Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Storage Mover korzysta z agentów, którzy wykonują zadania migracji konfigurowane w usłudze. Agent to urządzenie oparte na maszynie wirtualnej, które jest uruchamiane na hoście wirtualizacji, w pobliżu magazynu źródłowego.
Musisz zarejestrować agenta, aby utworzyć relację zaufania z zasobem usługi Storage Mover. To zaufanie umożliwia agentowi bezpieczne odbieranie zadań migracji i raportowanie postępu. Rejestracja agenta może odbywać się za pośrednictwem publicznego lub prywatnego punktu końcowego zasobu usługi Storage Mover. Prywatny punkt końcowy, znany również jako link prywatny do zasobu, można wdrożyć w sieci wirtualnej platformy Azure.
Możesz nawiązać połączenie z siecią wirtualną platformy Azure z innych sieci, takich jak lokalna sieć firmowa. Ten typ połączenia odbywa się za pośrednictwem połączenia sieci VPN, takiego jak usługa Azure Express Route. Aby dowiedzieć się więcej na temat tego podejścia, zapoznaj się z dokumentacją usługi Azure ExpressRoute i usługi Azure Private Link .
Ważne
Obecnie usługę Storage Mover można skonfigurować pod kątem kierowania danych migracji z agenta do docelowego konta magazynu za pośrednictwem usługi Private Link. Hybrydowe pulsy obliczeniowe i certyfikaty można również kierować do prywatnego punktu końcowego usługi Azure Arc w sieci wirtualnej. Niektórych ruchu usługi Storage Mover nie można kierować za pośrednictwem usługi Private Link i jest kierowany przez publiczny punkt końcowy zasobu mover magazynu. Te dane obejmują komunikaty sterujące, telemetrię postępu i logi z kopiowania.
Z tego artykułu dowiesz się, jak pomyślnie zarejestrować wcześniej wdrożona maszynę wirtualną agenta usługi Storage Mover.
Wymagania wstępne
Przed zarejestrowaniem agenta usługi Azure Storage Mover należy spełnić dwa wymagania wstępne:
Musisz mieć wdrożony zasób usługi Azure Storage Mover.
Wykonaj kroki opisane w artykule Tworzenie zasobu do przenoszenia magazynu, aby go wdrożyć w wybranej subskrypcji i regionie platformy Azure.Musisz wdrożyć maszynę wirtualną agenta usługi Azure Storage Mover.
Wykonaj kroki opisane w artykule Wdrażanie maszyny wirtualnej agenta usługi Azure Storage Mover, aby utworzyć maszynę wirtualną agenta i połączyć ją z Internetem.
Omówienie rejestracji
Proces rejestracji agenta tworzy zaufanie między agentem a zasobem usługi Storage Mover w chmurze. Zaufanie umożliwia zdalne zarządzanie agentem i przypisywanie zadań migracji do wykonania.
Rejestracja jest zawsze inicjowana od agenta. W interesie zabezpieczeń tylko agent może ustanowić zaufanie, wychodząc do usługi Storage Mover. Procedura rejestracji korzysta z poświadczeń i uprawnień platformy Azure w wcześniej wdrożonym zasobie mover magazynu. Jeśli nie masz jeszcze wdrożonego zasobu chmury magazynu ani maszyny wirtualnej agenta, zapoznaj się z sekcją wymagań wstępnych.
Krok 1: Połącz się z maszyną wirtualną agenta
Maszyna wirtualna agenta jest urządzeniem. Oferuje on powłokę administracyjną, która ogranicza operacje, które można wykonać na tym komputerze. Po nawiązaniu połączenia z agentem, powłoka ładuje się i udostępnia opcje, które umożliwiają bezpośrednią interakcję z nim. Jednak maszyna wirtualna agenta jest urządzeniem opartym na systemie Linux, a funkcja kopiowania i wklejania często nie działa w domyślnym oknie hosta.
Zamiast korzystać z okna hosta, rozważ użycie połączenia SSH. Takie podejście zapewnia następujące korzyści:
- Możesz nawiązać połączenie z powłoką maszyny wirtualnej agenta z dowolnego komputera zarządzania i nie trzeba logować się do hosta.
- Kopiowanie/wklejanie jest w pełni obsługiwane.
Z maszyny w tej samej podsieci co agent uruchom polecenie SSH:
ssh <AgentIpAddress> -l admin
Ważne
Nowo wdrożony agent usługi Storage Mover ma domyślne hasło: Użytkownik lokalny:
domyślne hasło administratora
: administrator
Zostanie wyświetlony monit o zmianę hasła domyślnego natychmiast po pierwszym nawiązaniu połączenia z nowo wdrożonym agentem. Zanotuj nowe hasło, nie ma procesu jego odzyskania. Utrata hasła uniemożliwia dostęp do konsoli administracyjnej. Zarządzanie chmurą nie wymaga tego hasła administratora lokalnego. Jeśli agent został wcześniej zarejestrowany, nadal można go używać do zadań migracji. Agenci są jednorazowi. Mają niewielką wartość poza bieżącym zadaniem migracji, które wykonują. Zawsze można wdrożyć nowego agenta i użyć go do uruchomienia następnego zadania migracji.
Krok 2. Rejestrowanie agenta
W tym kroku zarejestrujesz agenta przy użyciu zasobu przenoszącego dane magazynowe wdrożonego w subskrypcji Azure. Połącz się z powłoką administracyjną twojego agenta, a następnie wybierz menu pozycję 4) Zarejestruj:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Collect support bundle
6) Restart agent
7) Disk Cleanup
8) Open restricted shell
9) Troubleshooting
10) Exit
xdmsh> 4
Zostaniesz poproszony o:
Region świadczenia usługi Azure: jest to region, w którym będziesz mieć zasób usługi Azure Storage Mover.
Zakres usługi Private Link: podaj w pełni kwalifikowany identyfikator zasobu zakresu usługi Private Link, jeśli korzystasz z sieci prywatnej. Więcej informacji na temat usługi Azure Private Link można znaleźć w artykule dokumentacji usługi Azure Private Link.
Ważne
Jeśli usługa Storage Mover została skonfigurowana do migrowania danych za pośrednictwem usługi Private Link, musisz podać w pełni kwalifikowany identyfikator zasobu zakresu usługi Private Link. Na przykład
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Testy sieciowe są uruchamiane automatycznie. Opcjonalnie możesz ręcznie uruchomić sprawdzanie punktów końcowych, wybierając element 2) Konfiguracja sieci w menu głównym
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Test network connectivity verbosely
5) Quit
Choice: 3
Wybierz element menu 3) Testowanie łączności sieciowej.
Po zakończeniu sprawdzania sieci pojawi się prośba o:
- Identyfikator subskrypcji
- Nazwa grupy zasobów
- Nazwa zasobu przenoszenie magazynowe
- Nazwa agenta: ta nazwa jest wyświetlana dla agenta w witrynie Azure Portal. Wybierz nazwę, która wyraźnie identyfikuje maszynę wirtualną dla agenta. Zapoznaj się z konwencją nazewnictwa zasobów, aby wybrać obsługiwaną nazwę.
Po podaniu tych wartości agent podejmie próbę rejestracji. Podczas procesu rejestracji musisz zalogować się do platformy Azure przy użyciu poświadczeń, które mają uprawnienia do Twojej subskrypcji i zasobu Storage Mover.
Ważne
Poświadczenia platformy Azure używane do rejestracji muszą mieć uprawnienia właściciela do określonej grupy zasobów i zasobu do przenoszenia magazynu.
W przypadku uwierzytelniania agent korzysta z przepływu uwierzytelniania urządzenia z identyfikatorem Entra firmy Microsoft.
Agent wyświetla adres URL uwierzytelniania urządzenia: https://microsoft.com/devicelogin i unikatowy kod logowania. Przejdź do wyświetlanego adresu URL na komputerze połączonym z Internetem, wprowadź kod i zaloguj się do platformy Azure przy użyciu swoich poświadczeń.
Agent wyświetla szczegółowy postęp. Po zakończeniu rejestracji możesz zobaczyć agenta w witrynie Azure Portal. Znajduje się on w obszarze Zarejestrowani agenci w zasobie migracji danych, w którym zarejestrowano agenta.
Uwierzytelnianie i autoryzacja
Aby bezproblemowo przeprowadzić uwierzytelnianie za pomocą platformy Azure i autoryzacji dla różnych zasobów platformy Azure, agent jest zarejestrowany w następujących usługach platformy Azure:
- Przenoszenie usługi Azure Storage (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Usługa Azure Storage Mover
Rejestracja do usługi Azure Storage Mover jest widoczna i zarządzalna za pośrednictwem zasobu Azure Storage Mover wdrożonego w ramach subskrypcji Azure. Zarejestrowany agent jest zasobem usługi Azure Resource Manager (ARM). Ten zasób można utworzyć tylko za pośrednictwem procesu rejestracji. Szczegółowe informacje o zasobie można uzyskać za pomocą dowolnego klienta Azure Resource Manager. Klienci obejmują portal Azure, moduł Az programu PowerShell oraz moduł CLI programu Az PowerShell.
Możesz odwołać się do tego zasobu usługi Azure Resource Manager (ARM), gdy chcesz przypisać zadania migracji do określonej maszyny wirtualnej agenta, którą symbolizuje.
