Управление локальными кластерами Azure с помощью Центра администрирования Windows в Azure (предварительная версия)

С помощью Центра администрирования Windows на портале Azure можно управлять локальной операционной системой Azure кластера. Вы можете безопасно управлять кластером из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к компьютеру.

С расширением Windows Admin Center в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления локальным кластером Azure на портале Azure. Для локального кластера Azure и управления рабочими нагрузками больше не требуется устанавливать протокол удаленного рабочего стола (RDP) — все это теперь можно сделать непосредственно через портал Azure. Windows Admin Center предоставляет средства, которые обычно находятся в диспетчере отказоустойчивых кластеров, диспетчере устройств, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Microsoft (MMC).

В этой статье представлен обзор использования Windows Admin Center на портале Azure, требований и установки Центра администрирования Windows, а также его использования для управления вашим кластером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Обзор Центра администрирования Windows в Azure

Центр администрирования Windows на портале Azure предоставляет основные средства для управления локальным кластером Azure. Кластеры можно управлять без необходимости открывать любой входящий порт в брандмауэре.

С помощью Центра администрирования Windows в портал Azure вы можете управлять следующими способами:

• Servers
• Volumes
• Drives
• Инфраструктура SDN
• Diagnostics
• Security
• Certificates
• Devices
• Events
• Файлы и общий доступ к файлам
• Firewall
• Установленные приложения
• Локальные пользователи и группы
• Performance Monitor
• PowerShell
• Processes
• Registry
• Remote Desktop
• Роли и компоненты
• Запланированные задачи
• Services
• Storage
• Виртуальные машины
• Виртуальные коммутаторы

В настоящий момент мы не поддерживаем другие расширения для Windows Admin Center в портале Azure.

Requirements

В этом разделе приведены требования к использованию Windows Admin Center в портал Azure для управления гибридным компьютером:

• Учетная запись Azure с активной подпиской
• Разрешения Azure
• Доступность региона Azure
• локальные требования Azure
• Требования к сети

учетная запись Azure с активной подпиской.

Для развертывания Windows Admin Center потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Windows Admin Center вы зарегистрируете поставщика ресурсов Microsoft.HybridConnectivity для подписки.

Чтобы проверить состояние поставщика ресурсов, зарегистрируйтесь при необходимости:

1. Войдите на портал Azure.
2. Выберите подписки.
3. Выберите имя подписки.
4. Выберите поставщики ресурсов.
5. Найдите Microsoft.HybridConnectivity.
6. Убедитесь, что состояние Microsoft.HybridConnectivity зарегистрировано.
   1. Если состояние не зарегистрировано, выберите Microsoft.HybridConnectivity и нажмите кнопку Register.

Разрешения Azure

Для подключения к Центру администрирования Windows требуется разрешение на вход читателя и администратора Центра администрирования Windows в локальном ресурсе Azure Arc.

Ознакомьтесь со сведениями о назначении ролей Azure с помощью портала Azure.

Доступность по регионам Azure

Windows Admin Center поддерживается в , и все общедоступные регионы Azure Local поддерживаются.

Локальные требования Azure

Чтобы использовать Windows Admin Center в портал Azure, агент Центра администрирования Windows должен быть установлен на каждом узле кластера с помощью расширения виртуальной машины Azure. Каждый узел кластера должен соответствовать следующим требованиям:

• Локальная версия Azure, версия 21H2 или более поздняя
• 3 ГБ памяти или больше
• Локальный кластер Azure должен быть подключен к Azure с помощью Azure Arc
• Агент Azure Arc версии 1.13.21320.014 или более поздней

Требования к сети

Каждый узел локального кластера Azure должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

  • *.service.waconazure.com WindowsAdminCenter или тег службы
  • pas.windows.net
  • *.servicebus.windows.net

Компьютер управления, на котором запущен портал Azure, должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра администрирования Windows в портал Azure

Прежде чем использовать Windows Admin Center в портал Azure, необходимо развернуть расширение виртуальной машины Windows Admin Center, выполнив следующие действия.

