So registrieren Sie einen Azure Storage Mover-Agent

Der Azure Storage Mover-Dienst verwendet Agents, um die in dem Dienst konfigurierten Migrationsaufträge auszuführen. Der Agent ist eine VM-basierte Appliance, die Sie auf einem Virtualisierungshost in der Nähe des Quellspeichers ausführen.

Sie müssen einen Agent registrieren, um eine Vertrauensstellung mit Ihrer Storage Mover-Ressource zu erstellen. Mit dieser Vertrauensstellung kann Ihr Agent Migrationsaufträge sicher empfangen und den Fortschritt melden. Die Agent-Registrierung kann entweder über den öffentlichen oder privaten Endpunkt Ihrer Storage Mover-Ressource erfolgen. Ein privater Endpunkt, auch als private Verbindung mit einer Ressource bezeichnet, kann in einem virtuellen Azure-Netzwerk (VNet) bereitgestellt werden.

Sie können eine Verbindung mit einem Azure-VNet über andere Netzwerke herstellen, z. B. über ein lokales Unternehmensnetzwerk. Diese Art von Verbindung wird über eine VPN-Verbindung wie Azure Express Route hergestellt. Weitere Informationen zu diesem Ansatz finden Sie in der Dokumentation zu Azure ExpressRoute und Azure Private Link.

Wichtig

Derzeit kann Storage Mover so konfiguriert werden, dass Migrationsdaten über Private Link vom Agent an das Zielspeicherkonto weitergeleitet werden. Hybridcompute-Heartbeats und -zertifikate können auch an einen privaten Azure Arc-Dienstendpunkt in Ihrem virtuellen Netzwerk (VNet) weitergeleitet werden. Ein Teil des Storage Mover-Datenverkehrs kann nicht über Private Link weitergeleitet werden und wird über den öffentlichen Endpunkt einer Storage Mover-Ressource weitergeleitet. Zu diesen Daten gehören Kontrollnachrichten, Statustelemetriedaten und Kopierprotokolle.

In diesem Artikel erfahren Sie, wie Sie eine zuvor bereitgestellte Storage Mover-Agent-VM erfolgreich registrieren.

Voraussetzungen

Es gibt zwei Voraussetzungen, die erfüllt sein müssen, bevor Sie einen Azure Storage Mover-Agent registrieren können:

  1. Sie müssen eine Azure Storage Mover-Ressource bereitgestellt haben.
    Führen Sie die Schritte im Artikel Erstellen einer Storage Mover-Ressource aus, um diese Ressource in einem Azure-Abonnement und einer Region Ihrer Wahl bereitzustellen.

  2. Sie müssen die Azure Storage Mover-Agent-VM bereitstellen.
    Führen Sie die Schritte im Artikel Bereitstellen eines Azure Storage Mover-Agents aus, um die Agent-VM zu erstellen und mit dem Internet zu verbinden.

Übersicht über die Registrierung

Abbildung mit drei Komponenten. Der zu migrierende Storage Mover-Agent, der lokal und in der Nähe der Quelldaten bereitgestellt wird. Die Storage Mover-Cloudressource, die in einer Azure-Ressourcengruppe bereitgestellt wird. Und schließlich eine Linie, die die beiden verbindet.

Der Agent-Registrierungsprozess erstellt eine Vertrauensstellung zwischen dem Agent und der Storage Mover-Cloudressource. Die Vertrauensstellung ermöglicht es Ihnen, den Agent remote zu verwalten und ihm Migrationsaufträge zur Ausführung zuzuweisen.

Die Registrierung wird immer durch den Agent initiiert. Aus Sicherheitsgründen kann nur der Agent eine Vertrauensstellung einrichten, indem er eine Verbindung mit dem Storage Mover-Dienst herstellt. Bei der Registrierungsprozedur kommen Ihre Azure-Anmeldeinformationen und Berechtigungen zu der zuvor von Ihnen bereitgestellten Storage Mover-Ressource zum Einsatz. Wenn Sie noch keine Storage Mover-Cloudressource oder einen Agent-VM bereitgestellt haben, lesen Sie den Abschnitt Voraussetzungen.

