Připojení Azure Stack HCl k Azure

  • Článek
  • 13 min ke čtení

Platí pro: Azure Stack HCI, verze 21H2 a 20H2

Teď, když jste nasadili operační systém Azure Stack HCI a vytvořili cluster, musíte cluster zaregistrovat v Azure. Azure Stack HCI se doručuje jako služba Azure a musí se zaregistrovat do 30 dnů od instalace podle podmínek pro Azure Online Services.

Toto téma vysvětluje, jak zaregistrovat Azure Stack cluster HCI pomocí Azure pro monitorování, podporu, fakturaci a hybridní služby. Po registraci se vytvoří prostředek Azure Resource Manager, který bude představovat každý místní cluster s Azure Stack HCI, a efektivně rozšiřuje rovinu správy Azure na Azure Stack HCI. Informace se pravidelně synchronizují mezi prostředkem Azure a místními clustery. Registrace Azure je nativní funkcí operačního systému Azure Stack HCI, takže není potřeba registrovat žádného agenta.

Důležité

Vyžaduje se registrace v Azure a váš cluster není plně podporovaný, dokud nebude vaše registrace aktivní. Pokud jste cluster nezaregistrovali v Azure po nasazení nebo pokud je váš cluster registrovaný, ale nepřipojil se k Azure po dobu delší než 30 dnů, systém nedovolí vytvořit nebo přidat nové virtuální počítače. Pokud k tomu dojde, při pokusu o vytvoření virtuálních počítačů se zobrazí následující chybová zpráva:

Při konfiguraci role virtuálního počítače pro VMName došlo k chybě. Úloha selhala. Při otevírání clusterovaných rolí virtuálního počítače vmname došlo k chybě. Služba, ke které se pokoušíte získat přístup, má licenci na konkrétní počet připojení. V tuto chvíli není možné ve službě provést žádná další připojení, protože už existuje tolik připojení, kolik jich služba může přijmout.

Řešením je umožnit odchozí připojení k Azure a ujistit se, že je váš cluster registrovaný, jak je popsáno v tomto tématu.

Předpoklady pro registraci clusteru

Dokud nevytvoříte cluster Azure Stack HCI, nebudete moci zaregistrovat cluster s Azure. Aby byl cluster podporovaný, musí být uzly clusteru fyzickými servery. Virtuální počítače lze použít k testování.

pro nejjednodušší možnosti registrace použijte správce Azure AD (vlastníka nebo správce přístupu uživatelů s rolí přispěvatele) a dokončete proces registrace pomocí centra pro správu Windows nebo powershellu.

Důležité

V Azure Čína je teď dostupná Azure Stack HCI. pokud chcete zaregistrovat Azure Stack cluster HCI v Azure čína, ujistěte se, že používáte centrum pro správu Windows verze 2103,2 nebo novější. Cluster můžete také zaregistrovat pomocí prostředí PowerShell.

Azure Stack HCL je teď k dispozici ve verzi Preview v Azure Government. registrace vyžaduje centrum pro správu Windows verze 2110 nebo novější.

Před registrací clusteru se ujistěte, že každý server v clusteru je v provozu a že jsou splněné následující požadavky.

centrum pro správu Windows musí být zaregistrované v Azure.

pokud plánujete zaregistrovat Azure Stack clusteru HCI pomocí centra pro správu Windows, musíte nejdřív zaregistrovat Windows centrum pro správu s Azure a zadat ID Azure Active Directory (tenant). ujistěte se, že počítač, na kterém je spuštěno centrum pro správu Windows, je připojen ke stejné doméně služby Active Directory, ve které vytvoříte cluster nebo důvěryhodnou doménu.

Přístup k Internetu a porty brány firewall

Azure Stack HCI se musí pravidelně připojovat k veřejnému cloudu Azure. Pokud je odchozí připojení omezené externí podnikovou bránou firewall nebo proxy server, musí být nakonfigurovaná tak, aby umožňovala odchozí přístup k portu 443 (HTTPS) na omezeném počtu dobře známých IP adres Azure. Informace o tom, jak připravit brány firewall a nastavit proxy server, najdete v tématu požadavky na bránu firewall pro Azure Stack HCI.