1. Откройте портал Azure и перейдите к локальному кластеру Azure.
2. В группе "Параметры" выберите Центр администрирования Windows.
3. Укажите порт, на котором вы хотите установить Windows Admin Center, и нажмите кнопку "Установить".

Подключение к Центру администрирования Windows в портале Azure

После установки Windows Admin Center в кластере выполните следующие действия, чтобы подключиться к нему и использовать его для управления локальной службой Azure:

1. Откройте портал Azure и перейдите к локальному кластеру Azure, а затем в группе параметров выберите Центр администрирования Windows.
2. Нажмите Подключиться.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Настройка назначений ролей

Доступ к Центру администрирования Windows контролируется ролью входа администратора Центра администрирования Windows в Azure. Эта роль должна быть настроена на локальном ресурсе Azure и каждом из серверов с поддержкой Azure Arc, связанных с этим кластером.

Чтобы настроить назначения ролей для кластера с помощью интерфейса Центра администрирования Microsoft Entra, выполните следующие действия.

1. Выберите группу ресурсов , содержащую кластер и связанные ресурсы Azure Arc.

2. Выберите Управление доступом (IAM) .

3. Нажмите кнопку "Добавить>, чтобы открыть страницу "Добавить назначение ролей".

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Setting	Value
   Role	Вход администратора Windows Admin Center
   Назначить доступ для	Пользователь, группа, служебный принципал или управляемое удостоверение

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначьте роли Azure с использованием примеров Azure CLI. Azure CLI также можно использовать в интерфейсе Azure Cloud Shell.
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

Принцип работы

С помощью Windows Admin Center в Azure вы можете подключиться к кластеру, не требуя включения любого входящего порта в брандмауэре. Центр администрирования Windows через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого локального кластера Azure, которым требуется управлять с помощью Центра администрирования Windows на портале Azure, необходимо развернуть агент на всех узлах кластера.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к кластеру.

При нажатии кнопки "Установить" выполняются следующие действия:

1. Регистрирует поставщик ресурсов Microsoft.HybridConnectivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с кластером с поддержкой Arc.
2. Развертывает ресурс конечной точки Azure поверх каждого из ресурсов с поддержкой Arc в кластере, который обеспечивает обратное прокси-подключение к указанному порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

При нажатии кнопки "Подключить" выполняются следующие действия:

1. Портал Azure запрашивает у поставщика ресурсов Microsoft.HybridConnectivity доступ к серверу с поддержкой Arc.
2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к одному из узлов кластера с поддержкой Arc в порту Windows Admin Center.
3. Создается уникальный короткий URL-адрес, а подключение к Центру администрирования Windows устанавливается из портал Azure.

Подключение к Центру администрирования Windows зашифровано от конца до конца, с завершением SSL в вашем кластере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Windows Admin Center можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
        
#Allow connectivity
$patch = @{ "properties" =  @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload

Troubleshooting

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок Windows Admin Center (не в Azure) см. в разделе "Устранение неполадок с Windows Admin Center".

Не удалось подключиться: "404 конечная точка не найдена"

1. Версия 1.36 и 1.35 агента подключенного компьютера Azure (агент Arc) прерывает подключение к Центру администрирования Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Ошибка подключения

1. Перезапустите службу HIMDS.

   1. Подключитесь через RDP к каждому узлу кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds
      

2. Убедитесь, что служба Windows Admin Center запущена в кластере.

   1. Подключитесь через RDP к каждому узлу кластера.
   2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
   3. Убедитесь, что serverManagementGateway или Windows Admin Center запущен.
   4. Если это не так, запустите службу.

3. Убедитесь, что порт включен для сеанса обратного прокси.

   1. Подключитесь через RDP к каждому узлу кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list
      

   3. В результате должен вернуться список портов в конфигурации incomingconnections.ports (предварительная версия), которые будут подключены из Azure. Убедитесь, что порт, на котором установлен Центр администрирования Windows, находится в этом списке. Например, если Windows Admin Center установлен на порте 443, результатом будет:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. В случае, если он не указан в этом списке, запустите его

      azcmagent config set incomingconnections.ports <port>
      

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

4. Убедитесь, что у вас есть исходящее подключение к необходимым портам.

