Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
用户可以根据自己的需求,使用多个灵活的选项,为环境中的多个 Windows 或 Linux 计算机启用已启用 Azure Arc 的服务器。 使用我们提供的模板脚本,可以自动执行安装的每个步骤,包括建立与 Azure Arc 的连接。但是,需要使用在目标计算机和 Azure 中具有提升权限的帐户手动执行此脚本。
将计算机连接到已启用 Azure Arc 的服务器的一种方法是使用 Microsoft Entra 服务主体。 可以使用此服务主体方法,而不是使用特权标识以交互方式连接计算机。 服务主体是一种特殊的受限管理标识,它只有使用 azcmagent 命令将计算机连接到 Azure 所需的最低权限。 此方法比使用较高特权的帐户(例如租户管理员)更安全,并且可以遵循我们的访问控制安全性最佳做法。
服务主体仅在载入期间使用,不用于任何其他目的。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
先决条件
在开始连接计算机之前,请查看以下要求:
请确保你对要接入的计算机拥有管理员权限。 必须具有管理员权限才能安装 Connected Machine 代理:在 Linux 上使用根帐户,或者是 Windows 上的本地管理员组的成员。
查看 Connected Machine 代理先决条件 ,并验证订阅和资源是否符合要求。 必须具有计算机的资源组的 Azure 连接计算机载入 角色或 参与者 角色。 请确保事先在目标订阅中注册以下 Azure 资源提供程序。
Microsoft.HybridCompute
Microsoft.GuestConfiguration
Microsoft.HybridConnectivity
有关详细信息,请参阅 Azure 资源提供程序先决条件。
有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 另请查看我们的《大规模规划指南》,以了解设计和部署标准,以及我们的管理和监视建议。
为大规模加入创建服务主体
可以使用 Azure CLI(Windows 或 Linux)、PowerShell 或在 Azure 门户中创建服务主体。
注意
若要创建服务主体,Microsoft Entra 租户需要允许用户注册应用程序。 如果不是这样,你的帐户必须是 应用程序管理员 或 云应用程序管理员 角色的成员。
有关租户级别要求的详细信息,请参阅 Microsoft Entra ID 中的委托应用注册权限。 若要分配已启用 Arc 的服务器角色,你的帐户必须是订阅中要用于载入的所有者或用户访问管理员角色的成员。
- Azure 门户
- Azure CLI
- Azure PowerShell
Azure 门户中的 Azure Arc 服务提供了一种简化的方式来创建可用于将混合计算机连接到 Azure 的服务主体。
在 Azure 门户顶部,搜索并选择 Azure Arc。
在服务菜单中,展开 “其他设置”,然后选择 “服务主体”。
在右窗格中,选择“ 添加”。
在以下字段中提供:
- 服务主体的名称。
- 选择服务主体是有权访问整个订阅,还是只能访问特定资源组。
- 选择服务主体有权访问的订阅(和资源组(如果适用)。
- 输入 服务主体的服务树 ID (如果适用)。
- 在 “客户端机密 ”部分中,可以选择在 “说明” 字段中输入所选的友好名称。 然后选择生成的客户端密码正在使用的持续时间。
- 在 “角色分配 ”部分下,选择 “Azure Connected Machine Onboarding”。
选择“创建” 。
从 Azure 门户生成安装脚本
使用 Azure 门户创建一个脚本,该脚本可自动执行代理下载和安装,并建立与 Azure Arc 的连接。若要完成该过程,请执行以下步骤:
在 Azure 门户顶部,搜索并选择 Azure Arc。
在服务菜单中,展开 “基础结构”,然后选择“ 计算机”。
在“计算机 - Azure Arc”页上,选择左上角的“+ 添加”。
在“基本信息”页上,提供以下信息:
选择计算机的“订阅”和“资源组”。
在 “区域”下,选择要存储服务器的元数据的 Azure 区域。
在 “操作系统” 下,选择脚本配置为在其上运行的操作系统。
在 “连接”方法下:
- 选择 公共终结点 或 专用终结点。 如果选择 “专用终结点”,可以选择现有的专用链接范围或创建新的专用链接范围。
- 如果要使用 代理服务器 URL,请输入代理服务器 IP 地址或计算机以格式
http://<proxyURL>:<proxyport>使用的名称和端口号。
在 “身份验证”下, 选择“自动对计算机进行身份验证”,然后选择服务主体。
选择下一步。
在 “标记”下,查看建议的默认 物理位置标记 并输入值,或指定一个或多个 自定义标记 来支持标准。
选择下一步。
在 “下载并运行脚本”下,选择部署方法,然后查看摘要信息。 如果需要进行更改,请选择 “上一页 ”并进行必要的编辑。
选择 下载。
对于 Windows,你会被提示保存 OnboardingScript.ps1,而对于 Linux,你会保存 OnboardingScript.sh 到计算机。
安装代理并连接到 Azure
使用先前创建的脚本模板,可以使用组织首选的自动化工具在多台混合 Linux 和 Windows 计算机上安装和配置 Connected Machine 代理。 此脚本执行“从 Azure 门户将混合计算机连接到 Azure”文章中所述的类似步骤。 不同之处在于,最后一步是通过 azcmagent 命令使用服务主体与 Azure Arc 建立连接。
下面是配置用于服务主体的 azcmagent 命令时的设置。
-
service-principal-id:表示服务主体的应用程序 ID 的唯一标识符(GUID)。 -
service-principal-secret| 服务主体密码。 -
tenant-id:用以表示您专用的 Microsoft Entra ID 实例的唯一标识符 (GUID)。 -
subscription-id:要在其中输入计算机的 Azure 订阅的订阅 ID(GUID)。 -
resource-group:希望连接的计算机所属的资源组名称。 -
location:请参阅 支持的 Azure 区域。 此位置可以与资源组的位置相同或不同。 -
resource-name:(可选)用于本地设备的 Azure 资源表示形式。 如果未指定此值,将使用计算机主机名。
若要了解有关命令行工具的详细信息 azcmagent ,请参阅 “管理和维护 Connected Machine 代理”。
注意
仅支持从 64 位版本的 Windows PowerShell 中运行 Windows PowerShell 脚本。
安装代理并将其配置为连接到已启用 Azure Arc 的服务器后,请转到 Azure 门户以验证服务器是否已成功连接。 在 Azure 门户中 查看计算机,并在 Arc 代理状态下验证设备是否已连接。
Troubleshooting
如果看到以下错误,则可能需要添加为 应用程序管理员 或 云应用程序管理员 角色的成员。
ServiceManagementReference field is required for Create, but is missing in the request. Refer to the TSG `https://aka.ms/service-management-reference-error` for resolving the error.
后续步骤
- 查看规划和部署指南,以便对按任意规模部署启用了 Azure Arc 的服务器进行规划,并实现集中管理和监视。
- 了解如何排查代理连接问题。
- 可以使用 Azure Policy 管理计算机,以执行诸如虚拟机 (VM) 来宾配置等任务。 Azure Policy 还有助于验证计算机是否向预期的 Log Analytics 工作区报告。