通过已启用 Azure Arc 的服务器进行虚拟机扩展管理

虚拟机 (VM) 扩展是小型应用程序,可在 Azure VM 上提供部署后配置和自动化任务。 例如,如果虚拟机需要安装软件、进行防病毒保护或运行脚本,便可以使用 VM 扩展。

使用已启用 Azure Arc 的服务器,可以更新 Azure VM 扩展、将其部署到非 Azure Windows 和 Linux VM,也可从中删除,从而简化在混合计算机生命周期内对其进行的管理。 在由已启用 Arc 的服务器管理的混合计算机或服务器上,可以使用以下方法来管理 VM 扩展:

注意

已启用 Azure Arc 的服务器不支持管理 VM 扩展,也不支持将 VM 扩展部署到 Azure 虚拟机。 对于 Azure VM,请查看下面的 VM 扩展概述一文。

注意

目前只能通过 Azure 门户或 Azure CLI 来更新扩展。 目前不支持通过 Azure PowerShell 或 Azure 资源管理器模板来更新扩展。

关键优势

已启用 Azure Arc 的服务器 VM 扩展支持提供了以下主要优势:

  • 通过启用 Log Analytics 代理 VM 扩展,使用 Azure Monitor 中的日志来收集日志数据进行分析。 日志数据分析可用于跨来自不同类型源的日志数据进行复杂分析。
  • 使用自定义脚本扩展在连接的混合计算机上下载和执行脚本。 此扩展适用于部署后配置、软件安装或其他任何配置或管理任务。

  • 自动刷新 Azure Key Vault 中存储的证书。

可用性

VM 扩展功能仅在受支持区域列表所列的区域中提供。 确保在其中一个区域中加入计算机。

此外,你可以配置要在服务器上允许和阻止的扩展列表。 有关详细信息,请参阅《扩展允许列表和阻止列表》

扩展

在此版本中,我们在 Windows 和 Linux 计算机上支持以下 VM 扩展。

若要了解有关 Azure Connected Machine 代理包以及 Extension 代理组件的详细信息,请参阅代理概述

注意

Desired State Configuration VM 扩展不再适用于已启用 Azure Arc 的服务器。 另外,我们建议迁移到计算机配置或使用自定义脚本扩展来管理服务器的部署后配置。

已启用 Arc 的服务器支持在资源组或其他 Azure 订阅之间移动安装了一个或多个 VM 扩展的计算机,而不会影响其配置。 源订阅与目标订阅必须在同一个 Microsoft Entra 租户中。 从 Connected Machine 代理版本 1.8.21197.005 开始启用此支持。 有关在处理之前移动资源和注意事项的详细信息,请参阅将资源移到新的资源组或订阅

Windows 扩展

分机 Publisher 类型 其他信息
Microsoft Defender for Cloud 集成式漏洞扫描程序 Qualys WindowsAgent.AzureSecurityCenter 适用于 Azure 和混合计算机的 Microsoft Defender for Cloud 集成式漏洞评估解决方案
Microsoft 反恶意软件扩展 Microsoft.Azure.Security IaaSAntimalware 适用于 Windows 的 Microsoft 反恶意软件扩展
自定义脚本扩展 Microsoft.Compute CustomScriptExtension Windows 自定义脚本扩展
用于 VM 的 Azure Monitor(见解) Microsoft.Azure.Monitoring.DependencyAgent DependencyAgentWindows 适用于 Windows 的 Dependency 代理虚拟机扩展
Azure Key Vault 证书同步 Microsoft.Azure.Key.Vault KeyVaultForWindows 适用于 Windows 的 Key Vault 虚拟机扩展
Azure Monitor 代理 Microsoft.Azure.Monitor AzureMonitorWindowsAgent 安装 Azure Monitor 代理
Azure 自动化混合 Runbook 辅助角色扩展 Microsoft.Compute HybridWorkerForWindows 部署基于扩展的用户混合 Runbook 辅助角色,以在本地执行 runbook
适用于 SQL Server 的 Azure 扩展 Microsoft.AzureData WindowsAgent.SqlServer 安装适用于 SQL Server 的 Azure 扩展以启动 SQL Server 到 Azure 的连接
Windows Admin Center(预览版) Microsoft.AdminCenter AdminCenter 在 Azure 中使用 Windows Admin Center 管理已启用 Azure Arc 的服务器
Windows OS 更新扩展 Microsoft.SoftwareUpdateManagement WindowsOsUpdateExtension Azure 更新管理器概述
Windows 补丁扩展 Microsoft.CPlat.Core WindowsPatchExtension Azure 虚拟机和规模集的自动来宾修补

Linux 扩展

分机 Publisher 类型 其他信息
Microsoft Defender for Cloud 集成式漏洞扫描程序 Qualys LinuxAgent.AzureSecurityCenter 适用于 Azure 和混合计算机的 Microsoft Defender for Cloud 集成式漏洞评估解决方案
自定义脚本扩展 Microsoft.Azure.Extensions CustomScript Linux 自定义脚本扩展版本 2
用于 VM 的 Azure Monitor(见解) Microsoft.Azure.Monitoring.DependencyAgent DependencyAgentLinux 适用于 Linux 的 Dependency 代理虚拟机扩展
Azure Key Vault 证书同步 Microsoft.Azure.Key.Vault KeyVaultForLinux 适用于 Linux 的 Key Vault 虚拟机扩展
Azure Monitor 代理 Microsoft.Azure.Monitor AzureMonitorLinuxAgent 安装 Azure Monitor 代理
Azure 自动化混合 Runbook 辅助角色扩展 Microsoft.Compute HybridWorkerForLinux 部署基于扩展的用户混合 Runbook 辅助角色,以在本地执行 runbook
Linux OS 更新扩展 Microsoft.SoftwareUpdateManagement LinuxOsUpdateExtension Azure 更新管理器概述
Linux 补丁扩展 Microsoft.CPlat.Core LinuxPatchExtension Azure 虚拟机和规模集的自动来宾修补

