部署MgC Agent（原Edge）

使用迁移中心的大数据相关功能前，需要先在可以访问源端数据来源的环境中部署MgC Agent。

MgC Agent不具备自动重启功能，严禁在任务执行期间重启MgC Agent，以避免任务失败。

准备工作

建议在源端内网环境中准备一台用于安装MgC Agent的Linux主机，并确保该Linux主机满足以下要求：
- 可以连接外网，并检查是否能够访问MgC和IoTDA服务的域名，具体需要检查的域名请查看域名。
- 检查是否已开放MgC Agent（原Edge）需要的端口，所需端口请查看通信矩阵。
- 安全组的出方向规则中，需要包含8883端口。
- 操作系统为：CentOS 8。
- 推荐规格不小于4U8G。如果使用大数据相关功能，推荐规格不小于8U16G。
- 安装MgC Agent的磁盘预留可用空间不小于20 GB。
不建议将MgC Agent安装在源端待迁移的主机上，主要原因包括：
- 资源消耗：MgC Agent在采集和迁移运行过程中会消耗CPU和内存资源。在迁移任务量大时，这可能会对源端的业务运行造成影响。
- 端口占用：MgC Agent会占用源端主机上的一些端口，也可能会对源端业务产生影响。
要求安装MgC Agent的Linux主机熵值大于1000。可以使用如下命令，查看主机熵值。
```
cat /proc/sys/kernel/random/entropy_avail
```
如果主机熵值不足，可以通过安装rng-tools工具或Haveged工具来增加熵值。安装方法请参考安装Linux版本的MgC Agent，因主机熵值不足，导致安装失败。
关闭安装MgC Agent的Linux主机上的杀毒、防护类软件，该类软件会拦截MgC Agent的执行，导致迁移工作流执行失败。
准备一台用于登录MgC Agent控制台的Windows主机。
在安装MgC Agent的主机安全组入网规则中，需要添加一条允许通过TCP协议访问27080端口的规则。源地址填写用于登录MgC Agent控制台的Windows主机IP地址。
已注册华为账号并开通华为云，并获取账号的AK/SK。
已在MgC控制台创建迁移项目。

下载并安装MgC Agent

使用在源端内网环境准备好的Linux主机，登录迁移中心管理控制台。
在左侧导航栏单击“迁移中心Agent”，进入迁移中心Agent页面。
在Linux版区域，单击“下载安装包”或“复制下载命令”，将MgC Agent安装程序下载到Linux主机。
执行如下命令，解压MgC Agent安装包。
```
tar zxvf MgC-Agent.tar.gz
```
执行如下命令，进入MgC Agent安装目录中的scripts目录。
```
cd MgC-Agent/scripts/
```
执行如下命令，启动MgC Agent安装脚本。
```
./install.sh
```
输入Linux本机网卡的弹性公网IP地址作为后续访问MgC Agent页面的地址。

如果输入的地址不在本机拥有的IP列表中，会提示是否开放本机所拥有的任何公网IP作为访问地址。
当出现如下图所示提示时，表示Linux版的MgC Agent已安装完成。其中提示的端口号请以实际情况为准（通常为27080）。

执行如下命令，更新环境变量。
```
source /opt/cloud/MgC-Agent/scripts/setenv.sh
```
安装完成后，在安全组入方向规则中添加的Windows主机上打开浏览器，输入地址“https://步骤7.输入的IP:步骤8.提示的端口号”，即可访问MgC Agent的登录页面。例如：步骤7输入的IP为192.168.x.x，步骤8提示的端口号为27080，则MgC Agent的访问地址为：https://192.168.x.x:27080。

如果遇到访问问题，请检查IP地址的准确性以及安装MgC Agent的Linux主机安全组入网规则配置。

登录MgC Agent

迁移中心Agent提供了以下三种登录方法，请根据实际使用场景，选择合适的登录方式。不同登录方式之间的数据不互通，切换登录方式或账号会导致之前采集的数据丢失，请谨慎选择登录方式。

适用于离线采集场景。登录后可根据需求选择是否连接迁移中心。需要注册用户名和密码。请妥善保存用户名和密码，避免丢失。

在用户登录页面，登录方式选择“本地账号登录”。
在用户注册页面，分别输入用户名、密码，确认密码无误后，单击《隐私政策声明》。
仔细阅读《隐私政策声明》内容后，勾选“我已阅读并同意《隐私政策声明》”并单击“注册”按钮。

完成用户注册后，建议每3-6个月更换一次密码。
注册成功后，输入注册的用户名、密码，单击“登录”按钮，进入MgC Agent的总览页面。

适用于迁移场景，无需创建本地账号，但要求具备访问迁移中心的网络条件。

在用户登录页面，登录方式选择“华为云密钥登录”。
分别输入华为云账号的AK、SK，在区域下拉列表选择在MgC服务创建项目的区域。
单击“登录”按钮，进入MgC Agent的总览页面。

适用于迁移场景，要求迁移中心Agent必须部署在已经具备迁移中心委托的华为云ECS主机中。如果该ECS开启了元数据访问并且元数据版本选择了“仅V2(Token)”，则MgC Agent版本必须为25.4.2及以上版本。

创建JSON视图自定义策略。创建时，策略名称为自定义，策略内容复制以下策略：

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "mgc:*:query*",
                "mgc:*:discovery",
                "mgc:*:assess",
                "mgc:*:migrate",
                "iam:agencies:listAgencies",
                "iam:roles:listRoles",
                "iam:quotas:listQuotas",
                "iam:permissions:listRolesForAgency"
            ],
            "Effect": "Allow"
        }
    ]
}

