a ujistěte se, že pracujete ve správném předplatném. Pokud potřebujete změnit předplatné, použijte Set-AzContext .

    Get-AzContext

  2. Spuštěním následujícího příkazu vytvořte instanční objekt a přiřaďte ho roli onboardingu počítače Azure Připojení pro vybrané předplatné. Po vytvoření instančního objektu vytiskne ID a tajný klíč aplikace. Tajný kód je platný po dobu 1 roku, po které budete muset vygenerovat nový tajný kód a aktualizovat všechny skripty novým tajným kódem.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
$sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}

    AppId                                Secret
-----                                ------
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE

    Hodnoty z následujících vlastností se používají s parametry předanými do azcmagent:

    • Hodnota z vlastnosti AppId se používá pro hodnotu parametru --service-principal-id .
    • Hodnota z vlastnosti Secret se používá pro --service-principal-secret parametr použitý k připojení agenta.

Vygenerování instalačního skriptu z webu Azure Portal

Skript pro automatizaci stahování a instalace a navázání připojení ke službě Azure Arc je k dispozici na webu Azure Portal. Proces dokončíte provedením následujících kroků:

  1. Z prohlížeče přejděte na web Azure Portal.

  2. Na stránce Počítače – Azure Arc vyberte v levém horním rohu přidat nebo vytvořit a pak v rozevírací nabídce vyberte Přidat počítač.

  3. Na stránce Přidat servery se službou Azure Arc vyberte dlaždici Přidat více serverů a pak vyberte Vygenerovat skript.

  4. Na stránce Základy zadejte následující:

    1. Vyberte předplatné a skupinu prostředků pro počítače.
    2. V rozevíracím seznamu Oblast vyberte oblast Azure, do které chcete uložit metadata serverů.
    3. V rozevíracím seznamu Operační systém vyberte operační systém, na který je skript nakonfigurovaný tak, aby běžel.
    4. Pokud počítač komunikuje přes proxy server pro připojení k internetu, zadejte IP adresu proxy serveru nebo název a číslo portu, které bude počítač používat ke komunikaci s proxy serverem. Pomocí této konfigurace agent komunikuje přes proxy server pomocí protokolu HTTP. Zadejte hodnotu ve formátu http://<proxyURL>:<proxyport>.
    5. Vyberte Další.
    6. V části Ověřování v rozevíracím seznamu Instanční objekt vyberte Arc-for-servers. Pak vyberte Další.

  5. Na stránce Značky zkontrolujte navrhované výchozí značky fyzického umístění a zadejte hodnotu nebo zadejte jednu nebo více vlastních značek, které budou podporovat vaše standardy.

  6. Vyberte Další.

  7. Na stránce Stáhnout a spustit skript zkontrolujte souhrnné informace a pak vyberte Stáhnout. Pokud stále potřebujete provést změny, vyberte Předchozí.

Pro Windows se zobrazí výzva k uložení OnboardingScript.ps1a linuxu OnboardingScript.sh do počítače.

Instalace agenta a připojení k Azure

Když použijete šablonu skriptu vytvořenou dříve, můžete nainstalovat a nakonfigurovat agenta počítače Připojení na více hybridních počítačích s Linuxem a Windows pomocí preferovaného nástroje pro automatizaci ve vaší organizaci. Skript provádí podobné kroky popsané v Připojení hybridních počítačích do Azure z článku webu Azure Portal. Rozdíl je v posledním kroku, kdy pomocí příkazu pomocí azcmagent instančního objektu vytvoříte připojení ke službě Azure Arc.

Následuje nastavení, která nakonfigurujete, azcmagent aby se příkaz používal pro instanční objekt.

  • service-principal-id : Jedinečný identifikátor (GUID), který představuje ID aplikace instančního objektu.
  • service-principal-secret | Heslo instančního objektu.
  • tenant-id : Jedinečný identifikátor (GUID), který představuje vaši vyhrazenou instanci Microsoft Entra ID.
  • subscription-id : ID předplatného (GUID) vašeho předplatného Azure, ve které chcete mít počítače.
  • resource-group : Název skupiny prostředků, do které chcete, aby připojené počítače patřily.
  • location : Projděte si podporované oblasti Azure. Toto umístění může být stejné nebo jiné, jako umístění skupiny prostředků.
  • resource-name : (Volitelné) Používá se pro reprezentaci prostředků Azure místního počítače. Pokud tuto hodnotu nezadáte, použije se název hostitele počítače.

Další informace o nástroji příkazového azcmagent řádku najdete v referenční dokumentaci Azcmagent.

Poznámka:

Skript Windows PowerShellu podporuje spouštění jenom z 64bitové verze Windows PowerShellu.

Po instalaci agenta a jeho konfiguraci pro připojení k serverům s podporou Azure Arc přejděte na web Azure Portal a ověřte, že se server úspěšně připojil. Zobrazte si počítače na webu Azure Portal.

Snímek obrazovky znázorňující úspěšné připojení k serveru na webu Azure Portal

Další kroky

  • Projděte si průvodce plánováním a nasazením a naplánujte nasazení serverů s podporou Služby Azure Arc v libovolném měřítku a implementujte centralizovanou správu a monitorování.
  • Zjistěte, jak řešit potíže s připojením agenta.
  • Zjistěte, jak spravovat počítače pomocí Azure Policy, například konfigurace hosta virtuálního počítače, ověření, že se počítače hlásí do očekávaného pracovního prostoru služby Log Analytics, monitorování pomocí přehledů virtuálních počítačů a další.