So registrieren Sie einen Azure Storage Mover-Agent
Der Azure Storage Mover-Dienst verwendet Agents, um die in dem Dienst konfigurierten Migrationsaufträge auszuführen. Der Agent ist eine vmbasierte Anwendung, die Sie auf einem Virtualisierungshost ausführen, in der Nähe des Quellspeichers.
Sie müssen einen Agent registrieren, um eine Vertrauensstellung mit Ihrer Storage Mover-Ressource zu erstellen. Mit dieser Vertrauensstellung kann Ihr Agent Migrationsaufträge sicher empfangen und den Fortschritt melden. Die Agentregistrierung kann entweder über den öffentlichen oder privaten Endpunkt Ihrer Storage Mover-Ressource erfolgen. Ein privater Endpunkt, auch als privater Link zu einer Ressource bezeichnet, kann in einem virtuellen Azure-Netzwerk (VNet) bereitgestellt werden.
Sie können eine Verbindung mit einem Azure-VNET aus anderen Netzwerken herstellen, z. B. über ein lokales Unternehmensnetzwerk. Diese Art von Verbindung wird über eine VPN-Verbindung wie Azure Express Route hergestellt. Weitere Informationen zu diesem Ansatz finden Sie in der Dokumentation zu Azure ExpressRoute und Azure Private Link .
Wichtig
Derzeit kann Storage Mover so konfiguriert werden, dass Migrationsdaten vom Agent an das Zielspeicherkonto über den privaten Link weitergeleitet werden. Hybrid Compute-Takte und Zertifikate können auch an einen privaten Azure Arc-Dienstendpunkt in Ihrem virtuellen Netzwerk (VNet) weitergeleitet werden. Mancher Speicherverschiebungsdatenverkehr kann nicht über private Verknüpfungen weitergeleitet werden und wird über den öffentlichen Endpunkt einer Speicherverschiebungsressource weitergeleitet. Zu diesen Daten gehören Steuerelementnachrichten, Statustelemetrie und Kopieren von Protokollen.
In diesem Artikel erfahren Sie, wie Sie einen zuvor bereitgestellten virtuellen Storage Mover-Agent-Computer (VM) erfolgreich registrieren.
Voraussetzungen
Es müssen zwei Voraussetzungen erfüllt werden, bevor Sie einen Azure Storage Mover-Agent registrieren können:
Sie müssen über eine Azure Storage Mover-Ressource verfügen.
Führen Sie die Schritte im Artikel Erstellen einer Storage Mover-Ressource aus, um diese Ressource in einem Azure-Abonnement und einer Region Ihrer Wahl bereitzustellen.Sie müssen den virtuellen Azure Storage Mover-Agent bereitstellen.
Führen Sie die Schritte im Azure Storage Mover-Agent-VM-Bereitstellungsartikel aus, um die Agent-VM zu erstellen und eine Verbindung mit dem Internet herzustellen.
Registrierungsübersicht
Der Agentregistrierungsprozess erstellt eine Vertrauensstellung zwischen dem Agent und der Storage Mover-Cloudressource. Mit der Vertrauensstellung können Sie den Agent remote verwalten und ihm Migrationsaufträge zuweisen, die ausgeführt werden sollen.
Die Registrierung wird immer durch den Agent initiiert. Im Interesse der Sicherheit kann nur der Agent vertrauen, indem er sich an den Storage Mover-Dienst richtet. Bei der Registrierungsprozedur kommen Ihre Azure-Anmeldeinformationen und Berechtigungen zu der zuvor von Ihnen bereitgestellten Storage Mover-Ressource zum Einsatz. Wenn Sie noch keine Storage Mover-Cloudressource oder einen Agent-VM bereitgestellt haben, lesen Sie den Abschnitt Voraussetzungen.
Schritt 1: Herstellen der Verbindung zum Agent-VM
Der Agent-VM ist eine Appliance. Sie bietet eine Administrative Shell, die die Vorgänge beschränkt, die Sie auf diesem Computer ausführen können. Wenn Sie eine Verbindung mit dem Agent herstellen, lädt die Shell und bietet Ihnen Optionen, mit denen Sie direkt mit dem Agent interagieren können. Die Agent-VM ist jedoch ein Linux-basiertes Anwendung, und Kopier- und Einfügefunktionen funktionieren häufig nicht innerhalb des Standardhostfensters.
Anstatt das Hostfenster zu verwenden, sollten Sie stattdessen eine SSH-Verbindung verwenden. Dieser Ansatz bietet die folgenden Vorteile:
- Sie können über einen beliebigen Verwaltungscomputer eine Verbindung mit der Shell der Agent-VM herstellen und müssen nicht beim Host angemeldet werden.
- Kopieren/Einfügen wird vollständig unterstützt.
