使用 Azure VM 測試已啟用 Azure Arc 的伺服器功能

  • 10 分鐘

準備跨 Wide World Importers 的數千部機器來部署時,您想要先測試已啟用 Azure Arc 的伺服器及其功能。 雖然在生產情節下無法在 Azure 虛擬機器 (VM) 上安裝已啟用 Azure Arc 的伺服器,但可以將已啟用 Azure Arc 的伺服器設定為在 Azure VM 上執行,以僅供評估和測試。 在本單元中,我們示範如何使用 Azure VM 來測試已啟用 Azure Arc 的伺服器功能。

假設的環境描述

在此討論中,我們假設您已經有 Windows Server Azure VM。 部署在 Azure 中的 Windows Server 版本應該是 Windows Server 2012 和更新版本(包括 Server Core)。

也就是說,Azure Arc 功能已啟用的伺服器也支援 Linux 版本。 如需完整清單,請參閱 支援的作系統

為已啟用 Azure Arc 的伺服器準備 Azure VM

因為您的 Azure VM 已經註冊為受控的 Azure 資源,所以必須重新設定 VM。 重新設定 VM 涉及移除延伸模組、停用 Azure VM 客體代理程式,以及封鎖 Azure IMDS 存取。 進行這三項變更之後,您的 Azure VM 的行為就像 Azure 以外的任何電腦或伺服器一樣。 此重新設定的 Azure VM 可當成起點來安裝和評估已啟用 Azure Arc 的伺服器。

  1. 移除 Azure VM 上的任何 VM 延伸模組。

    在 Azure 入口網站中,瀏覽至您的 Azure VM 資源。 在左側窗格的 [設定] 下方,選取 [延伸模組 + 應用程式]

    如果 VM 上已安裝任何延伸模組,請個別選取每個延伸模組,然後選取 [解除安裝]

    等候所有延伸模組解除安裝完畢,再進入下一個步驟。

  2. 停用 Azure VM 客體代理程式。

    若要停用 Azure VM 客體代理程式,您必須使用遠端桌面連線 (Windows) 或 SSH (Linux) 連線到您的 VM。

    連線至 Windows 機器之後,請執行下列 PowerShell 命令來停用客體代理程式:

    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
Stop-Service WindowsAzureGuestAgent -Force -Verbose

  3. 封鎖對 Azure IMDS 端點的存取。

    在仍然連線至伺服器的情況下,將 VM 設定為封鎖對 Azure IMDS 端點的存取。

    連線至 Windows 機器之後,請執行下列 PowerShell 命令:

    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254

重新設定 Azure VM

Azure 入口網站有一個精靈,可將腳本自動化,以自動化與 Azure Arc 的下載、安裝和連線。若要為您的環境產生自訂文稿,請執行下列步驟:

  1. 在瀏覽器中,移至 Azure 入口網站。

  2. 在搜尋欄位中輸入 "Azure Arc",然後從選項中選取 [Azure Arc]

  3. Azure Arc 頁面上,選取 [免費新增基礎結構] 圖格中的 [新增]

  4. 在 [伺服器] 圖格中選取 [新增]

  5. 在 [新增具有 Azure Arc 的伺服器] 頁面上,選取 [新增單一伺服器] 圖格中的 [產生指令碼]

  6. 出現 [新增具有 Azure Arc 的伺服器] 精靈時,在 [必要條件] 索引標籤上選取 [下一步]

  7. 在 [資源詳細資料] 頁面上,提供下列各項:

    1. [資源群組] 下拉式清單中,選取將受到管理的機器所屬的資源群組。

    2. [區域] 下拉式清單中,選取要儲存伺服器中繼資料的 Azure 區域。

    3. 在 [作業系統] 下拉式清單中,選取 Windows

    4. 針對 [連線方法],選取 [公用端點]

    5. 選取 [下一步] 。

  8. 在 [標籤] 頁面上,檢閱建議的預設 [實體位置標籤],並輸入任何所需的值,或指定一或多個 [自訂標籤] 以支援您的標準。

  9. 選取 [下一步] 。

  10. 在 [下載並執行指令碼] 索引標籤上,檢閱摘要資訊。 如需做任何變更,請選取 [上一步],否則選取 [下載]

    指令碼會下載為 ./OnboardingScript.ps1

若要以指令碼來安裝,必須在您重新設定的 Azure 虛擬機器中從 PowerShell 執行下載的指令碼。

  1. 線上並登入您重新設定的 Azure VM。

  2. 將您在先前步驟中下載的指令碼,複製到 VM 上的已知位置。

  3. 開啟已提高權限的 PowerShell 命令提示字元。 指令碼僅支援從 Windows PowerShell 64 位元版本執行。

  4. 切換至指令碼複製到的資料夾或共用,然後在伺服器上執行 ./OnboardingScript.ps1 指令碼。

既然您已啟用 Azure Arc 的伺服器,就可以開始測試其功能。 包括 Microsoft Defender for Cloud、Azure Monitor、Azure 政策、VM 擴充、以及 Azure Arc 啟用的伺服器功能範圍。