Подключение гибридных компьютеров к Azure в большом масштабе

Используя ряд гибких возможностей, перечень которых зависит от ваших требований, вы можете включить серверы с поддержкой Azure Arc для нескольких компьютеров с ОС Windows или Linux в своей среде. Используя предоставленный шаблон скрипта, вы можете автоматизировать каждый шаг установки, включая установку подключения к Azure Arc. Однако необходимо выполнять этот скрипт вручную с использованием учетной записи с разрешениями повышенного уровня на целевом компьютере и в Azure.

Один из способов подключения компьютеров к серверам с поддержкой Azure Arc — это использование субъекта-службы Microsoft Entra. Для интерактивного подключения к компьютеру можно использовать субъект-службу вместо привилегированного удостоверения. Этот субъект-служба представляет собой специальное ограниченное удостоверение управления, которое имеет только минимальное разрешение, необходимое для подключения компьютеров к Azure с помощью azcmagent команды. Этот способ более безопасен, чем использование учетной записи с более высоким уровнем привилегий, такой как администратор клиента, и соответствует рекомендациям по обеспечению безопасности контроля доступа. Субъект-служба используется только во время подключения; он не используется для других целей.

Прежде чем приступить к подключению компьютеров, ознакомьтесь со следующими требованиями:

1. Убедитесь, что у вас есть разрешения администратора на компьютерах, которые требуется подклюючить.

   Для установки агента Connected Machine на компьютерах необходимы разрешения администратора. В Linux их можно получить с помощью учетной записи root, a в Windows — в качестве члена локальной группы администраторов.

2. Ознакомьтесь с предварительными требованиями и убедитесь, что подписка и ресурсы соответствуют им. Вам потребуется роль подключения подключенного компьютера Azure или роль участника для группы ресурсов компьютера. Обязательно заблаговременно зарегистрируйте поставщиков ресурсов Azure в целевой подписке.

   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity
   • Microsoft.AzureArcData (если вы планируете включить поддержку Arc для экземпляров SQL Server)

   Дополнительные сведения см. здесь: предварительные требования для поставщиков ресурсов Azure

   Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Автоматическое подключение для SQL Server

При подключении к Azure Arc сервера на Windows или Linux с установленным Microsoft SQL Server экземпляры SQL Server также будут автоматически подключены к Azure Arc. SQL Server с поддержкой Azure Arc предоставляет возможности ведения подробного учета, а также дополнительные возможности управления для экземпляров SQL Server и баз данных. В процессе подключения на сервере с поддержкой Azure Arc развертывается расширение, а к SQL Server и базам данных будут применены новые роли. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.

Создание субъекта-службы для подключения в большом масштабе

Субъект-службу можно создать в портал Azure или с помощью Azure PowerShell.

Портал Azure

Служба Azure Arc в портал Azure предоставляет упрощенный способ создания субъекта-службы, который можно использовать для подключения гибридных компьютеров к Azure.

1. В портал Azure перейдите к Azure Arc, а затем выберите субъекты-службы в меню слева.
2. Выберите Добавить.
3. Введите имя субъекта-службы.
4. Выберите, будет ли субъект-служба иметь доступ ко всей подписке или только определенной группе ресурсов.
5. Выберите подписку (и группу ресурсов, если применимо), к которой субъект-служба будет иметь доступ.
6. В разделе секрета клиента выберите длительность использования созданного секрета клиента. При необходимости можно ввести понятное имя в поле "Описание ".
7. В разделе "Назначение ролей" выберите подключение подключенного компьютера Azure.
8. Нажмите кнопку создания.

Azure PowerShell

Вы можете создать субъект-службу с помощью Azure PowerShell, выполнив командлет New-AzADServicePrincipal.

1. Проверьте контекст сеанса Azure PowerShell, чтобы убедиться, что вы работаете в правильной подписке. Если необходимо изменить подписку, используйте Set-AzContext .

   Get-AzContext
   

2. Выполните следующую команду, чтобы создать субъект-службу и назначить ей роль подключения подключенного компьютера Azure для выбранной подписки. После создания субъекта-службы будет напечатан идентификатор приложения и секрет. Секрет действителен в течение 1 года, после чего необходимо создать новый секрет и обновить все скрипты с новым секретом.

