Регистрация агента mover служба хранилища Azure
Служба Mover служба хранилища Azure использует агенты, которые выполняют задания миграции, настроенные в службе. Агент — это (модуль) на основе виртуальной машины, которая выполняется на узле виртуализации, близком к исходному хранилищу.
Необходимо зарегистрировать агент, чтобы создать связь доверия с ресурсом служба хранилища Mover. Это доверие позволяет агенту безопасно получать задания миграции и сообщать о ходе выполнения. Регистрация агента может происходить через общедоступную или частную конечную точку ресурса служба хранилища Mover. Частная конечная точка, также известная как приватный канал к ресурсу, может быть развернута в виртуальной сети Azure.
Вы можете подключиться к виртуальной сети Azure из других сетей, например локальной корпоративной сети. Этот тип подключения осуществляется через VPN-подключение, например Azure Express Route. Дополнительные сведения об этом подходе см. в документации по Azure ExpressRoute и Приватный канал Azure.
Важно!
В настоящее время служба хранилища Mover можно настроить для маршрутизации данных миграции из агента в целевую учетную запись хранения по Приватный канал. Гибридные пульса вычислений и сертификаты также могут быть перенаправлены в частную конечную точку службы Azure Arc в виртуальной сети (виртуальная сеть). Некоторые служба хранилища трафик Mover нельзя направлять через Приватный канал и направляется через общедоступную конечную точку ресурса перемещения хранилища. Эти данные включают в себя сообщения управления, данные телеметрии хода выполнения и журналы копирования.
Из этой статьи вы узнаете, как успешно зарегистрировать ранее развернутую служба хранилища виртуальной машины агента Mover.
Необходимые компоненты
Перед служба хранилища Azure регистрацией агента Mover необходимо выполнить два предварительных требования:
Необходимо развернуть служба хранилища Azure ресурс Mover.
Выполните действия, описанные в статье "Создание ресурса перемещения хранилища", чтобы развернуть этот ресурс в выбранной подписке Azure и регионе.Необходимо развернуть виртуальную машину агента Mover служба хранилища Azure.
Выполните действия, описанные в статье развертывания агента Mover служба хранилища Azure, чтобы создать виртуальную машину агента и подключить ее к Интернету.
Общие сведения о регистрации
Процесс регистрации агента создает доверие между агентом и облачным ресурсом Mover служба хранилища. Доверие позволяет удаленно управлять агентом и назначать им задания миграции для выполнения.
Регистрация всегда инициируется агентом. В интересах безопасности только агент может установить доверие, перейдя к службе служба хранилища Mover. Процедура регистрации использует учетные данные и разрешения Azure для ресурса перемещения хранилища, который вы ранее развернули. Если у вас еще нет ресурса перемещения хранилища или развернутой виртуальной машины агента, обратитесь к разделу предварительных требований.
Шаг 1. Подключение на виртуальную машину агента
Виртуальная машина агента — это (модуль). Она предлагает административную оболочку, которая ограничивает операции, которые можно выполнить на этом компьютере. При подключении к агенту оболочка загружается и предоставляет параметры, позволяющие взаимодействовать с ним напрямую. Однако виртуальная машина агента — это (модуль) linux, а функции копирования и вставки часто не работают в окне узла по умолчанию.
Вместо использования окна узла рекомендуется использовать подключение SSH. Этот подход обеспечивает следующие преимущества:
- Вы можете подключиться к оболочке виртуальной машины агента с любого компьютера управления и не нужно входить в узел.
- Копирование и вставка полностью поддерживается.
На компьютере в той же подсети, что и агент, выполните команду SSH:
ssh <AgentIpAddress> -l admin
Важно!
Недавно развернутый агент mover служба хранилища имеет пароль по умолчанию: локальный пользователь:
пароль администратора по умолчанию: администратор
Вам будет предложено изменить пароль по умолчанию сразу после первого подключения к только что развернутному агенту. Запишите новый пароль, процесс восстановления не выполняется. Потеря пароля блокирует вас из административной оболочки. Для управления облаком этот пароль локального администратора не требуется. Если агент был зарегистрирован ранее, его можно использовать для заданий миграции. Агенты являются одноразовыми. Они содержат мало значения за пределами текущего задания миграции, которое они выполняют. Вы всегда можете развернуть новый агент и использовать его для выполнения следующего задания миграции.
Шаг 2. Проверка сетевого подключения
Агенту необходимо подключиться к Интернету.
При входе в административную оболочку можно проверить состояние подключения агентов:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Выберите пункт меню 2) Конфигурация сети.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Выберите пункт меню 3) Проверка сетевого подключения.
Важно!
Перейдите только к шагу регистрации, когда тест сетевого подключения не возвращает никаких проблем.
Шаг 3. Регистрация агента
На этом шаге вы зарегистрируете агент в ресурсе перемещения хранилища, развернутом в подписке Azure. Подключение в административную оболочку агента, а затем выберите пункт меню 4) Зарегистрируйте:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Вам будет предложено:
Идентификатор подписки
Имя группы ресурсов
имя ресурса служба хранилища mover
Имя агента: это имя отображается для агента в портал Azure. Выберите имя, которое четко идентифицирует эту виртуальную машину агента. Чтобы выбрать поддерживаемое имя, обратитесь к соглашению об именовании ресурсов.
Приватный канал области. Укажите полный идентификатор ресурса области Приватный канал, если вы используете частную сеть. Дополнительные сведения о Приватный канал Azure см. в статье Приватный канал Azure документации.
Важно!
Если вы настроили служба хранилища Mover для переноса данных по Приватный канал, необходимо указать полный идентификатор ресурса области Приватный канал. Например,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
После того как вы предоставили эти значения, агент попытается зарегистрировать. Во время регистрации необходимо войти в Azure с учетными данными, имеющими разрешения на доступ к ресурсу подписки и хранилища.
