Připojení hybridních počítačů do Azure ve velkém měřítku

Servery s podporou Azure Arc můžete povolit pro více počítačů s Windows nebo Linuxem ve vašem prostředí s několika flexibilními možnostmi v závislosti na vašich požadavcích. Pomocí skriptu šablony, který poskytujeme, můžete automatizovat všechny kroky instalace, včetně navázání připojení ke službě Azure Arc. Tento skript ale musíte spustit ručně pomocí účtu se zvýšenými oprávněními na cílovém počítači a v Azure.

Jednou z metod připojení počítačů k serverům s podporou Azure Arc je použití instančního objektu Microsoft Entra. Tuto metodu instančního objektu je možné použít místo privilegované identity k interaktivnímu připojení počítače. Tento instanční objekt je speciální omezená identita správy, která má pouze minimální oprávnění potřebná k připojení počítačů k Azure pomocí azcmagent příkazu. Tato metoda je bezpečnější než použití vyššího privilegovaného účtu, jako je Správce tenanta, a dodržuje naše osvědčené postupy zabezpečení řízení přístupu. Instanční objekt se používá pouze během onboardingu; nepoužívá se k žádnému jinému účelu.

Než začnete připojovat počítače, projděte si následující požadavky:

  1. Ujistěte se, že na počítačích, které chcete připojit, máte oprávnění správce.

    Oprávnění správce jsou nutná k instalaci agenta Připojený počítač; v Linuxu pomocí kořenového účtu a v systému Windows jako člen skupiny Lokální správci.

  2. Projděte požadavky a ověřte, jestli je vaše předplatné a prostředky splňují. Budete muset mít roli onboardingu připojeného počítače Azure nebo roli Přispěvatel pro skupinu prostředků počítače. Nezapomeňte zaregistrovat níže poskytovatele prostředků Azure předem ve svém cílovém předplatném.

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureArcData (pokud plánujete povolit podporu Arc pro instance SQL Server)

    Podrobný postup najdete tady: Požadavky na poskytovatele prostředků Azure

    Informace o podporovaných oblastech a dalších souvisejících aspektech najdete v podporovaných oblastech Azure. Projděte si také našeho průvodce plánováním ve velkém měřítku a seznamte se s kritérii návrhu a nasazení a také s doporučeními pro správu a monitorování.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Automatické připojení pro SQL Server

Když k Azure Arc připojíte server se systémem Windows nebo Linux, který má nainstalovaný i Microsoft SQL Server, instance SQL Serveru se automaticky připojí i k Azure Arc. SQL Server povolený službou Azure Arc poskytuje podrobný inventář a další možnosti správy pro instance a databáze SQL Serveru. V rámci procesu připojení se na server s podporou Azure Arc nasadí rozšíření a pro váš SQL Server a databáze se použijí nové role. Pokud nechcete automaticky připojit SQL Servery ke službě Azure Arc, můžete se odhlásit přidáním značky na server s Windows nebo Linuxem s názvem ArcSQLServerExtensionDeployment a hodnotou Disabled , když je připojený k Azure Arc.

Další informace se nachází v tématu Správa automatického připojení pro SQL Server, který povoluje Azure Arc.

Vytvoření instančního objektu pro nasazování ve velkém měřítku

Instanční objekt můžete vytvořit na webu Azure Portal nebo pomocí Azure PowerShellu.

Poznámka:

Pokud chcete vytvořit instanční objekt, musí váš tenant Microsoft Entra umožnit uživatelům registrovat aplikace. Pokud tomu tak není, musí být váš účet členem role Správce aplikací nebo Správce cloudových aplikací. Další informace o požadavcích na úrovni tenanta najdete v tématu Delegování oprávnění registrace aplikace v Microsoft Entra ID . Pokud chcete přiřadit role serveru s podporou arc, musí být váš účet členem role Vlastník nebo Správce uživatelských přístupů v předplatném, které chcete použít pro onboarding.

portál Azure

Služba Azure Arc na webu Azure Portal poskytuje zjednodušený způsob vytvoření instančního objektu, který se dá použít k připojení hybridních počítačů k Azure.

  1. Na webu Azure Portal přejděte na Azure Arc a v nabídce vlevo vyberte Instanční objekty .
  2. Vyberte Přidat.
  3. Zadejte název instančního objektu.
  4. Zvolte, jestli má instanční objekt přístup k celému předplatnému, nebo jenom ke konkrétní skupině prostředků.
  5. Vyberte předplatné (a případně skupinu prostředků), ke kterému bude mít instanční objekt přístup.
  6. V části Tajný kód klienta vyberte dobu, po kterou se bude používat vygenerovaný tajný klíč klienta. Volitelně můžete do pole Popis zadat popisný název podle svého výběru.
  7. V části Přiřazení role vyberte Onboarding připojeného počítače Azure.
  8. Vyberte Vytvořit.

Snímek obrazovky s obrazovkou pro vytvoření instančního objektu Azure Arc na webu Azure Portal

Azure PowerShell

Pomocí Azure PowerShellu můžete vytvořit instanční objekt pomocí rutiny New-AzADServicePrincipal.

  1. Zkontrolujte kontext relace Azure PowerShellu a ujistěte se, že pracujete ve správném předplatném. Pokud potřebujete změnit předplatné, použijte Set-AzContext .

    Get-AzContext
    
  2. Spuštěním následujícího příkazu vytvořte instanční objekt a přiřaďte mu roli onboardingu připojeného počítače Azure pro vybrané předplatné. Po vytvoření instančního objektu vytiskne ID a tajný klíč aplikace. Tajný kód je platný po dobu 1 roku, po které budete muset vygenerovat nový tajný kód a aktualizovat všechny skripty novým tajným kódem.

    $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
    $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
    
    AppId                                Secret
    -----                                ------
    aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
    

    Hodnoty z následujících vlastností se používají s parametry předanými do azcmagent:

    • Hodnota z vlastnosti AppId se používá pro hodnotu parametru --service-principal-id .
    • Hodnota z vlastnosti Secret se používá pro --service-principal-secret parametr použitý k připojení agenta.

Vygenerování instalačního skriptu z webu Azure Portal

Pomocí webu Azure Portal vytvořte skript, který automatizuje stažení a instalaci agenta a vytvoří připojení ke službě Azure Arc. Proces dokončíte provedením následujících kroků:

  1. Z prohlížeče přejděte na web Azure Portal.

  2. Na stránce Počítače – Azure Arc vyberte v levém horním rohu přidat nebo vytvořit a pak v rozevírací nabídce vyberte Přidat počítač.

  3. Na stránce Přidat servery se službou Azure Arc vyberte dlaždici Přidat více serverů a pak vyberte Vygenerovat skript.

  4. Na stránce Základy zadejte následující:

    1. Vyberte předplatné a skupinu prostředků pro počítače.
    2. V rozevíracím seznamu Oblast vyberte oblast Azure, do které chcete uložit metadata serverů.
    3. V rozevíracím seznamu Operační systém vyberte operační systém, na který je skript nakonfigurovaný tak, aby běžel.
    4. V případě metody připojení zvolte, jak se má agent Azure Connected Machine připojit k internetu:
      • Veřejný koncový bod
      • Proxy server – zadejte IP adresu proxy serveru nebo název a číslo portu, které bude počítač používat ve formátu http://<proxyURL>:<proxyport>.
      • Privátní koncový bod – Vyberte existující obor privátního propojení a koncový bod nebo vytvořte nový.
    5. Vyberte Další.
    6. V části Ověřování v rozevíracím seznamu Instanční objekt vyberte Arc-for-servers. Pak vyberte Další.
  5. Na stránce Značky zkontrolujte navrhované výchozí značky fyzického umístění a zadejte hodnotu nebo zadejte jednu nebo více vlastních značek, které budou podporovat vaše standardy.

  6. Vyberte Další.

  7. Na stránce Stáhnout a spustit skript zkontrolujte souhrnné informace a pak vyberte Stáhnout. Pokud stále potřebujete provést změny, vyberte Předchozí.

Pro Windows se zobrazí výzva k uložení OnboardingScript.ps1a linuxu OnboardingScript.sh do počítače.

Instalace agenta a připojení k Azure

Když použijete šablonu skriptu vytvořenou dříve, můžete agenta Connected Machine nainstalovat a nakonfigurovat na více hybridních počítačích s Linuxem a Windows pomocí preferovaného nástroje pro automatizaci ve vaší organizaci. Skript provádí podobné kroky popsané v článku o připojení hybridních počítačů k Azure z článku webu Azure Portal . Rozdíl je v posledním kroku, kdy pomocí příkazu pomocí azcmagent instančního objektu vytvoříte připojení ke službě Azure Arc.

Následuje nastavení, která nakonfigurujete, azcmagent aby se příkaz používal pro instanční objekt.

  • service-principal-id : Jedinečný identifikátor (GUID), který představuje ID aplikace instančního objektu.
  • service-principal-secret | Heslo instančního objektu.
  • tenant-id : Jedinečný identifikátor (GUID), který představuje vaši vyhrazenou instanci Microsoft Entra ID.
  • subscription-id : ID předplatného (GUID) vašeho předplatného Azure, ve které chcete mít počítače.
  • resource-group : Název skupiny prostředků, do které chcete, aby připojené počítače patřily.
  • location : Projděte si podporované oblasti Azure. Toto umístění může být stejné nebo jiné, jako umístění skupiny prostředků.
  • resource-name : (Volitelné) Používá se pro reprezentaci prostředků Azure místního počítače. Pokud tuto hodnotu nezadáte, použije se název hostitele počítače.

Další informace o nástroji příkazového azcmagent řádku najdete v referenční dokumentaci Azcmagent.

Poznámka:

Skript Windows PowerShellu podporuje spouštění jenom z 64bitové verze Windows PowerShellu.

Po instalaci agenta a jeho konfiguraci pro připojení k serverům s podporou Azure Arc přejděte na web Azure Portal a ověřte, že se server úspěšně připojil. Zobrazte si počítače na webu Azure Portal.

Snímek obrazovky znázorňující úspěšné připojení k serveru na webu Azure Portal

Další kroky

  • Projděte si průvodce plánováním a nasazením a naplánujte nasazení serverů s podporou Služby Azure Arc v libovolném měřítku a implementujte centralizovanou správu a monitorování.
  • Zjistěte, jak řešit potíže s připojením agenta.
  • Zjistěte, jak spravovat počítače pomocí Azure Policy, například konfigurace hosta virtuálního počítače, ověření, že se počítače hlásí do očekávaného pracovního prostoru služby Log Analytics, monitorování pomocí přehledů virtuálních počítačů a další.