Поделиться через

Подключение гибридных компьютеров к Azure в большом масштабе

Используя ряд гибких возможностей, перечень которых зависит от ваших требований, вы можете включить серверы с поддержкой Azure Arc для нескольких компьютеров с ОС Windows или Linux в своей среде. Используя предоставленный скрипт шаблона, вы можете автоматизировать каждый шаг установки, включая установку подключения к Azure Arc. Однако вам потребуется выполнить этот скрипт вручную с учетной записью, которая имеет повышенные разрешения на целевом компьютере и в Azure.

Один из способов подключения компьютеров к серверам с поддержкой Azure Arc — это использование учетной записи службы Microsoft Entra. Для интерактивного подключения к компьютеру вместо привилегированной учетной записи можно использовать метод служебного принципала. Этот сервис-принципал представляет собой специальное ограниченное управляющее удостоверение, которое имеет только минимальное разрешение, необходимое для подключения машин к Azure с помощью команды azcmagent. Этот способ более безопасен, чем использование учетной записи с более высоким уровнем привилегий, такой как администратор клиента, и соответствует рекомендациям по обеспечению безопасности контроля доступа.

Учетная запись службы используется только во время подключения; она не используется для других целей.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Предпосылки

Прежде чем приступить к подключению компьютеров, ознакомьтесь со следующими требованиями:

  • Убедитесь, что у вас есть администраторские права на компьютерах, которые требуется подключить. Для установки агента подключенного компьютера необходимо иметь права администратора: использовать корневую учетную запись в Linux или быть членом группы локальных администраторов в Windows.

  • Проверьте предварительные требования агента подключенного компьютера и убедитесь, что ваша подписка и ресурсы соответствуют требованиям. Необходимо иметь роль Подключение машины к Azure или роль Сотрудник для группы ресурсов машины. Обязательно заблаговременно зарегистрируйте поставщиков ресурсов Azure в целевой подписке.

    • Microsoft.HybridCompute

    • Microsoft.GuestConfiguration

    • Microsoft.HybridConnectivity

    • Microsoft.AzureArcData (если вы планируете включить поддержку Arc для экземпляров SQL Server)

    Дополнительные сведения см. в разделе "Предварительные требования для поставщиков ресурсов Azure".

Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.

Автоматическое подключение для SQL Server

При подключении сервера Windows или Linux к Azure Arc с установленным Microsoft SQL Server экземпляры SQL Server автоматически подключаются к Azure Arc. SQL Server с поддержкой Azure Arc предоставляет возможности ведения подробного учета, а также дополнительные возможности управления для экземпляров SQL Server и баз данных. В рамках процесса подключения расширение развертывается на сервере с поддержкой Azure Arc, а новые роли применяются к SQL Server и базам данных. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.

Создание субъекта-службы для подключения в большом масштабе

Субъект-службу можно создать с помощью Azure CLI (Windows или Linux), PowerShell или на портале Azure.

Note

Чтобы создать субъект-службу, клиент Microsoft Entra должен разрешить пользователям регистрировать приложения. Если это не так, ваша учетная запись должна быть членом роли администратора приложений или администратора облачных приложений .

Дополнительные сведения о требованиях на уровне клиента см. в разделе "Делегирование разрешений на регистрацию приложений" в идентификаторе Microsoft Entra. Чтобы назначить роли сервера с поддержкой Arc, ваша учетная запись должна быть членом роли "Владелец " или "Администратор доступа пользователей" в подписке, которую вы хотите использовать для подключения.

Служба Azure Arc в портале Azure предоставляет упрощенный способ создания учетной записи службы, которую можно использовать для подключения гибридных машин к Azure.

  1. В верхней части портала Azure найдите и выберите Azure Arc.
  2. В меню службы разверните узел Дополнительная настройка, а затем выберите служебные принципы.
  3. В правой области нажмите кнопку "Добавить".
  4. В следующих полях укажите следующее:
    1. Имя субъекта-службы.
    2. Выберите, имеет ли субъект-службу доступ ко всей подписке или только к определенной группе ресурсов.
    3. Выберите подписку (и группу ресурсов, если применимо), к которой у субъекта-службы есть доступ.
    4. Введите идентификатор дерева службы для субъекта-службы (если применимо).
    5. В разделе секрета клиента можно ввести понятное имя в поле "Описание ". Затем выберите длительность использования созданного секрета клиента.
    6. В разделе "Ролевая настройка" выберите включение подключенной машины Azure.
  5. Нажмите кнопку "Создать".

