Jedným z rozumnejších spôsobov ako naimportovať a následne spravovať onpremise servery v Azure je využitie služby Azure Arc. Prístupná je cez hlavný portál Azure
Predtým než začneme s onboardingom serverov do Arc skontrolujeme si či na subskripcii máme registrované “Resource providers” – Microsoft.HybridConnectivity. Ak nie, klepneme na Register.
V portále Arc budú pre nás pre onboarding serverov zaujímavé dve, resp. tri položky a to “Service principals”, ktorú použijeme z dôvodu abstrakcie prihlasovania sa do Azure, tj. aby sme nemuseli používať konto administrátora. Je to nevyhnutné z dôvodu hromadného onboardingu cez GPO.
Ďalšou položkou je “Private link scopes”, kde zavítame keď budeme chcieť meniť prístup onpremise prostredia do Azure z Public alebo proxy na privátnu VPN no a poslednou časťou je “Machines”, kde s onboardingom začneme.
ťukneme teda na “Add/Create” a vyberieme “Add a machine”
Tu máme možnosť onboardovať server po jednom, hromadne alebo s využitím Update Management. Zameriame sa na hromadné pridanie serverov, nakoľko pridanie jedného servera je z pohľadu nastavenia len podmnožinou tejto možnosti.
Klepneme na Add multiple servers – Generate script. Čaká nás základné nastavenie:
- subscription – vyberieme subskripciu z ktorej sa bude Arc účtovať
- Rersource group – rovnako ako vyššie. Ak nemáme, cez Create new vytvoríme novú
- Region – vyberáme west Germany, že? 🙂
- Operating system – možnosť vybrať Linux, alebo Windows
- Connectivity method – možnosti public, proxy alebo private endpoint (musíme ho mať vytvorený). Pre začiatok nie je naškodu ísť cestou Public. Priškrtiť to môžeme vždy. Najmä treba myslieť na príslušné sieťové prestupy z onpremise do Azure.
- Authentication – budeme potrebovať vytvoriť service principal
Vytvorenie service pricipal nie je žiadna veda. Je možné spraviť to z tohto okienka, alebo z hlavného menu Arc viď obrázok vyššie. Vyberáme si či Service principal použijeme na Resource Group, alebo na Subscripciu, platnosť kľúča a hlavne nezabudneme zaškrtnúť rolu Azure Connected Machine Onboarding. A úplne najdôležitejšia vec – stiahneme si pricipal ID and Secret, lebo už sa k nemu nikdy nedostaneme! Jedine teda že si vygenerujeme nový, k čomu sa tiež dostaneme, keďže platnosť kľúča nie je neobmedzená.
Keď máme vyklikané, prejdeme na ďalšiu obrazovku, kde zvolíme Group policy:
Ako prvé si z linku “Download Installer package” stiahneme inštalátor “AzureConnectedMachineAgent .msi”. Ten si uložíme niekde na filesystém, budeme ho odtiaľ inštalovať na servery. Zložku do ktorej inštalátor uložíme nazdieľame a nezabudneme na rozumné oprávnenia. Teda Domain Servers, Admins, Computers prípadne iné, ktoré používame. Určite nechceme v produkcii nechať Everyone.
V ďalšom kroku si stiahneme z Githubu zip súbor s pomocnými skriptami a šablónou pre group policy. Toto si rozbalíme niekde na doménový radič napríklad. Nižšie v kroku 4 si parametrizujeme spúšťanie práve týchto stiahnutých skriptov ktoré obsahuje balíček “ArcEnabledServersGroupPolicy_v1.0.6.zip”.
No a parametre. Domain name je jasný a z nasledujúcich dvoch vyskladáme cestu k share kde sme si uložili inštalátor z kroku 2. Teda vyzerať to môže tak, že ReportServerFQDN bude server. domena.com a ArcRemoteShare bude napr. MSI\GPO\Arc. Nebojte keď tam zadáte blbosť pri spustení skriptu si vo výpise rýchlo všimnete ako a akú cestu skript vyskladáva, kde ste dali navyše lomítko a podobne, takže to ľahko napravíme priamo v parametroch skriptu. Nezabúdame samozrejme serviceprincipal-Enter secret here:-)
No a už sa stačí len nalistovať do adresára s rozbaleným “ArcEnabledServersGroupPolicy_v1.0.6.zip” a spustiť skript z kroku 4. Ak všetko prebehne v poriadku, pribudne nám nová politika s názvom [MSFT] Azure Arc Servers Onboarding a časovou značkou. Tú stačí nalinkovať na OU a pridať computer objecty serverov. Tie sa vo väčšine prípadov do Arc-u pochytajú automaticky.
No a čo vlastne robí tá politika? pridáva dva registrové záznamy:
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\AzureArc\RegistrationInfo, Value type REG_SZ,
Value data RegistrationInfoTOSET - HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\AzureArc\RegistrationKey, Value type REG_SZ,
- Value data RegistrationKeyTOSET
a dva naplánované úlohy na inštaláciu Arc agenta parametrizované podľa toho čo sme zadali vyššie. V zdieľanom adresári to potom vyzerá nejako takto: