將混合計(jì)算機(jī)大規(guī)模連接到 Azure,azure如何部署網(wǎng)站-ESG跨境

將混合計(jì)算機(jī)大規(guī)模連接到 Azure,azure如何部署網(wǎng)站

將混合計(jì)算機(jī)大規(guī)模連接到 Azure

你可以為環(huán)境中的多個(gè) Windows 或 Linux 計(jì)算機(jī)啟用啟用了 Azure Arc 的服務(wù)器，其中包含幾個(gè)靈活的選項(xiàng)，具體取決于你的要求。 使用我們提供的模板腳本，可以自動(dòng)完成每個(gè)安裝步驟，包括與 Azure Arc 建立連接。但是，必須使用在目標(biāo)計(jì)算機(jī)和 Azure 中擁有提升權(quán)限的帳戶以交互方式執(zhí)行此腳本。 若要將計(jì)算機(jī)連接到啟用了 Azure Arc 的服務(wù)器，可以使用 Azure Active Directory 服務(wù)主體 ，而不是使用特權(quán)標(biāo)識以 交互方式連接計(jì)算機(jī)。 服務(wù)主體是一種特殊的受限管理標(biāo)識，它只被授予了使用 azcmagent 命令將計(jì)算機(jī)連接到 Azure 所需的最低權(quán)限。 這比使用較高特權(quán)的帳戶（例如租戶管理員）更安全，并且可以遵循我們的訪問控制安全性最佳做法。 服務(wù)主體只會在加入期間使用，不會用于任何其他目的。

安裝和配置 Connected Machine 代理的安裝方法要求你在計(jì)算機(jī)上擁有管理員權(quán)限。 在 Linux 上，需使用 root 帳戶；在 Windows 上，需要以“本地管理員組”的成員身份使用這些方法。

在開始之前，請務(wù)必查看先決條件，并驗(yàn)證你的訂閱和資源是否符合要求。 有關(guān)支持的區(qū)域和其他相關(guān)注意事項(xiàng)的信息，請參閱 支持的 Azure 區(qū)域。

如果你還沒有 Azure 訂閱，可以在開始前創(chuàng)建一個(gè)免費(fèi)帳戶。

在此過程結(jié)束時(shí)，你將成功地將混合計(jì)算機(jī)連接到啟用了 Azure Arc 的服務(wù)器。

創(chuàng)建服務(wù)主體以用于大規(guī)模加入

可以在 Azure PowerShell 中使用 NewAzADServicePrincipal cmdlet 創(chuàng)建服務(wù)主體。 或者，可以按照使用 Azure 門戶創(chuàng)建服務(wù)主體中列出的步驟完成此任務(wù)。

備注

創(chuàng)建服務(wù)主體時(shí)，你的帳戶必須是要用于加入的訂閱中的“所有者”或“用戶訪問管理員”。 如果你沒有足夠的權(quán)限創(chuàng)建角色分配，則可能會創(chuàng)建服務(wù)主體，但它將無法加入計(jì)算機(jī)。

若要使用 PowerShell 創(chuàng)建服務(wù)主體，請執(zhí)行以下操作。

運(yùn)行以下命令。 必須在變量中存儲 NewAzADServicePrincipal cmdlet 的輸出，否則無法檢索需要在后續(xù)步驟中使用的密碼。

Azure PowerShell

$sp = NewAzADServicePrincipal DisplayName Arcforservers Role Azure Connected Machine Onboarding

$sp

輸出

Secret        : System.Security.SecureString

ServicePrincipalNames : {ad9bcd79be9c45ababd880ca1654a7d1, https://Arcforservers}

ApplicationId    : ad9bcd79be9c45ababd880ca1654a7d1

ObjectType      : ServicePrincipal

DisplayName     : HybridRP

Id          : 5be92c8701c442f5badec1c10af87758

Type         :

若要檢索 $sp 變量中存儲的密碼，請運(yùn)行以下命令：

Azure PowerShell

$credential = NewObject pscredential ArgumentList temp, $sp.Secret

$credential.GetNetworkCredential().password

在輸出中，找到并復(fù)制 password 字段下的密碼值。 另外，還請找到并復(fù)制 ApplicationId 字段下的值。 請?jiān)诎踩奈恢帽４孢@些值，供稍后使用。 如果忘記或丟失了服務(wù)主體密碼，可以使用 NewAzADSpCredential cmdlet 重置它。

以下屬性中的值將與傳遞給 azcmagent 的參數(shù)配合使用：

ApplicationId 屬性中的值用作 serviceprincipalid 參數(shù)值

password 屬性中的值用作連接代理時(shí)所用的 serviceprincipalsecret 參數(shù)。

備注

請確保使用服務(wù)主體 ApplicationId 屬性，而不是 Id 屬性。

“Azure Connected Machine 加入”角色只包含加入計(jì)算機(jī)時(shí)所需的權(quán)限。 可以分配服務(wù)主體權(quán)限，以允許其范圍包含資源組或訂閱。 若要添加角色分配，請參閱 使用 Azure 門戶添加或刪除 azure 角色分配 或 使用 Azure CLI 添加或刪除 azure 角色分配。

安裝代理并連接到 Azure

以下步驟使用腳本模板在混合計(jì)算機(jī)上安裝并配置 Connected Machine 代理，該模板執(zhí)行的步驟與從 Azure 門戶將混合計(jì)算機(jī)連接到 Azure 一文中所述的步驟類似。 不同之處在于，最后一步是通過 azcmagent 命令使用服務(wù)主體與 Azure Arc 建立連接。

下面是配置用于服務(wù)主體的 azcmagent 命令時(shí)需要指定的設(shè)置。

tenantid：表示 Azure AD 專用實(shí)例的唯一標(biāo)識符 (GUID)。

subscriptionid：計(jì)算機(jī)要屬于的 Azure 訂閱的訂閱 ID (GUID)。

resourcegroup：連接的計(jì)算機(jī)要屬于的資源組的名稱。

location：請參閱支持的 Azure 區(qū)域。 此位置可以與資源組的位置相同或不同。

resourcename：（可選）用于本地計(jì)算機(jī)的 Azure 資源表示。 如果未指定此值，將使用計(jì)算機(jī)主機(jī)名。

若要詳細(xì)了解 azcmagent 命令行工具，請查看 Azcmagent 參考。

Windows 安裝腳本

下面是適用于 Windows 的 Connected Machine 代理安裝腳本示例，該腳本已修改為使用服務(wù)主體來支持完全自動(dòng)化的非交互式代理安裝。

# Download the package

function download() {$ProgressPreference=SilentlyContinue; InvokeWebRequest Uri https://aka.ms/AzureConnectedMachineAgent OutFile AzureConnectedMachineAgent.msi}

download

# Install the package

msiexec /i AzureConnectedMachineAgent.msi /l*v installationlog.txt /qn OutString

# Run connect command

$env:ProgramFiles\AzureConnectedMachineAgent\azcmagent.exe connect `

serviceprincipalid {serviceprincipalAppID} `

serviceprincipalsecret {serviceprincipalPassword} `

resourcegroup {ResourceGroupName} `

tenantid {tenantID} `

location {resourceLocation} `

subscriptionid {subscriptionID}

備注

此腳本僅支持在64位版本的 Windows PowerShell 中運(yùn)行。

Linux 安裝腳本

下面是適用于 Linux 的 Connected Machine 代理安裝腳本示例，該腳本已修改為使用服務(wù)主體來支持完全自動(dòng)化的非交互式代理安裝。

# Download the installation package

wget https://aka.ms/azcmagent O ~/install_linux_azcmagent.sh

# Install the hybrid agent

bash ~/install_linux_azcmagent.sh

# Run connect command

azcmagent connect \

serviceprincipalid {serviceprincipalAppID} \

serviceprincipalsecret {serviceprincipalPassword} \

resourcegroup {ResourceGroupName} \

tenantid {tenantID} \

location {resourceLocation} \

subscriptionid {subscriptionID}

備注

若要運(yùn)行azcmagent，必須具有 Linux 計(jì)算機(jī)上的根訪問權(quán)限。

安裝代理并將其配置為連接到啟用了 Azure Arc 的服務(wù)器后，請轉(zhuǎn)到 Azure 門戶，驗(yàn)證是否已成功連接服務(wù)器。 在 Azure 門戶中查看計(jì)算機(jī)。

服務(wù)器連接成功

后續(xù)步驟

有關(guān)疑難解答信息，請參閱 連接計(jì)算機(jī)代理疑難解答指南。

了解如何使用 Azure Policy 管理計(jì)算機(jī)，例如，進(jìn)行 VM 來賓配置，驗(yàn)證計(jì)算機(jī)是否向預(yù)期的 Log Analytics 工作區(qū)報(bào)告，使用用于 VM 的 Azure Monitor 啟用監(jiān)視等。

詳細(xì)了解 Log Analytics 代理。 需要收集操作系統(tǒng)和工作負(fù)荷監(jiān)視數(shù)據(jù)、使用自動(dòng)化 runbook 或功能（如更新管理）管理該數(shù)據(jù)，或使用 Azure 安全中心之類的其他 azure 服務(wù)時(shí)，需要使用適用于 Windows 和 Linux 的 Log Analytics 代理。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。