Важно!
Учетные данные Azure, используемые для регистрации, должны иметь разрешения владельца для указанной группы ресурсов и ресурса перемещения хранилища.
Для проверки подлинности агент использует поток проверки подлинности устройства с идентификатором Microsoft Entra.
Агент отображает URL-адрес проверки подлинности устройства и https://microsoft.com/devicelogin уникальный код входа. Перейдите по отображаемму URL-адресу на подключенном к Интернету компьютере, введите код и войдите в Azure с помощью учетных данных.
Агент отображает подробный ход выполнения. После завершения регистрации вы сможете увидеть агент в портал Azure. Он находится в разделе "Зарегистрированные агенты " в ресурсе перемещения хранилища, с которым вы зарегистрировали агент.
Аутентификация и авторизация
Для обеспечения простой проверки подлинности с помощью Azure и авторизации в различных ресурсах Azure агент регистрируется в следующих службах Azure:
- служба хранилища Azure Mover (Microsoft.служба хранилищаMover)
- Azure Arc (Microsoft.HybridCompute)
служба mover служба хранилища Azure
Регистрация в службе перемещения служба хранилища Azure отображается и управляется с помощью ресурса перемещения хранилища, развернутого в подписке Azure. Зарегистрированный агент — это ресурс Azure Resource Manager (ARM). Этот ресурс можно создать только с помощью процесса регистрации. Вы можете запросить сведения о ресурсе из любого клиента Azure Resource Manager. Клиенты включают портал Azure, модуль Az PowerShell и интерфейс командной строки модуля Az PowerShell.
Вы можете ссылаться на этот ресурс Azure Resource Manager (ARM), когда вы хотите назначить задания миграции определенной виртуальной машине агента, которую он символизируют.
Служба Azure Arc
Агент также зарегистрирован в службе Azure Arc. Arc используется для назначения и обслуживания управляемого удостоверения Microsoft Entra для этого зарегистрированного агента.
служба хранилища Azure Mover использует управляемое удостоверение, назначаемое системой. Управляемое удостоверение — это субъект-служба специального типа, который можно использовать только с ресурсами Azure. При удалении управляемого удостоверения соответствующий субъект-служба также автоматически удаляется.
Процесс удаления автоматически инициируется при отмене регистрации агента. Однако существуют другие способы удаления этого удостоверения. Это не позволяет зарегистрировать зарегистрированный агент и отменить регистрацию агента. Только процесс регистрации может получить агент для получения и поддержания удостоверений Azure должным образом.
Примечание.
Во время общедоступной предварительной версии существует побочный эффект регистрации в службе Azure Arc. Отдельный ресурс типа Server-Azure Arc также развертывается в той же группе ресурсов, что и ресурс перемещения хранилища. Вы не сможете управлять агентом с помощью этого ресурса.
Возможно, вы можете управлять аспектами агента перемещения хранилища через ресурс Server-Azure Arc , но в большинстве случаев вы не можете. Лучше всего управлять агентом с помощью области "Зарегистрированные агенты " в ресурсе перемещения хранилища или через локальную административную оболочку.
Предупреждение
Не удаляйте ресурс сервера Azure Arc, созданный для зарегистрированного агента в той же группе ресурсов, что и ресурс перемещения хранилища. Единственное безопасное время удаления этого ресурса заключается в том, что ранее вы отменили регистрацию агента, который соответствует этому ресурсу.
Авторизация
Зарегистрированный агент должен быть авторизован для доступа к нескольким службам и ресурсам в подписке. Управляемое удостоверение — это способ подтверждения его удостоверения. Затем служба Или ресурс Azure может решить, авторизован ли агент для доступа к нему.
Агент автоматически авторизован для взаимодействия со службой служба хранилища Mover. Вы не сможете увидеть или повлиять на эту авторизацию, чтобы уничтожить управляемое удостоверение, например отменив регистрацию агента.
JIT-авторизация
Для задания миграции доступ к целевой конечной точке является наиболее важным ресурсом, для которого агент должен быть авторизован. Авторизация выполняется с помощью управления доступом на основе ролей. Для контейнера BLOB-объектов Azure в качестве целевого объекта управляемое удостоверение зарегистрированного агента назначается встроенной роли Storage Blob Data Contributor целевого контейнера (а не всей учетной записи хранения). Аналогичным образом при доступе к целевому объекту общей папки Azure управляемое удостоверение зарегистрированного агента назначается встроенной роли Storage File Data Privileged Contributor.
Эти назначения выполняются в контексте входа администратора в портал Azure. Поэтому администратор должен быть членом роли управления на основе ролей (RBAC) уровня управления "Владелец" для целевого контейнера. Это назначение выполняется jit-in-time при запуске задания миграции. На этом этапе вы выбрали агент для выполнения задания миграции. В рамках этого действия запуска агент получает разрешения на плоскость данных целевого контейнера. Агент не авторизован для выполнения каких-либо действий уровня управления, таких как удаление целевого контейнера или настройка каких-либо функций в нем.
Предупреждение
Доступ предоставляется определенному агенту jit-time для выполнения задания миграции. Однако авторизация агента для доступа к целевому объекту не удаляется автоматически. Необходимо вручную удалить управляемое удостоверение агента из определенного целевого объекта или отменить регистрацию агента, чтобы уничтожить субъект-службу. Это действие удаляет все авторизации целевого хранилища, а также возможность агента взаимодействовать со службами служба хранилища Mover и Azure Arc.
Следующие шаги
Определите исходные и целевые конечные точки при подготовке к переносу данных.