Registrace serverů a přiřazení oprávnění pro nasazení Azure Stack HCI verze 23H2
Platí pro: Azure Stack HCI verze 23H2
Tento článek popisuje, jak zaregistrovat servery Azure Stack HCI a pak nastavit požadovaná oprávnění k nasazení clusteru Azure Stack HCI verze 23H2.
Požadavky
Než začnete, ujistěte se, že jste splnili následující požadavky:
Připravte prostředí služby Active Directory .
Na každý server nainstalujte operační systém Azure Stack HCI verze 23H2.
Zaregistrujte své předplatné u požadovaných poskytovatelů prostředků (RP). K registraci můžete použít Azure Portal nebo Azure PowerShell. Abyste mohli zaregistrovat následující prostředky RPs, musíte být vlastníkem nebo přispěvatelem svého předplatného:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Poznámka
Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje servery Azure Stack HCI ve službě Arc.
Pokud zaregistrujete servery jako prostředky Arc, ujistěte se, že máte následující oprávnění ke skupině prostředků, ve které byly servery zřízené:
Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků v Azure Portal:
- Přejděte k předplatnému, které používáte pro nasazení Azure Stack HCI.
- Přejděte do skupiny prostředků, ve které plánujete zaregistrovat servery.
- V levém podokně přejděte na Access Control (IAM).
- V pravém podokně přejděte na Přiřazení rolí. Ověřte, že máte přiřazené role onboardingu připojeného počítače Azure a správce prostředků připojeného počítače Azure .
Registrace serverů ve službě Azure Arc
Důležité
Tyto kroky spusťte na každém serveru Azure Stack HCI, který chcete clusterovat.
Nainstalujte registrační skript Arc z PSGallery.
#Register PSGallery as a trusted repo Register-PSRepository -Default -InstallationPolicy Trusted #Install Arc registration script from PSGallery Install-Module AzsHCI.ARCinstaller #Install required PowerShell modules in your node for registration Install-Module Az.Accounts -Force Install-Module Az.ConnectedMachine -Force Install-Module Az.Resources -Force
Nastavte parametry. Skript přebírá následující parametry:
Parametry Description SubscriptionID
ID předplatného použitého k registraci serverů ve službě Azure Arc. TenantID
ID tenanta použité k registraci serverů ve službě Azure Arc Přejděte na Microsoft Entra ID a zkopírujte vlastnost ID tenanta. ResourceGroup
Skupina prostředků předem vytvořená pro registraci serverů arc. Skupina prostředků se vytvoří, pokud neexistuje. Region
Oblast Azure použitá k registraci. Projděte si podporované oblasti , které se dají použít. AccountID
Uživatel, který zaregistruje a nasadí cluster. DeviceCode
Kód zařízení zobrazený v konzole na adrese https://microsoft.com/devicelogin
a slouží k přihlášení k zařízení.#Define the subscription where you want to register your server as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your server as Arc device $RG = "YourResourceGroupName" #Define the region you will use to register your server as Arc device $Region = "eastus" #Define the tenant you will use to register your server as Arc device $Tenant = "YourTenantID"
Připojte se ke svému účtu Azure a nastavte předplatné. Budete muset otevřít prohlížeč na klientovi, kterého používáte pro připojení k serveru, a otevřít tuto stránku a
https://microsoft.com/devicelogin
zadat zadaný kód ve výstupu Azure CLI, abyste se mohli ověřit. Získejte přístupový token a ID účtu pro registraci.#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id
Nakonec spusťte registrační skript Arc. Spuštění tohoto skriptu trvá několik minut.
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
Pokud přistupujete k internetu přes proxy server, musíte předat
-proxy
parametr a zadat proxy server jakohttp://<Proxy server FQDN or IP address>:Port
při spuštění skriptu.Po úspěšném dokončení skriptu na všech serverech ověřte, že:
Vaše servery jsou zaregistrované ve službě Arc. Přejděte na Azure Portal a pak přejděte do skupiny prostředků přidružené k registraci. Servery se v zadané skupině prostředků zobrazí jako prostředky typu Počítač – Azure Arc .
Na vašich serverech jsou nainstalovaná povinná rozšíření Azure Stack HCI. Ve skupině prostředků vyberte registrovaný server. Přejděte na Rozšíření. Povinná rozšíření se zobrazí v pravém podokně.
Přiřazení požadovaných oprávnění pro nasazení
Tato část popisuje, jak přiřadit oprávnění Azure pro nasazení z Azure Portal.
V Azure Portal přejděte k předplatnému použitému k registraci serverů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.
Projděte si karty a přiřaďte uživateli, který nasazuje cluster, následující oprávnění role:
- Správce Azure Stack HCI
- Správce cloudové aplikace
- Čtenář
Poznámka
K vytvoření instančního objektu je dočasně potřeba oprávnění správce cloudové aplikace. Po nasazení je možné toto oprávnění odebrat.
V Azure Portal přejděte do skupiny prostředků použité k registraci serverů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.
Projděte si karty a přiřaďte uživateli, který nasazuje cluster, následující oprávnění:
- Key Vault správce přístupu k datům: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
- Key Vault správce tajných kódů: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů do trezoru klíčů používaného k nasazení.
- Key Vault Přispěvatel: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů použitého k nasazení.
- Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.
V pravém podokně přejděte na Přiřazení rolí. Ověřte, že uživatel nasazení má všechny nakonfigurované role.
Další kroky
Po nastavení prvního serveru v clusteru jste připraveni k nasazení pomocí Azure Portal:
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro