Registrace serverů a přiřazení oprávnění pro nasazení Azure Stack HCI verze 23H2

Článek
04/27/2024

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak zaregistrovat servery Azure Stack HCI a pak nastavit požadovaná oprávnění k nasazení clusteru Azure Stack HCI verze 23H2.

Požadavky

Než začnete, ujistěte se, že jste splnili následující požadavky:

Splnění požadavků a dokončení kontrolního seznamu nasazení
Připravte prostředí služby Active Directory .
Na každý server nainstalujte operační systém Azure Stack HCI verze 23H2.
Zaregistrujte své předplatné u požadovaných poskytovatelů prostředků (RP). K registraci můžete použít Azure Portal nebo Azure PowerShell. Abyste mohli zaregistrovat následující prostředky RPs, musíte být vlastníkem nebo přispěvatelem svého předplatného:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Poznámka

Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje servery Azure Stack HCI ve službě Arc.
Pokud zaregistrujete servery jako prostředky Arc, ujistěte se, že máte následující oprávnění ke skupině prostředků, ve které byly servery zřízené:
- Onboarding připojeného počítače Azure
- Správce prostředků připojeného počítače Azure
Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků v Azure Portal:
1. Přejděte k předplatnému, které používáte pro nasazení Azure Stack HCI.
2. Přejděte do skupiny prostředků, ve které plánujete zaregistrovat servery.
3. V levém podokně přejděte na Access Control (IAM).
4. V pravém podokně přejděte na Přiřazení rolí. Ověřte, že máte přiřazené role onboardingu připojeného počítače Azure a správce prostředků připojeného počítače Azure .

Registrace serverů ve službě Azure Arc

Důležité

Tyto kroky spusťte na každém serveru Azure Stack HCI, který chcete clusterovat.

Nainstalujte registrační skript Arc z PSGallery.

PowerShell
Výstup

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Tady je ukázkový výstup instalace:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Nastavte parametry. Skript přebírá následující parametry:

Parametry	Description
`SubscriptionID`	ID předplatného použitého k registraci serverů ve službě Azure Arc.
`TenantID`	ID tenanta použité k registraci serverů ve službě Azure Arc Přejděte na Microsoft Entra ID a zkopírujte vlastnost ID tenanta.
`ResourceGroup`	Skupina prostředků předem vytvořená pro registraci serverů arc. Skupina prostředků se vytvoří, pokud neexistuje.
`Region`	Oblast Azure použitá k registraci. Projděte si podporované oblasti , které se dají použít.
`AccountID`	Uživatel, který zaregistruje a nasadí cluster.
`DeviceCode`	Kód zařízení zobrazený v konzole na adrese `https://microsoft.com/devicelogin` a slouží k přihlášení k zařízení.

PowerShell
Výstup

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Tady je ukázkový výstup parametrů:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Připojte se ke svému účtu Azure a nastavte předplatné. Budete muset otevřít prohlížeč na klientovi, kterého používáte pro připojení k serveru, a otevřít tuto stránku a https://microsoft.com/devicelogin zadat zadaný kód ve výstupu Azure CLI, abyste se mohli ověřit. Získejte přístupový token a ID účtu pro registraci.

PowerShell
Výstup

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Tady je ukázkový výstup nastavení předplatného a ověřování:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Nakonec spusťte registrační skript Arc. Spuštění tohoto skriptu trvá několik minut.

PowerShell
Výstup

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Pokud přistupujete k internetu přes proxy server, musíte předat -proxy parametr a zadat proxy server jako http://<Proxy server FQDN or IP address>:Port při spuštění skriptu.

Tady je ukázkový výstup úspěšné registrace vašich serverů:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Po úspěšném dokončení skriptu na všech serverech ověřte, že:
1. Vaše servery jsou zaregistrované ve službě Arc. Přejděte na Azure Portal a pak přejděte do skupiny prostředků přidružené k registraci. Servery se v zadané skupině prostředků zobrazí jako prostředky typu Počítač – Azure Arc .
2. Na vašich serverech jsou nainstalovaná povinná rozšíření Azure Stack HCI. Ve skupině prostředků vyberte registrovaný server. Přejděte na Rozšíření. Povinná rozšíření se zobrazí v pravém podokně.

Přiřazení požadovaných oprávnění pro nasazení

Tato část popisuje, jak přiřadit oprávnění Azure pro nasazení z Azure Portal.

V Azure Portal přejděte k předplatnému použitému k registraci serverů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.
Projděte si karty a přiřaďte uživateli, který nasazuje cluster, následující oprávnění role:
- Správce Azure Stack HCI
- Správce cloudové aplikace
- Čtenář
Poznámka

K vytvoření instančního objektu je dočasně potřeba oprávnění správce cloudové aplikace. Po nasazení je možné toto oprávnění odebrat.
V Azure Portal přejděte do skupiny prostředků použité k registraci serverů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.
Projděte si karty a přiřaďte uživateli, který nasazuje cluster, následující oprávnění:
- Key Vault správce přístupu k datům: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
- Key Vault správce tajných kódů: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů do trezoru klíčů používaného k nasazení.
- Key Vault Přispěvatel: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů použitého k nasazení.
- Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.
V pravém podokně přejděte na Přiřazení rolí. Ověřte, že uživatel nasazení má všechny nakonfigurované role.

Další kroky

Po nastavení prvního serveru v clusteru jste připraveni k nasazení pomocí Azure Portal:

Nasazení pomocí Azure Portal.

Share via