Schritt 1: Herstellen der Verbindung zum Agent-VM

Der Agent-VM ist eine Appliance. Er bietet eine administrative Shell, die einschränkt, welche Vorgänge Sie auf diesem Computer ausführen können. Wenn Sie eine Verbindung mit dem Agent herstellen, wird die Shell geladen und stellt Ihnen Optionen zur Verfügung, mit denen Sie direkt mit dem Agent interagieren können. Die Agent-VM ist jedoch eine Linux-basierte Appliance, und die Funktionen zum Kopieren und Einfügen funktionieren häufig nicht innerhalb des Standardhostfensters.

Anstelle des Hostfensters sollten Sie stattdessen eine SSH-Verbindung nutzen. Dieser Ansatz bietet die folgenden Vorteile:

  • Sie können eine Verbindung mit der Shell der Agent-VM von jedem Verwaltungscomputer aus herstellen und müssen nicht beim Host angemeldet sein.
  • Kopieren/Einfügen wird vollständig unterstützt.

Führen Sie auf einem Computer im gleichen Subnetz wie der Agent einen ssh-Befehl aus:

ssh <AgentIpAddress> -l admin

Wichtig

Ein neu bereitgestellter Storage Mover-Agent verfügt über ein Standardkennwort:
Lokaler Benutzer: Administrator
Standardkennwort: Administrator

Sie werden sofort nach dem ersten Verbindungsaufbau mit einem neu bereitgestellten Agent dazu aufgefordert, das Standardkennwort zu ändern. Notieren Sie das neue Kennwort, es gibt keine Möglichkeit zur Wiederherstellung. Wenn Sie Ihr Kennwort verlieren, werden Sie aus der Verwaltungsshell ausgesperrt. Für die Cloudverwaltung ist dieses lokale Administratorkennwort nicht erforderlich. Wenn der Agent zuvor registriert wurde, können Sie es weiterhin für Migrationsaufträge verwenden. Agents sind entbehrlich. Ihr Nutzen ist auf den aktuellen Migrationsauftrag beschränkt. Sie können stets neue Agents bereitstellen und diese stattdessen für den nächsten Migrationsauftrag verwenden.

Schritt 2: Testen der Netzwerkkonnektivität

Ihr Agent muss mit dem Internet verbunden sein.

Wenn Sie bei der administrativen Shell angemeldet sind, können Sie den Verbindungsstatus des Agents testen:

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

Wählen Sie Menüelement 2 Netzwerkkonfiguration aus.

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

Wählen Sie Menüelement 3 Netzwerkkonnektivität testen aus.

Wichtig

Fahren Sie nur mit dem Registrierungsschritt fort, wenn Ihr Netzwerkkonnektivitätstest keine Probleme zurückgibt.

Schritt 3: Registrieren des Agents

In diesem Schritt registrieren Sie Ihren Agent bei der Storage Mover-Ressource, die Sie in einem Azure-Abonnement bereitgestellt haben. Stellen Sie eine Verbindung mit der administrativen Shell Ihres Agents her, und wählen Sie dann Menüelement 4 Registrieren aus:

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

Sie werden zur Eingabe der folgenden Punkte aufgefordert:

  • Abonnement-ID

  • Ressourcengruppenname

  • Storage Mover-Ressourcenname

  • Agent-Name: Dieser Name wird für den Agent im Azure-Portal angezeigt. Wählen Sie einen Namen aus, der diesen Agent-VM für Sie eindeutig identifiziert. Informationen zum Auswählen eines unterstützten Namens finden Sie unter Namenskonvention für Ressourcen.