Снимок экрана экрана создания учетной записи службы Azure Arc в портале Azure.

Создание скрипта установки на портале Azure

Используйте портал Azure для создания скрипта, который автоматизирует загрузку и установку агента и устанавливает подключение к Azure Arc. Чтобы завершить процесс, выполните следующие действия.

  1. В верхней части портала Azure найдите и выберите Azure Arc.
  2. В меню службы разверните узел "Инфраструктура", а затем выберите "Компьютеры".
  3. Выберите "Подключение" и "Создать", а затем выберите "Подключить существующие компьютеры".
  4. На странице "Основы" укажите следующее:
    1. Выберите подписку и группу ресурсов для виртуальных машин.
    2. В разделе "Регион" выберите регион Azure для хранения метаданных серверов.
    3. В разделе "Операционная система" выберите операционную систему, в которую настроен скрипт.
    4. В разделе "Метод подключения":
      1. Выберите общедоступную конечную точку или частную конечную точку. Если выбрать частную конечную точку, можно выбрать существующую область приватного канала или создать новую.
      2. Если вы хотите использовать URL-адрес прокси-сервера, введите IP-адрес прокси-сервера или имя и номер порта, используемый компьютером в формате http://<proxyURL>:<proxyport>.
      3. Если выбрана общедоступная конечная точка и вы хотите использовать шлюз Azure Arc, выберите существующий ресурс шлюза или создайте новый.
    5. В разделе "Проверка подлинности" выберите Автоматически аутентифицировать машины, а затем выберите учетную запись службы.
    6. Нажмите кнопку Далее.
  5. В разделе "Теги" просмотрите предлагаемые теги физического расположения по умолчанию и введите значение или укажите один или несколько пользовательских тегов для поддержки стандартов.
  6. Нажмите кнопку Далее.
  7. В разделе "Скачать и запустить скрипт" выберите метод развертывания, а затем просмотрите сводную информацию. Если необходимо внести изменения, нажмите кнопку "Назад" и внесите необходимые изменения.
  8. Выберите Скачать.

Для Windows появится запрос на сохранение OnboardingScript.ps1и для Linux OnboardingScript.sh на компьютере.

Установка агента и подключение к Azure

Используя шаблон скрипта, созданного ранее, можно установить и настроить агент Connected Machine на нескольких гибридных компьютерах Linux и Windows с помощью предпочтительного средства автоматизации вашей организации. Скрипт выполняет действия, аналогичные описанным в статье Подключение гибридных компьютеров к Azure на портале Azure. Разница заключается в последнем шаге установки подключения к Azure Arc с помощью команды azcmagent и субъекта-службы.

Следующие параметры azcmagent команды вы настраиваете для использования учетной записью службы.

  • service-principal-id: уникальный идентификатор (GUID), представляющий идентификатор приложения служебного принципала.
  • service-principal-secret: пароль учетной записи службы.
  • tenant-id: уникальный идентификатор (GUID), представляющий выделенный экземпляр идентификатора Microsoft Entra.
  • subscription-id: идентификатор подписки (GUID) вашей подписки на Azure, в которой должны находиться машины.
  • resource-group: имя группы ресурсов, к которой нужно принадлежать подключенным компьютерам.
  • location: см. поддерживаемые регионы Azure. Это расположение может совпадать или не совпадать с расположением группы ресурсов.
  • resource-name: (Необязательно) Используется для представления ресурса Azure локального компьютера. Если это значение не указано, используется имя узла компьютера.

Дополнительные сведения о средстве командной azcmagent строки см. в статье "Управление и обслуживание агента подключенного компьютера".

Note

Скрипт Windows PowerShell поддерживает только запуск из 64-разрядной версии Windows PowerShell.

После установки агента и настройки подключения к серверам с поддержкой Azure Arc перейдите на портал Azure, чтобы убедиться, что сервер успешно подключается. Просмотрите компьютеры на портале Azure и убедитесь, что устройство подключено к статусу агента Arc.

Снимок экрана: успешное подключение к серверу на портале Azure.

Устранение неполадок

Если появится следующая ошибка, может потребоваться добавить его в качестве члена роли администратора приложений или администратора облачных приложений .

ServiceManagementReference field is required for Create, but is missing in the request. Refer to the TSG `https://aka.ms/service-management-reference-error` for resolving the error.

Дальнейшие шаги

  • Last updated on