Poznámka

Proces registrace se pokusí kontaktovat Galerie prostředí PowerShell a ověří, zda máte nejnovější verzi nezbytných modulů prostředí PowerShell, například AZ a AzureAD. I když je Galerie prostředí PowerShell hostována v Azure, aktuálně nemá značku služby. Pokud nemůžete spustit výše uvedenou rutinu z počítače pro správu, který má odchozí přístup k Internetu, doporučujeme stáhnout moduly a ručně je přenést do uzlu clusteru, kde budete Register-AzStackHCI příkaz spouštět. Případně můžete moduly nainstalovat v odpojeném scénáři.

Předplatné Azure a oprávnění

Pokud ještě nemáte účet Azure, vytvořte ho.

Můžete použít existující předplatné libovolného typu:

  • bezplatný účet s kredity Azure pro studenty nebo Visual Studio předplatitele
  • Předplatné s průběžnými platbami pomocí platební karty
  • předplatné získané prostřednictvím smlouva Enterprise (EA)
  • předplatné získané prostřednictvím programu Cloud Solution Provider (CSP)

Uživatel, který registruje cluster, musí mít oprávnění k předplatnému Azure:

  • Registrace poskytovatele prostředků
  • Vytváření, získávání a odstraňování prostředků Azure a skupin prostředků

Pokud je vaše předplatné Azure prostřednictvím programu EA nebo CSP, nejjednodušší způsob je požádat správce předplatného Azure, aby vašemu předplatnému přiřadil předdefinovanou roli "vlastník" nebo "Správce přístupu uživatele" spolu s rolí Přispěvatel. Někteří správci však mohou preferovat více omezující možnosti. V takovém případě je možné vytvořit vlastní roli Azure specifickou pro Azure Stack registraci HCI pomocí následujících kroků:

  1. Vytvořte soubor JSON s názvem customHCIRole. JSON s následujícím obsahem. Ujistěte se, že jste změnili <subscriptionID> ID vašeho předplatného Azure. Pokud chcete získat ID předplatného, přejděte na Portal.Azure.com, přejděte na odběry a zkopírujte nebo vložte své ID ze seznamu.

    {
  "Name": "Azure Stack HCI registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Resources/subscriptions/resourceGroups/delete",
    "Microsoft.AzureStackHCI/register/action",
    "Microsoft.AzureStackHCI/Unregister/Action",
    "Microsoft.AzureStackHCI/clusters/*",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.HybridCompute/register/action",
    "Microsoft.GuestConfiguration/register/action"
  ],
  "NotActions": [
  ],
"AssignableScopes": [
    "/subscriptions/<subscriptionId>"
  ]
}

  2. Vytvořte vlastní roli:

    New-AzRoleDefinition -InputFile <path to customHCIRole.json>

  3. Přiřaďte uživateli vlastní roli:

    $user = get-AzAdUser -DisplayName <userdisplayname>
$role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>

Azure Active Directory oprávnění

k dokončení procesu registrace budete také potřebovat příslušná Azure Active Directory oprávnění. Pokud je ještě nemáte, požádejte správce Azure AD, aby vám udělil souhlas nebo vám oprávnění delegovat. Další informace najdete v tématu Správa registrace Azure .

Dostupnost v oblastech

Služba Azure Stack HCI se používá pro registraci, fakturaci a správu. V současné době se podporuje v následujících oblastech. Tyto veřejné oblasti podporují zeměpisnou polohu po celém světě, pro clustery nasazené kdekoli na světě:

  • East US
  • West Europe
  • Southeast Asia

Tato oblast podporuje Azure Čína:

  • Čína – východ 2

Tato oblast podporuje Azure Government:

  • USA (Gov) – Virginia

registrace clusteru pomocí centra pro správu Windows

nejjednodušší způsob, jak zaregistrovat Azure Stack clusteru HCI, je použití centra pro správu Windows. mějte na paměti, že uživatel musí mít oprávnění Azure Active Directory, nebo se proces registrace nedokončí. místo toho se ukončí a ponechá schválení správcem, a až se udělí oprávnění, bude muset znovu spustit průvodce registrací.

Pokud používáte Azure Stack HCI, verze 21H2, uživatel musí mít přiřazenou roli vlastníka Azure nebo správce přístupu uživatele nebo se mu zobrazí chybová zpráva: "Nepodařilo se přiřadit požadované role pro integraci Azure ARC". Uživatelé, kteří nejsou přiřazeni k těmto rolím, mohou i nadále Registrovat cluster pomocí prostředí PowerShell, ale musí ručně zakázat integraci Azure ARC.