  • Private Link-Bereich: Geben Sie die vollqualifizierte Ressourcen-ID des Private Link-Bereichs an, wenn Sie private Netzwerke verwenden. Weitere Informationen zu Azure Private Link finden Sie im Artikel Dokumentation zu Private Link.

    Wichtig

    Wenn Sie Storage Mover so konfiguriert haben, dass Ihre Daten über Private Link migriert werden, müssen Sie die vollqualifizierte Ressourcen-ID des Private Link-Bereichs angeben. Beispiel: /subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.

Nachdem Sie diese Werte angegeben haben, versucht der Agent die Registrierung. Während des Registrierungsprozesses müssen Sie sich bei Azure mit Anmeldeinformationen anmelden, die über Berechtigungen für Ihr Abonnement und die Storage Mover-Ressource verfügen.

Wichtig

Die Azure-Anmeldeinformationen, die Sie für die Registrierung verwenden, müssen Besitzerberechtigungen für die angegebene Ressourcengruppe und die Storage Mover-Ressource haben.

Für die Authentifizierung verwendet der Agent den Geräteauthentifizierungsfluss aus Microsoft Entra ID.

Der Agent zeigt die Geräteauthentifizierungs-URL an: https://microsoft.com/devicelogin und einen eindeutigen Anmeldecode. Navigieren Sie auf einem mit dem Internet verbundenen Computer zu der angezeigten URL, geben Sie den Code ein und melden Sie sich mit Ihren Anmeldeinformationen bei Azure an.

Der Agent zeigt detailliert den Fortschritt an. Sobald die Registrierung abgeschlossen ist, wird der Agent im Azure-Portal angezeigt. Er wird unter Registrierte Agents in der Storage Mover-Ressource angezeigt, mit der Sie den Agent registriert haben.

Authentifizierung und Autorisierung

Um eine nahtlose Authentifizierung bei Azure und eine Autorisierung bei verschiedenen Azure-Ressourcen zu erreichen, wird der Agent mit den folgenden Azure-Diensten registriert:

  • Azure Storage Mover (Microsoft.StorageMover)
  • Azure Arc (Microsoft.HybridCompute)

Azure Storage Mover-Dienst

Die Registrierung für den Azure Storage-Mover-Dienst kann über die Storage Mover-Ressource angezeigt und verwaltet werden, die Sie in Ihrem Azure-Abonnement bereitgestellt haben. Ein registrierter Agent ist eine Azure Resource Manager-(ARM-)Ressource. Sie können diese Ressource nur über den Registrierungsprozess erstellen. Sie können Details zu der Ressource bei jedem Azure Resource Manager-Client abfragen. Clients sind u. a. das Azure-Portal, das Az PowerShell-Modul PowerShell und das Az PowerShell-Modul CLI.

Sie können auf diese Azure Resource Manager-(ARM)-Ressource verweisen, wenn Sie dem spezifischen Agent-VM, der sie symbolisiert, Migrationsaufträge zuweisen möchten.

Azure Arc-Dienst

Der Agent ist darüber hinaus beim Azure Arc-Dienst registriert. Arc wird verwendet, um eine verwaltete Microsoft Entra-Identität für diesen registrierten Agent zuzuweisen und zu verwalten.

Azure Storage Mover verwendet eine systemseitig zugewiesene verwaltete Identität. Eine verwaltete Identität ist ein spezieller Dienstprinzipal, der nur zusammen mit Azure-Ressourcen verwendet werden kann. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.

Der Löschvorgang wird automatisch initiiert, wenn Sie die Registrierung des Agents aufheben. Es gibt jedoch noch andere Möglichkeiten, diese Identität zu entfernen. Dadurch wird der registrierte Agent untauglich gemacht und muss aus der Registrierung entfernt werden. Nur nach dem Registrierungsprozess kann ein Agent seine Azure-Identität ordnungsgemäß erhalten und verwalten.

Hinweis

Während der öffentlichen Vorschau gibt es einen Nebeneffekt der Registrierung beim Azure Arc-Dienst. Eine separate Ressource des Typs Server-Azure Arc wird in derselben Ressourcengruppe wie Ihre Storage Mover-Ressource bereitgestellt. Sie können den Agent nicht über diese Ressource verwalten.

Möglicherweise können Sie Aspekte des Storage Mover-Agents über die Ressource des Typs Server-Azure Arc verwalten, aber in den meisten Fällen ist dies nicht der Fall. Es empfiehlt sich, den Agent ausschließlich über den Bereich Registrierte Agents in Ihrer Storage Mover-Ressource oder über die lokale administrative Shell zu verwalten.

Warnung

Löschen Sie nicht die Azure Arc-Serverressource, die für einen registrierten Agent in derselben Ressourcengruppe wie die Storage Mover-Ressource erstellt wird. Die einzige sichere Zeit zum Löschen dieser Ressource ist, wenn Sie die Registrierung des Agents, der dieser Ressource entspricht zuvor aufgehoben haben.

Autorisierung

Der registrierte Agent muss berechtigt sein, auf mehrere Dienste und Ressourcen in Ihrem Abonnement zuzugreifen. Mit der verwalteten Identität kann er seine Identität beweisen. Im Rahmen des Azure-Dienstes oder der Azure-Ressource kann dann entschieden werden, ob der Agent berechtigt ist, darauf zuzugreifen.

Der Agent ist automatisch berechtigt, mit dem Storage Mover-Dienst zu kommunizieren. Sie können diese Autorisierung nicht anzeigen oder beeinflussen, sofern Sie nicht die verwaltete Identität deaktivieren, indem Sie beispielsweise die Registrierung des Agents aufheben.

Just-in-Time-Autorisierung

Bei einem Migrationsauftrag ist der Zugriff auf den Zielendpunkt vielleicht die wichtigste Ressource, für die ein Agent autorisiert werden muss. Die Autorisierung erfolgt über die rollenbasierte Zugriffssteuerung. Für einen Azure-Blobcontainer als Ziel wird die verwaltete Identität des registrierten Agents der integrierten Rolle Storage Blob Data Contributor des Zielcontainers (nicht dem gesamten Speicherkonto) zugewiesen. Ebenso wird beim Zugriff auf ein Azure-Dateifreigabeziel die verwaltete Identität des registrierten Agents der integrierten Rolle Storage File Data Privileged Contributor zugewiesen.

Diese Zuweisungen werden im Anmeldekontext des Administrators im Azure-Portal vorgenommen. Daher muss der Administrator Mitglied der rollenbasierten Zugriffssteuerungsrolle „Besitzer“ für den Zielcontainer sein. Diese Zuweisung erfolgt just-in-time, wenn Sie einen Migrationsauftrag starten. An diesem Punkt haben Sie einen Agent ausgewählt, der einen Migrationsauftrag ausführt. Als Teil dieser Startaktion erhält der Agent Berechtigungen für die Datenebene des Zielcontainers. Der Agent ist nicht befugt, Aktionen auf Verwaltungsebene auszuführen, wie z. B. den Zielcontainer zu löschen oder Funktionen für ihn zu konfigurieren.

Warnung

Der Zugriff wird einem bestimmten Agent just-in-time für die Ausführung eines Migrationsauftrags gewährt. Die Autorisierung des Agents für den Zugriff auf das Ziel wird jedoch nicht automatisch entfernt. Sie müssen die verwaltete Identität des Agents entweder manuell aus einem bestimmten Ziel entfernen oder die Registrierung des Agents aufheben, um den Dienstprinzipal zu deaktivieren. Durch diese Aktion wird die gesamte Zielspeicherautorisierung sowie die Möglichkeit des Agents, mit den Storage Mover- und Azure Arc-Diensten zu kommunizieren, aufgehoben.

Nächste Schritte

Definieren Sie zur Vorbereitung auf die Migration Ihrer Daten Ihre Quell- und Zielendpunkte.