   1. Каждый узел кластера должен иметь исходящее подключение к следующей конечной точке.
      • *.wac.azure.com, *.waconazure.com или WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть лезвие и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

1. Дважды проверьте, соответствует ли кластер требованиям.

2. Убедитесь, что исходящий трафик в Windows Admin Center разрешен на каждом узле кластера.

   1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, убедитесь, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

• Журналы на портале Azure. Это можно найти в разделе "Параметры>расширения>AdminCenter>", чтобы просмотреть подробное состояние.

• Логи на каждом узле кластера. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

  azcmagent logs
  

• Журналы сетевой трассировки, если это целесообразно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

• В версиях дополнения 0.49.0.0 и выше установка Windows Admin Center на портале Azure или подключение к локальным системам Azure OS может завершиться ошибкой. Проблемы с установкой могут быть устранены путем восстановления до версии 0.47.0.0 расширения. Проблемы с подключением могут быть исправлены обновлением страницы.
• Режим инкогнито Chrome не поддерживается.
• Настольное приложение портала Azure не поддерживается.
• Подробные сообщения об ошибках для неудачных подключений пока недоступны.
• Обновления не поддерживаются. Пользователи не могут применять обновления к кластеру Azure Local с использованием CAU (Cluster-Aware Updating).
• Если для элемента управления приложениями Защитника Windows (WDAC) задан режим принудительного применения, установка расширения AdminCenter может быть заблокирована. В этом случае выполните действия по переустановке.

  1. Проверьте, применяется ли WDAC в кластере.

     Get-AsWdacPolicyMode
     

  2. Установите WDAC в режиме аудита. Для переключения режима может потребоваться два или три минуты. Проверьте переключённый режим с помощью командлета Get-AsWdacPolicyMode.

     Enable-AsWdacPolicy -Mode Audit
     

  3. Во всех узлах перезапустите службу расширений.

     Restart-Service ExtensionService
     

  4. На портале Azure откройте каждый из узлов и удалите расширение AdminCenter через: "Параметры > Расширения".

  5. После удаления расширения со всех узлов попробуйте снова установить расширение из раздела "Параметры локального кластера Azure" в Центре администрирования Windows (предварительная версия).

  6. Если расширение WAC работает снова, восстановите параметр AsWdacPolicy.

     Enable-AsWdacPolicy -Mode Enforced
     

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Windows Admin Center в Azure.

Сколько стоит использование Windows Admin Center?

Использование Центра администрирования Windows на портале Azure не связано с затратами.

Можно ли использовать Windows Admin Center для управления виртуальными машинами, работающими в кластере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер, а Центр администрирования Windows отобразит расширения виртуальной машины и коммутатора.

Какие кластеры можно управлять с помощью этого расширения?

Вы можете использовать возможность управления локальными кластерами Azure с поддержкой Arc версии 21H2 или более поздней. Вы также можете использовать Windows Admin Center для управления серверами с поддержкой Arc.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр администрирования Windows зашифрован. Кластер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Windows Admin Center?

Для использования Windows Admin Center не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для нашей службы, созданной для взаимодействия с вашим сервером, требуется правило исходящего порта. Наша служба бесплатно выдает вам сертификат для вашей версии Windows Admin Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра администрирования Windows из портала Azure, сохранив сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Windows Admin Center из Azure не требуется входящий порт и только исходящее подключение через обратное прокси-решение. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

1. Подключитесь к серверу через RDP.
2. Откройте редактор реестра.
3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway.
4. Прочитайте значение SmePort, чтобы определить используемый порт.

У меня уже есть Windows Admin Center, установленный на одном или всех узлах кластера. Можно ли получить доступ к нему с портала?

Yes. Вы можете выполнить те же действия, описанные в этом документе.

Дальнейшие шаги

• Сведения о Windows Admin Center
• Сведения об управлении серверами с помощью Центра администрирования Windows
• Сведения о локальной среде Azure
• Узнайте о подключении Azure Local к Azure