Upozornění

pokud chcete zaregistrovat Azure Stack cluster HCI v Azure čína, ujistěte se, že používáte centrum pro správu Windows verze 2103,2 nebo novější.

Azure Stack HCL je teď k dispozici ve verzi Preview v Azure Government. registrace vyžaduje centrum pro správu Windows verze 2110 nebo novější.

  1. než začnete s registrací, musíte nejdřív zaregistrovat Windows centrum pro správu s azure a přihlašovat se k centru pro správu Windows pomocí svého účtu Azure.

    Důležité

    při registraci centra pro správu Windows pomocí Azure je důležité použít stejné ID Azure Active Directory (tenant), které plánujete použít pro registraci clusteru. ID tenanta Azure AD představuje konkrétní instanci služby Azure AD obsahující účty a skupiny, zatímco ID předplatného Azure představuje smlouvu k používání prostředků Azure, pro které se účtují poplatky. ID tenanta zjistíte tak, že přejdete na portal.azure.com a vyberete Azure Active Directory. Vaše ID tenanta se zobrazí v části informace o tenantovi. Pokud chcete získat ID předplatného Azure, přejděte na odběry a zkopírujte nebo vložte své ID ze seznamu.

  2. otevřete centrum pro správu Windows a v levém dolním rohu nabídky nástroje vyberte Nastavení . pak vyberte Azure Stack registraci HCI z dolní části nabídky Nastavení . Pokud váš cluster ještě není zaregistrovaný v Azure, pak stav registrace nebude zaregistrovaný. Pokračujte kliknutím na tlačítko registr . můžete také vybrat možnost zaregistrovat tento cluster z řídicího panelu centra pro správu Windows.

    Poznámka

    pokud jste v kroku 1 nezaregistrovali centrum pro správu Windows, budete vyzváni k tomu, abyste to provedli nyní. místo průvodce registrací clusteru se zobrazí průvodce registrací centra pro správu Windows.

  3. Zadejte ID předplatného Azure, do kterého chcete zaregistrovat cluster. Pokud chcete získat ID vašeho předplatného Azure, přejděte na Portal.Azure.com, přejděte na odběry a ZKOPÍRUJTE nebo vložte své ID ze seznamu. Pokud vám správce Azure AD udělil skupinu prostředků Azure, kterou chcete použít, vyberte ji v rozevírací nabídce. v opačném případě vyberte vytvořit novou. V rozevírací nabídce vyberte oblast Azure a klikněte na zaregistrovat.

    Průvodce registrací clusteru se zeptá na ID předplatného Azure, skupinu prostředků a oblast.

  4. pokud máte dostatečná oprávnění Azure Active Directory, pracovní postup registrace clusteru by teď měl pokračovat v dokončování a váš cluster by měl být schopný zobrazit v Azure Portal. pokud se zobrazí zpráva, že potřebujete další Azure Active Directory oprávnění, pokračujte krokem 5.

  5. pokud nemáte dostatečná Azure Active Directory oprávnění, budete muset požádat správce Azure AD, aby aplikaci udělil oprávnění. Měl by se zobrazit odkaz na Azure Portal, který odkazuje na ID aplikace konkrétního clusteru, jak ukazuje následující snímek obrazovky. Zkopírujte tento odkaz a poskytněte ho Správci služby Azure AD. Pokud chcete zjistit, jestli je souhlas udělený, vyberte Zobrazit souhlas ve službě Azure AD. Po udělení souhlasu znovu spusťte Průvodce počínaje krokem 2 výše.

    pokud k registraci clusteru potřebujete další Azure Active Directory oprávnění, budete mít odkaz, který vám poskytne správce Azure AD.

Registrace clusteru pomocí prostředí PowerShell

Pomocí následujícího postupu můžete zaregistrovat Azure Stack clusteru HCI s Azure pomocí počítače pro správu.

Důležité

Pouze uživatelé Azure s rolemi správce vlastníka nebo přístupu uživatelů mohou registrovat Azure Stack clusteru HCI pomocí Integrace Azure ARC.

  1. Na počítač pro správu nainstalujte požadované rutiny. Pokud používáte Azure Stack HCL, verze 20H2 a váš cluster byl nasazen před 10. prosince 2020, před pokusem o registraci v Azure se ujistěte, že jste na každý server v clusteru použili 23. listopadu 2020 Preview Update (KB4586852).