Führen Sie auf einem Computer im gleichen Subnetz wie der Agent einen ssh-Befehl aus:
ssh <AgentIpAddress> -l admin
Wichtig
Ein neu bereitgestellter Storage Mover-Agent verfügt über ein Standardkennwort:
Lokaler Benutzer: Administrator
Standardkennwort: Administrator
Es wird empfohlen, das Standardkennwort sofort nach dem ersten Verbindungsaufbau mit einem neu bereitgestellten Agent zu ändern. Notieren Sie das neue Kennwort, es gibt keine Möglichkeit zur Wiederherstellung. Wenn Sie Ihr Kennwort verlieren, werden Sie aus der Verwaltungsshell ausgesperrt. Für die Cloudverwaltung ist dieses lokale Administratorkennwort nicht erforderlich. Wenn der Agent zuvor registriert wurde, können Sie es weiterhin für Migrationsaufträge verwenden. Agents sind entbehrlich. Ihr Nutzen ist auf den aktuellen Migrationsauftrag beschränkt. Sie können stets neue Agents bereitstellen und diese stattdessen für den nächsten Migrationsauftrag verwenden.
Schritt 2: Testen der Netzwerkkonnektivität
Ihr Agent muss mit dem Internet verbunden sein.
Wenn Sie bei der administrativen Shell angemeldet sind, können Sie den Verbindungsstatus des Agents testen:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Wählen Sie Menüelement 2 Netzwerkkonfiguration aus.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Wählen Sie Menüelement 3 Netzwerkkonnektivität testen aus.
Wichtig
Fahren Sie nur mit dem Registrierungsschritt fort, wenn Ihr Netzwerkkonnektivitätstest keine Probleme zurückgibt.
Schritt 3: Registrieren des Agents
In diesem Schritt registrieren Sie Ihren Agent bei der Speicherverschiebungsressource, die Sie in einem Azure-Abonnement bereitgestellt haben. Stellen Sie eine Verbindung mit der administrativen Shell Ihres Agents her, und wählen Sie dann Menüelement 4 Registrieren aus:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Sie werden aufgefordert, folgendes zu verwenden:
Abonnement-ID
Ressourcengruppenname
Storage Mover-Ressourcenname
Agentname: Dieser Name wird für den Agent im Azure-Portal angezeigt. Wählen Sie einen Namen aus, der diesen Agent-VM für Sie eindeutig identifiziert. Informationen zum Auswählen eines unterstützten Namens finden Sie unter Namenskonvention für Ressourcen.
Bereich für private Links: Geben Sie die vollqualifizierte Ressourcen-ID Des privaten Linkbereichs an, wenn Sie private Netzwerke verwenden. Weitere Informationen zu Azure Private Link finden Sie im Dokumentationsartikel "Privater Azure-Link".
Wichtig
Wenn Sie "Storage Mover" so konfiguriert haben, dass Ihre Daten über private Verknüpfungen migriert werden, müssen Sie die vollqualifizierte Ressourcen-ID des Bereichs für private Verknüpfungen angeben. Beispielsweise
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Nachdem Sie diese Werte angegeben haben, versucht der Agent die Registrierung. Während des Registrierungsprozesses müssen Sie sich bei Azure mit Anmeldeinformationen anmelden, die über Berechtigungen für Ihre Abonnement- und Speicherverschiebungsressource verfügen.
Wichtig
Die Azure-Anmeldeinformationen, die Sie für die Registrierung verwenden, müssen Besitzerberechtigungen für die angegebene Ressourcengruppe und die Storage Mover-Ressource haben.
Für die Authentifizierung verwendet der Agent den Geräteauthentifizierungsfluss mit Microsoft Entra ID.
Der Agent zeigt die Geräteauthentifizierungs-URL und https://microsoft.com/devicelogin einen eindeutigen Anmeldecode an. Navigieren Sie auf einem mit dem Internet verbundenen Computer zu der angezeigten URL, geben Sie den Code ein und melden Sie sich mit Ihren Anmeldeinformationen bei Azure an.
Der Agent zeigt den detaillierten Fortschritt an. Sobald die Registrierung abgeschlossen ist, können Sie den Agent im Azure-Portal sehen. Sie befindet sich unter registrierten Agents in der Speicherverschiebungsressource, bei der Sie den Agent registriert haben.
Authentifizierung und Autorisierung
Um eine nahtlose Authentifizierung mit Azure und Autorisierung für verschiedene Azure-Ressourcen zu erreichen, wird der Agent bei den folgenden Azure-Diensten registriert:
- Azure Storage Mover (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Azure Storage Mover-Dienst
Die Registrierung für den Azure Storage-Mover-Dienst kann über die Storage Mover-Ressource angezeigt und verwaltet werden, die Sie in Ihrem Azure-Abonnement bereitgestellt haben. Ein registrierter Agent ist eine Azure Resource Manager-(ARM-)Ressource. Sie können diese Ressource nur über den Registrierungsprozess erstellen. Sie können Details zu der Ressource bei jedem Azure Resource Manager-Client abfragen. Clients sind u. a. das Azure-Portal, das Az PowerShell-Modul PowerShell und das Az PowerShell-Modul CLI.
