그룹 정책을 사용하여 대규모로 Active Directory에 가입된 Windows 머신 을 Azure Arc 지원 서버에 온보딩할 수 있습니다.
먼저 Connected Machine 에이전트를 호스트하는 원격 공유를 설정한 다음, Azure 내에서 Arc 지원 서버의 랜딩 존을 지정하는 스크립트를 수정합니다. 다음으로, GPO(그룹 정책 개체)를 생성하는 스크립트를 실행하여 컴퓨터 그룹을 Azure Arc 지원 서버에 온보딩합니다. 이 그룹 정책 개체는 사이트, 도메인 또는 조직 수준에서 적용할 수 있습니다. 할당은 ACL(액세스 제어 목록) 및 그룹 정책에 네이티브인 기타 보안 필터링을 사용할 수도 있습니다. 그룹 정책 범위의 모든 컴퓨터는 Azure Arc 지원 서버에 온보딩되므로 AZURE Arc에 온보딩하려는 컴퓨터만 포함하도록 GPO 범위를 지정합니다.
시작하기 전에 환경이 연결된 컴퓨터 에이전트 필수 구성 요소 및 Azure Arc 지원 서버 배포를 위한 네트워킹 요구 사항을 충족하는지 확인합니다. 지원되는 지역 및 기타 관련 고려 사항에 대한 자세한 내용은 Azure 지원 지역을 참조하세요. 디자인 및 배포 기준에 대해 자세히 알아보려면 대규모 계획 가이드를 검토하세요.
Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
SQL Server에 대한 자동 연결
Microsoft SQL Server가 설치된 Azure Arc에 Windows 또는 Linux 서버를 연결하면 SQL Server 인스턴스도 Azure Arc에 자동으로 연결됩니다.
Azure Arc를 통해 지원되는 SQL Server는 SQL Server 인스턴스 및 데이터베이스에 대한 상세 인벤토리와 추가 관리 기능을 제공합니다. 연결 프로세스의 일부로 확장이 Azure Arc 지원 서버에 배포되고 새 역할이 SQL Server 및 데이터베이스에 적용됩니다. SQL Server를 Azure Arc에 자동으로 연결하지 않으려면 Azure Arc에 연결할 때 이름 ArcSQLServerExtensionDeployment 및 값 Disabled 이 포함된 태그를 Windows 또는 Linux 서버에 추가하여 옵트아웃할 수 있습니다.
자세한 내용은 Azure Arc를 통해 지원되는 SQL Server의 자동 연결 관리를 참조하세요.
원격 공유 준비 및 서비스 주체 만들기
Azure Arc 지원 서버를 온보딩하는 데 사용되는 그룹 정책 개체에는 Connected Machine 에이전트와의 원격 공유가 필요합니다.
Windows용 Azure Connected Machine 에이전트 패키지 및 구성 파일을 호스트할 원격 공유를 준비합니다. 파일을 배포 위치에 추가할 수 있어야 합니다. 네트워크 공유는 변경 권한이 있는 도메인 컨트롤러 및 도메인 컴퓨터와 모든 권한이 있는 도메인 관리자를 제공해야 합니다.
단계에 따라 대규모 온보딩을 위한 서비스 주체 만들기
- 서비스 주체에 Azure Connected Machine 온보딩 역할을 할당합니다. 역할 범위를 대상 Azure 랜딩 존으로 제한합니다.
- 서비스 주체 비밀을 적어 둡니다. 나중에 이 값이 필요합니다.
에서 https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 폴더를 다운로드하여 압축을 풉니다. 이 폴더에는
EnableAzureArc.ps1,DeployGPO.ps1및AzureArcDeployment.psm1스크립트가 있는 ArcGPO 프로젝트 구조가 포함되어 있습니다. 이러한 자산은 Azure Arc 지원 서버에 머신을 온보딩하는 데 사용됩니다.Microsoft 다운로드 센터에서 최신 버전의 Azure Connected Machine Agent Windows Installer 패키지를 다운로드하고 원격 공유에 저장합니다.
배포 스크립트
DeployGPO.ps1를 실행하여 DomainFQDN, ReportServerFQDN, ArcRemoteShare, 서비스 주체 암호, 서비스 주체 클라이언트 ID, 구독 ID, 리소스 그룹, 지역, 테넌트 및 AgentProxy에 대한 실행 매개 변수를 수정합니다(해당하는 경우). 이러한 값에 대한 세부 정보는 스크립트 주석에서 찾을 수 있습니다.예를 들어 다음 명령은 GPO를 contoso.com 도메인에 배포하고 온보딩 스크립트
EnableAzureArc.ps1를 서버의 원격 공유AzureArcOnBoard에Server.contoso.com복사합니다..\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
그룹 정책 개체 적용
GPMC(그룹 정책 관리 콘솔)에서 원하는 OU(조직 구성 단위)를 마우스 오른쪽 단추로 클릭하고 [MSFT] Azure Arc Servers(datetime)라는 GPO를 연결합니다. 이 GPO에는 컴퓨터를 온보딩하는 예약된 작업이 있습니다. 20분 이내에 GPO는 해당 도메인 컨트롤러에 복제됩니다. Microsoft Entra Domain Services에서 그룹 정책을 만들고 관리하는 방법에 대한 자세한 내용은 Microsoft Entra Domain Services 관리되는 도메인에서 그룹 정책 관리를 참조하세요.
성공적인 온보딩 확인
에이전트를 설치하고 구성한 후 OU의 서버가 Azure Arc에 성공적으로 연결되었는지 확인합니다. Azure Arc - Machines 아래의 Azure Portal에 표시되도록 하여 이 작업을 수행할 수 있습니다.
중요한
서버가 Azure Arc에 성공적으로 온보딩되었는지 확인한 후 그룹 정책 개체를 사용하지 않도록 설정합니다. 이렇게 하면 시스템이 다시 부팅되거나 그룹 정책이 업데이트될 때 예약된 작업의 PowerShell 명령이 다시 실행되지 않습니다.
다음 단계
- 계획 및 배포 가이드를 검토하여 모든 규모의 Azure Arc 지원 서버 배포를 계획하고 중앙 집중식 관리와 모니터링을 구현합니다.
- Connected Machine 에이전트 문제 해결 가이드에서 연결 문제 해결 정보를 검토합니다.
- Azure Machine 구성과 같은 항목에 대해 Azure Policy를 사용하여 머신을 관리하고, 컴퓨터가 예상 Log Analytics 작업 영역에 보고하고 있는지 확인하고, VM 인사이트를 사용하여 모니터링을 사용하도록 설정하는 방법을 알아봅니다.
- 그룹 정책에 대해 알아봅니다.