   $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
   $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
   

   AppId                                Secret
   -----                                ------
   aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
   

   Значения из следующих свойств используются для параметров, передаваемыми в azcmagent.

   • Значение свойства AppId используется для --service-principal-id значения параметра.
   • Значение из свойства Secret используется для параметра, используемого для --service-principal-secret подключения агента.

Создание скрипта установки на портале Azure

Используйте портал Azure для создания скрипта, который автоматизирует загрузку и установку агента и устанавливает подключение к Azure Arc. Чтобы завершить процесс, выполните следующие действия.

1. В браузере перейдите на портал Azure.

2. На странице "Компьютеры " Azure Arc" выберите "Добавить или создать" в левом верхнем углу, а затем выберите "Добавить компьютер" в раскрывающемся меню.

3. На странице "Добавление серверов с помощью Azure Arc" выберите плитку "Добавить несколько серверов" и выберите "Создать скрипт".

4. На вкладке Основные используйте следующие значения.

   1. Выберите группу подписок и ресурсов для компьютеров.
   2. В раскрывающемся списке Регион выберите регион Azure для хранения метаданных серверов.
   3. В раскрывающемся списке Операционная система выберите операционную систему, в которой должен выполняться скрипт.
   4. Для метода подключения выберите, как агент подключенного компьютера Azure должен подключаться к Интернету:
      • Общедоступная конечная точка
      • Прокси-сервер— введите IP-адрес прокси-сервера или имя и номер порта, который будет использоваться компьютером в формате http://<proxyURL>:<proxyport>.
      • Частная конечная точка— выберите существующую область приватного канала и конечную точку или создайте новую.
   5. Выберите Далее.
   6. В разделе "Проверка подлинности" в раскрывающемся списке субъекта-службы выберите Arc-for-servers. Затем нажмите кнопку "Далее".

5. На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами.

6. Выберите Далее.

7. На вкладке Download and run script (Скачивание и выполнение скрипта) просмотрите сводные данные и щелкните Скачать. Если вам все еще нужно внести изменения, щелкните Назад.

Для Windows вам будет предложено сохранить на компьютер файл OnboardingScript.ps1, а для Linux — OnboardingScript.sh.

Установка агента и подключение к Azure

Используя шаблон скрипта, созданного ранее, можно установить и настроить агент Connected Machine на нескольких гибридных компьютерах Linux и Windows с помощью предпочтительного средства автоматизации вашей организации. Скрипт выполняет действия, аналогичные описанным в статье Подключение гибридных компьютеров к Azure на портале Azure. Разница заключается в последнем шаге установки подключения к Azure Arc с помощью команды azcmagent и субъекта-службы.

Ниже приведены параметры команды azcmagent для использования субъекта-службы.

• service-principal-id: уникальный идентификатор (GUID), представляющий идентификатор приложения субъекта-службы.
• service-principal-secret: пароль субъекта-службы.
• tenant-id : уникальный идентификатор (GUID), представляющий выделенный экземпляр идентификатора Microsoft Entra.
• subscription-id : идентификатор подписки (GUID) подписки Azure, в которой нужны компьютеры.
• resource-group : имя группы ресурсов, к которой нужно принадлежать подключенным компьютерам.
• location : см . поддерживаемые регионы Azure. Это расположение может совпадать или не совпадать с расположением группы ресурсов.
• resource-name : (Необязательно) Используется для представления ресурса Azure локального компьютера. Если это значение не указано, будет использовано имя узла компьютера.

Вы можете узнать больше о программе командной строки azcmagent, изучив справочные материалы по Azcmagent.

После установки агента и настройки его подключения к серверам с поддержкой Azure Arc перейдите на портал Azure и проверьте, подключен ли сервер. Просмотрите свои компьютеры на портале Azure.

Следующие шаги

• Ознакомьтесь с руководством по планированию и развертыванию, чтобы спланировать развертывание серверов с поддержкой Azure Arc в любом масштабе и реализацию централизованного управления и мониторинга.
• Узнайте, как устранять проблемы с подключением агента.
• Узнайте, как управлять компьютерами с помощью Политика Azure для таких вещей, как гостевая конфигурация виртуальной машины, проверка отчетов компьютеров в ожидаемой рабочей области Log Analytics, мониторинг с помощью аналитики виртуальных машин и многое другое.