Sie können auf diese Azure Resource Manager-(ARM)-Ressource verweisen, wenn Sie dem spezifischen Agent-VM, der sie symbolisiert, Migrationsaufträge zuweisen möchten.
Azure Arc-Dienst
Der Agent wird auch beim Azure Arc-Dienst registriert. Arc wird verwendet, um eine von Microsoft Entra verwaltete Identität für diesen registrierten Agent zuzuweisen und zu Standard.
Azure Storage Mover verwendet eine systemseitig zugewiesene verwaltete Identität. Eine verwaltete Identität ist ein spezieller Dienstprinzipal, der nur zusammen mit Azure-Ressourcen verwendet werden kann. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.
Der Löschvorgang wird automatisch initiiert, wenn Sie die Registrierung des Agents aufheben. Es gibt jedoch noch andere Möglichkeiten, diese Identität zu entfernen. Dadurch wird der registrierte Agent in die Unfähigkeit gekapselt und verlangt, dass der Agent nicht registriert ist. Nur nach dem Registrierungsprozess kann ein Agent seine Azure-Identität ordnungsgemäß erhalten und verwalten.
Hinweis
Während der öffentlichen Vorschau gibt es einen Nebeneffekt der Registrierung beim Azure Arc-Dienst. Eine separate Ressource des Typs Server-Azure Arc wird in derselben Ressourcengruppe wie Ihre Storage Mover-Ressource bereitgestellt. Sie können den Agent nicht über diese Ressource verwalten.
Möglicherweise können Sie Aspekte des Storage Mover-Agents über die Ressource des Typs Server-Azure Arc verwalten, aber in den meisten Fällen ist dies nicht der Fall. Es empfiehlt sich, den Agent ausschließlich über den Bereich Registrierte Agents in Ihrer Storage Mover-Ressource oder über die lokale administrative Shell zu verwalten.
Warnung
Löschen Sie nicht die Azure Arc-Serverressource, die für einen registrierten Agent in derselben Ressourcengruppe wie die Speicherverschiebungsressource erstellt wird. Die einzige sichere Zeit zum Löschen dieser Ressource ist, wenn Sie die Registrierung des Agents, der dieser Ressource entspricht zuvor aufgehoben haben.
Autorisierung
Der registrierte Agent muss berechtigt sein, auf mehrere Dienste und Ressourcen in Ihrem Abonnement zuzugreifen. Mit der verwalteten Identität kann er seine Identität beweisen. Im Rahmen des Azure-Dienstes oder der Azure-Ressource kann dann entschieden werden, ob der Agent berechtigt ist, darauf zuzugreifen.
Der Agent ist automatisch berechtigt, mit dem Storage Mover-Dienst zu kommunizieren. Sie können diese Autorisierung nicht sehen oder beeinflussen, ohne die verwaltete Identität zu zerstören, z. B. durch Aufheben der Registrierung des Agents.
Just-in-Time-Autorisierung
Bei einem Migrationsauftrag ist der Zugriff auf den Zielendpunkt vielleicht die wichtigste Ressource, für die ein Agent autorisiert werden muss. Die Autorisierung erfolgt über die rollenbasierte Zugriffssteuerung. Bei einem Azure-Blobcontainer als Ziel wird die verwaltete Identität des registrierten Agents der integrierten Rolle Storage Blob Data Contributor des Zielcontainers (nicht dem gesamten Speicherkonto) zugewiesen. Ebenso wird beim Zugriff auf ein Azure-Dateifreigabeziel die verwaltete Identität des registrierten Agents der integrierten Rolle Storage File Data Privileged Contributorzugewiesen.
Diese Zuweisungen werden im Anmeldekontext des Administrators im Azure-Portal vorgenommen. Daher muss der Administrator Mitglied der rollenbasierten Zugriffssteuerungsrolle „Besitzer“ für den Zielcontainer sein. Diese Zuweisung erfolgt just-in-time, wenn Sie einen Migrationsauftrag starten. An diesem Punkt haben Sie einen Agent ausgewählt, der einen Migrationsauftrag ausführt. Als Teil dieser Startaktion erhält der Agent Berechtigungen für die Datenebene des Zielcontainers. Der Agent ist nicht berechtigt, Verwaltungsebenenaktionen auszuführen, z. B. das Löschen des Zielcontainers oder das Konfigurieren von Features darauf.
Warnung
Der Zugriff wird einem bestimmten Agent just-in-time für die Ausführung eines Migrationsauftrags gewährt. Die Autorisierung des Agents für den Zugriff auf das Ziel wird jedoch nicht automatisch entfernt. Sie müssen die verwaltete Identität des Agents entweder manuell aus einem bestimmten Ziel entfernen oder die Registrierung des Agents aufheben, um den Dienstprinzipal zu deaktivieren. Diese Aktion entfernt die gesamte Zielspeicherautorisierung sowie die Möglichkeit des Agents, mit den Storage Mover- und Azure Arc-Diensten zu kommunizieren.
Nächste Schritte
Definieren Sie Ihre Quell- und Zielendpunkte in Vorbereitung auf die Migration Ihrer Daten.