Usługa Azure Arc
Agent jest również zarejestrowany w usłudze Azure Arc. Usługa Arc służy do przypisywania i obsługi zarządzanej tożsamości Microsoft Entra dla tego zarejestrowanego agenta.
Usługa Azure Storage Mover używa przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana to główna jednostka usługi specjalnego rodzaju, przeznaczona do użycia wyłącznie z zasobami platformy Azure. Po usunięciu tożsamości zarządzanej odpowiednia jednostka usługi zostanie również automatycznie usunięta.
Proces usuwania jest inicjowany automatycznie podczas wyrejestrowania agenta. Istnieją jednak inne sposoby usuwania tej tożsamości. W rezultacie agent traci zdolność działania i należy go wyrejestrować. Tylko proces rejestracji pozwala agentowi na prawidłowe uzyskanie i utrzymanie tożsamości Azure.
Uwaga
W publicznej wersji zapoznawczej występuje efekt uboczny rejestracji w usłudze Azure Arc. Oddzielny zasób typu Serwer-Azure Arc jest również wdrażany w tej samej grupie zasobów co Twój zasób Storage Mover. Nie będzie można zarządzać agentem za pośrednictwem tego zasobu.
Może się wydawać, że możesz zarządzać aspektami agenta przenoszenia danych za pośrednictwem zasobu Server-Azure Arc, ale w większości przypadków nie jest to możliwe. Najlepiej jest zarządzać agentem wyłącznie za pomocą okienka Zarejestrowani agenci w zasobie przenoszenia magazynu lub za pośrednictwem lokalnej powłoki administracyjnej.
Ostrzeżenie
Nie usuwaj zasobu serwera usługi Azure Arc utworzonego dla zarejestrowanego agenta w tej samej grupie zasobów co zasób magazynu mover. Bezpieczne usunięcie tego zasobu jest możliwe tylko wtedy, gdy wcześniej usunąłeś rejestrację agenta odpowiadającego temu zasobowi.
Autoryzacja
Zarejestrowany agent musi być autoryzowany do uzyskiwania dostępu do kilku usług i zasobów w ramach subskrypcji. Tożsamość zarządzana jest sposobem potwierdzenia tożsamości. Usługa lub zasób platformy Azure może następnie zdecydować, czy agent ma uprawnienia dostępu do niego.
Agent jest automatycznie autoryzowany do rozmowy z usługą Storage Mover. Nie możesz zobaczyć ani wpłynąć na tę autoryzację, z wyjątkiem zniszczenia tożsamości zarządzanej, na przykład przez wyrejestrowanie agenta.
Autoryzacja na czas
W przypadku zadania migracji dostęp do docelowego punktu końcowego jest prawdopodobnie najważniejszym zasobem, dla którego agent musi być autoryzowany. Autoryzacja odbywa się za pośrednictwem kontroli dostępu opartej na rolach. W przypadku kontenera obiektów blob platformy Azure jako obiektu docelowego tożsamość zarządzana zarejestrowanego agenta jest przypisywana do wbudowanej roli Storage Blob Data Contributor kontenera docelowego (a nie całego konta magazynu). Podobnie w przypadku uzyskiwania dostępu do docelowego udziału plików Azure, zarządzana tożsamość zarejestrowanego agenta jest przypisywana do wbudowanej roli Storage File Data Privileged Contributor.
Te przypisania są wykonywane w kontekście logowania administratora w witrynie Azure Portal. W związku z tym administrator musi być członkiem roli "Właściciel" w płaszczyźnie kontroli dostępu opartej na rolach (RBAC) dla docelowego kontenera. To przypisanie jest wykonywane just in time podczas uruchamiania zadania migracji. W tym momencie wybrano agenta do wykonania zadania migracji. W ramach tej akcji uruchamiania agent otrzymuje uprawnienia do płaszczyzny danych kontenera docelowego. Agent nie jest autoryzowany do wykonywania żadnych akcji płaszczyzny zarządzania, takich jak usunięcie kontenera docelowego lub skonfigurowanie na nim żadnych funkcji.
Ostrzeżenie
Dostęp jest udzielany określonemu agentowi na czas, aby uruchomić zadanie migracji. Jednak autoryzacja agenta w celu uzyskania dostępu do obiektu docelowego nie zostanie automatycznie usunięta. Aby usunąć głównego użytkownika usługi, musisz ręcznie usunąć tożsamość zarządzaną agenta z określonego obiektu docelowego lub wyrejestrować agenta. Ta akcja powoduje usunięcie wszystkich docelowych autoryzacji magazynu, a także możliwość komunikowania się agenta z usługami Storage Mover i Azure Arc.
Następne kroki
Zdefiniuj źródłowe i docelowe punkty końcowe w ramach przygotowań do migracji danych.