如果您同时需要使用MgC的主机工作流进行主机迁移，还需要创建SMS项目级云服务策略和SMS全局级云服务策略。策略详情请参见SMS自定义策略。

创建云服务委托并授权。创建时，委托类型选择“云服务”，云服务选择“弹性云服务器 ECS 裸金属服务器 BMS”。创建委托完成后，单击“立即授权”，勾选步骤1.创建的自定义策略。如果需要进行主机迁移，同时勾选步骤1.创建的SMS自定义策略。
完成云服务委托并授权后，返回MgC Agent的用户登录页面，登录方式选择“华为云委托登录”。
在区域下拉列表选择在MgC服务创建项目的区域。
单击“登录”按钮，进入MgC Agent的总览页面。

连接迁移中心

登录MgC Agent控制台。
在总览页面，单击页面右上角的“连接”按钮，右侧弹出连接迁移中心页面。
在第一步：配置连接方式区域，连接方式选择“华为云访问密钥”。选择在MgC服务创建项目的区域，输入华为云账号的AK/SK，单击“查询项目”按钮。系统会对输入的AK/SK进行验证，验证通过后，即可进行下一步。如果提示AK/SK错误，请参考AK/SK验证失败，如何处理？进行排查处理。

如果是进行主机迁移，输入的AK/SK需要具备SMS服务的相关权限。需要的权限和配置方法请参考SMS自定义策略。
在第二步：关联迁移中心项目区域的项目下拉列表中，选择MgC控制台所创建的迁移项目，MgC Agent会将采集数据上报到该项目。
在第三步：预设当前迁移中心Agent名称区域，自定义MgC Agent在MgC控制台显示的名称，单击“连接”按钮，确认要与迁移中心进行连接，单击“确定”按钮。

与迁移中心连接成功后，设置的MgC Agent名称不支持修改。
当总览页面显示状态为“已连接”，代表与MgC连接成功。

添加资源凭证

支持在MgC Agent上添加凭证的资源类型包括：私有云、主机、大数据、容器。各资源类型包含的认证方式参见表1。

表1 各资源认证方式
资源类型	认证方式	说明
公有云	AK/SK ID/密钥	AK/SK适用于添加华为云、阿里云、AWS、腾讯云、七牛云和金山云等云平台凭证。 ID/密钥适用于添加Azure平台凭证。添加凭证所需的信息获取方法请参见如何获取添加Azure凭证所需的信息。
私有云	用户名/密码	输入源端私有云的登录用户名、密码。
数据库	用户名/密码	输入数据库的登录用户名、密码。
大数据-执行机	用户名/密码	输入大数据所部署主机的登录用户名、密码；网段限制填写网段地址，可以是单个IP地址或IP地址段。例如：单个IP地址：192.168.10.10/32 IP地址段：192.168.52.0/24 所有IP地址：0.0.0.0/0
大数据-Hive Metastore	用户名/密钥	凭证文件需要同时上传core-site.xml、hivemetastore-site.xml、hive-site.xml、krb5.conf、user.keytab五个文件。获取方式参见大数据-Hive Metastore凭证文件获取方法。
大数据-数据湖搜索（DLI）	AK/SK	输入华为云账号的AK/SK。获取方法请参考如何获取AK/SK。
大数据-MaxCompute	AK/SK	输入源端阿里云账号的AK/SK。获取方法请参考查看RAM用户的AccessKey信息。
大数据-Doris	用户名/密码	输入登录Doris数据库的用户名、密码。
大数据-HBase	用户名/密钥	非安全集群需要上传core-site.xml，hdfs-site.xml，yarn-site.xml，mapred-site.xml和hbase-site.xml等5个文件。安全集群需要上传core-site.xml，hdfs-site.xml，yarn-site.xml，krb5.conf，user.keytab，mapred-site.xml和hbase-site.xml等7个文件。以上配置文件通常位于Hadoop和HBase安装目录的conf子目录下。
大数据-ClickHouse	用户名/密码	输入登录ClickHouse数据库的用户名、密码。
Windows主机	用户名/密码	选择是否使用HTTPS建立连接。Windows主机默认使用HTTP的WinRM（5985端口）建立连接。使用HTTPS的WinRM（5986端口）建立连接更安全。输入源端主机的登录用户名、密码。网段限制填写网段地址，可以是单个IP地址或IP地址段。例如：单个IP地址：192.168.10.10/32 IP地址段：192.168.52.0/24 所有IP地址：0.0.0.0/0
Linux主机	用户名/密码用户名/密钥	选择用户名和密码时，输入源端主机的登录用户名、密码。选择用户名和密钥时，输入源端主机登录用户名、口令（密钥文件对应的密码）、上传.pem类型的密钥文件。须知：如果密钥文件未加密，则口令无需填写。网段限制填写网段地址，可以是单个IP地址或IP地址段。例如：单个IP地址：192.168.10.10/32 IP地址段：192.168.52.0/24 所有IP地址：0.0.0.0/0
容器	配置文件	配置文件格式必须为.json文件或.yml文件。

登录MgC Agent控制台。
在左侧导航树选择“凭证管理”，进入凭证列表页面。
单击列表上方的“创建凭证”按钮，弹出创建凭证窗口。

图1 创建凭证
按照窗口提示，选择资源类型后，选择认证方式并输入相应凭证，凭证名称为用户自定义。
选择凭证留存有效期。关于留存有效期的选项说明如下：
- 保存有效期：设置凭证保存的有效天数。自单击“确认”保存开始计算，如果超过所设天数，凭证会过期失效。默认值为60天，取值范围为1~365天的整数。处于未过期、即将过期、已过期状态的凭证，可以延长凭证有效期。
- 永不过期：凭证无过期时间限制，可永久使用。当不再需要该凭证时，可手动进行删除。
单击“确认”，保存凭证。