先决条件

此功能依赖于订阅中的以下 Azure 资源提供程序:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration

如果尚未注册,请按照注册 Azure 资源提供程序中的步骤进行操作。

务必查看上表中引用的每个 VM 扩展的文档,以了解它是否有任何网络或系统要求。 这可以帮助你避免在 Azure 服务或者在依赖于该 VM 扩展的功能中遭遇任何连接问题。

所需的权限

若要将扩展部署到已启用 Arc 的服务器,用户需要以下权限。

  • microsoft.hybridcompute/machines/read
  • microsoft.hybridcompute/machines/extensions/read
  • microsoft.hybridcompute/machines/extensions/write

“Azure Connected Machine 资源管理员”角色包含部署扩展所需的权限,但也包括删除已启用 Arc 的服务器资源的权限

Azure Monitor 代理 VM 扩展

在安装扩展之前,建议查看 Azure Monitor 代理的部署选项,以了解可用的不同方法以及能够满足你的要求的方法。

Azure Key Vault VM 扩展

Key Vault VM 扩展不支持以下 Linux 操作系统:

  • Red Hat Enterprise Linux (RHEL) 7 (x64)
  • Amazon Linux 2 (x64)

仅支持使用以下内容来部署 Key Vault VM 扩展:

  • Azure CLI
  • Azure PowerShell
  • Azure 资源管理器模板

在部署扩展之前,需要完成以下操作:

  1. 创建保管库和证书(自签名或导入)。

  2. 向已启用 Azure Arc 的服务器授予对证书机密的访问权限。 如果使用 RBAC 预览版,请搜索 Azure Arc 资源的名称,并为其分配“Key Vault 机密用户(预览)”角色。 如果使用 Key Vault 访问策略,请为 Azure Arc 资源系统分配的标识分配机密“Get”权限。

Connected Machine 代理

验证计算机是否与适用于 Azure Connected Machine 代理的 Windows 和 Linux 操作系统的受支持版本相匹配。

Windows 和 Linux 上此功能支持的 Connected Machine 代理的最低版本为 1.0 版。

若要将计算机升级到所需的代理版本,请参阅升级代理

操作系统扩展可用性

以下扩展适用于 Windows 和 Linux 计算机:

Windows 扩展可用性

操作系统 Azure Monitor 代理 依赖项 VM 见解 Qualys 自定义脚本 密钥保管库 混合 Runbook 反恶意软件扩展 Windows Admin Center
Windows Server 2022 X X X X X X
Windows Server 2019 X X X X X X
Windows Server 2016 X X X X X X 内置 X
Windows Server 2012 R2 X X X X X X
Windows Server 2012 X X X X X X X
Windows Server 2008 R2 SP1 X X X X X X
Windows Server 2008 R2 X X X X
Windows Server 2008 SP2 X X X
Windows 11 客户端 OS X X
Windows 10 1803 (RS4) 及更高版本 X X X
Windows 10 Enterprise(包括多会话)和 Pro(仅限 Server 方案) X X X X X
Windows 8 Enterprise 和 Pro(仅限 Server 方案) X X X
Windows 7 SP1(仅限 Server 方案) X X X
Azure Stack HCI(仅限 Server 方案) X X

Linux 扩展可用性

操作系统 Azure Monitor 代理 依赖项 VM 见解 Qualys 自定义脚本 密钥保管库 混合 Runbook 反恶意软件扩展 Connected Machine 代理
Amazon Linux 2 X X X
Debian 10 X X X X
Debian 9 X X X X
Debian 8 X X X
Debian 7 X X
OpenSUSE 13.1+ X X
Oracle Linux 8 X X X X X
Oracle Linux 7 X X X X X
Oracle Linux 6 X X X X
Red Hat Enterprise Linux Server 8 X X X X X
Red Hat Enterprise Linux Server 7 X X X X X X
Red Hat Enterprise Linux Server 6 X X X
SUSE Linux Enterprise Server 15.2 X X X X X
SUSE Linux Enterprise Server 15.1 X X X X X X
SUSE Linux Enterprise Server 15 SP1 X X X X X X X
SUSE Linux Enterprise Server 15 X X X X X X X
SUSE Linux Enterprise Server 15 SP5 X X X X X X
SUSE Linux Enterprise Server 12 SP5 X X X X X X X
Ubuntu 20.04 LTS X X X X X X
Ubuntu 18.04 LTS X X X X X X X
Ubuntu 16.04 LTS X X X X X
Ubuntu 14.04 LTS X X

有关启用了 Azure Arc 的服务器可使用的各种 Azure 服务和 VM 扩展的区域可用性,请参阅 Azure Global 的产品可用性路线图

后续步骤

可以使用 Azure CLIAzure PowerShellAzure 门户Azure 资源管理器模板中部署、管理和删除 VM 扩展。