    Install-Module -Name Az.StackHCI

    Poznámka

    • může se zobrazit výzva, například chcete, aby PowerShellGet nainstaloval a importoval poskytovatele NuGet? do kterého byste měli odpovědět ano (Y).
    • Může se vám zobrazit výzva, že chcete nainstalovat moduly z ' PSGallery '? na které byste měli odpovědět Ano (Y).

  2. Proveďte registraci pomocí názvu libovolného serveru v clusteru. Pokud chcete získat ID vašeho předplatného Azure, přejděte na Portal.Azure.com, přejděte na odběry a ZKOPÍRUJTE nebo vložte své ID ze seznamu.

    Důležité

    Pokud zaregistrujete Azure Stack HCI v Azure Čína, spusťte Register-AzStackHCI rutinu s těmito dalšími parametry:

    -Environment AzureChinaCloud-region "ChinaEast2"

    Pokud registrujete v Azure Government, použijte tyto parametry:

    -Environment AzureUSGovernment-region "USGovVirginia"

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1

    Tato syntaxe registruje cluster (z kterého je Server1 členem), jako aktuální uživatel s výchozí oblastí Azure a cloudovým prostředím, a s využitím inteligentních výchozích názvů pro prostředek Azure a skupinu prostředků. -Region-ResourceName K zadání těchto hodnot můžete také přidat volitelné parametry,, -TenantId a -ResourceGroupName pro tento příkaz.

    Poznámka

    Pokud používáte Azure Stack HCI, verze 21H2, spuštění Register-AzStackHCI rutiny ve výchozím nastavení Register-AzStackHCI na každém serveru v clusteru a uživatel, který ho spouští, musí být vlastníkem Azure nebo správcem přístupu uživatele. Pokud nechcete, aby byly servery povolené, nebo nemáte správné role, předejte tento další parametr: -EnableAzureArcServer:$false

    mějte na paměti, že uživatel, který spouští Register-AzStackHCI rutinu, musí mít Register-AzStackHCI, jinak se proces registrace nedokončí. místo toho se ukončí registrace, která čeká na schválení správcem. Jakmile budou udělena oprávnění, stačí znovu spustit Register-AzStackHCI úplnou registraci.

  3. Ověřování pomocí Azure

    K dokončení procesu registrace se musíte ověřit (přihlásit) pomocí účtu Azure. Aby bylo možné pokračovat v registraci, musí mít váš účet přístup k předplatnému Azure, které jste zadali v kroku 2 výše. Zkopírujte kód, který jste zadali, přejděte na microsoft.com/devicelogin na jiném zařízení (třeba na počítač nebo na telefon), zadejte kód a přihlaste se tam. Pracovní postup registrace detekuje, že jste se přihlásili, a bude pokračovat k dokončení. Váš cluster by se pak měl zobrazit na webu Azure Portal.

Povoluje se integrace ARC Azure.

Pokud jste zákazníkem ve verzi Preview a zaregistrovali jste cluster kanálu ve verzi Preview s Azure poprvé do 15. června 2021, každý server v clusteru bude ve výchozím nastavení povolený jako Azure ARC, pokud uživatel, který registruje, má role vlastníka Azure nebo správce přístupu uživatelů. V opačném případě budete muset provést následující kroky a povolit integraci Azure ARC na serverech.

Poznámka

Integrace s obloukem Azure je dostupná jenom v sestavách Azure Stack HCL, verze 21H2 a Preview. Není k dispozici pro Azure Stack HCL, verze 20H2.

  1. Nainstalujte nejnovější verzi Az.StackHCI modulu na počítač pro správu:

    Install-Module -Name Az.StackHCI

  2. Znovu spusťte Register-AzStackHCI rutinu a zadejte ID předplatného Azure, které musí být stejné ID, do kterého byl cluster původně zaregistrován. -ComputerNameParametr může být název libovolného serveru v clusteru. Tento krok povolí integraci Azure ARC na každém serveru v clusteru. Nebude to mít vliv na aktuální registraci clusteru v Azure a nemusíte nejdřív zrušit registraci clusteru.

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1

    Důležité

    Pokud byl cluster původně registrován pomocí -Region , nebo se -ResourceName-ResourceGroupName liší od výchozího nastavení, bude nutné zadat stejné parametry a hodnoty zde. Při spuštění Get-AzureStackHCI se zobrazí tyto hodnoty.

  3. Pokud integrace se službou Azure ARC neproběhne úspěšně, servery budou potřebovat komunikovat prostřednictvím proxy server. Pokud to chcete vyřešit, nastavte proměnnou prostředí proxy server spuštěním následujícího příkazu PowerShellu jako správce na každém serveru v clusteru:

    [Environment]::SetEnvironmentVariable("https_proxy", "http://{proxy-url}:{proxy-port}", "Machine")
$env:https_proxy = [System.Environment]::GetEnvironmentVariable("https_proxy","Machine")
# For the changes to take effect, the agent service needs to be restarted after the proxy environment variable is set.
Restart-Service -Name himds

    Pak znovu zaregistrujte Azure Stack clusteru HCI.

Řešení potíží

Řešení potíží s Azure Stackmi problémy s registrací rozhraní HCI vyžaduje, aby se na každém serveru v clusteru prohledaly protokoly registrace PowerShellu a hcisvc protokoly ladění.

Shromáždit protokoly registrace prostředí PowerShell

Když Register-AzStackHCIUnregister-AzStackHCI se spustí rutiny a, soubory protokolu s názvem Register-AzStackHCI a Unregister-AzStackHCI se vytvoří pro každý pokus. Tyto soubory se vytvoří v pracovním adresáři relace prostředí PowerShell, ve kterém jsou rutiny spuštěné. Protokoly ladění nejsou ve výchozím nastavení zahrnuty. Pokud dojde k problému, který potřebuje další protokoly ladění, nastavte předvolby ladění tak, aby pokračovala spuštěním následující rutiny před spuštěním příkazu nebo Unregister-AzStackHCI .

$DebugPreference = 'Continue'

Shromažďovat místní protokoly hcisvc

Pokud chcete povolit protokoly ladění pro hcisvc, spusťte následující příkaz v PowerShellu na každém serveru v clusteru:

wevtutil.exe sl /q /e:true Microsoft-AzureStack-HCI/Debug

Postup získání protokolů:

Get-WinEvent -Logname Microsoft-AzureStack-HCI/Debug -Oldest -ErrorAction Ignore

Běžné problémy s registrací

Během registrace musí být každý server v clusteru spuštěný s odchozím připojením k Internetu do Azure. Register-AzStackHCIRutina mluví se všemi servery v clusteru, aby mohla zřídit certifikáty pro každý z nich. Každý server použije svůj certifikát k zajištění volání rozhraní API do služby HCI v cloudu za účelem ověření registrace.

Pokud se registrace nezdařila, může se zobrazit následující zpráva:

Nepovedlo se zaregistrovat. Nejde vygenerovat certifikát podepsaný svým držitelem na uzlech {Uzel1, Uzel2}. Nepovedlo se nastavit a ověřit registrační certifikát na uzlech {Uzel1, Uzel2}.

Pokud se za částí chybové zprávy nepovedlo vygenerovat certifikát podepsaný svým držitelem na uzlech, pak na těchto serverech nemůžeme vygenerovat certifikát. Řešení potíží:

  1. Ověřte, že jsou všechny servery uvedené v předchozí zprávě v provozu. Stav hcisvc můžete zjistit spuštěním sc.exe query hcisvc a spuštěním v případě potřeby start-service hcisvc .

  2. Ověřte, že každý server uvedený v chybové zprávě má připojení k počítači, na kterém Register-AzStackHCI je rutina spuštěná. Ověřte to spuštěním následující rutiny z počítače, na kterém Register-AzStackHCI je spuštěný, pomocí nástroje New-PSSession se připojte ke každému serveru v clusteru a ujistěte se, že funguje.

    New-PSSession -ComputerName {failing nodes}

Pokud se za částí chybové zprávy "nešlo nastavit a ověřit registrační certifikát na uzlech" názvy uzlů, pak jsme dokázali vygenerovat certifikát na serverech, ale servery nedokázaly úspěšně volat rozhraní API pro cloudovou službu HCI. Řešení potíží:

  1. ujistěte se, že má každý server požadované připojení k internetu, aby mohl komunikovat s Azure Stack cloudové služby HCI a další požadované služby Azure, jako je Azure Active Directory a že není blokováno branami firewall. Viz požadavky na bránu firewall pro Azure Stack HCI.

  2. Zkuste spustit Test-AzStackHCIConnection rutinu a ujistěte se, že je úspěšná. Tato rutina vyvolá koncový bod stavu cloudových služeb HCI pro otestování připojení.

  3. Podívejte se na protokoly ladění hcisvc na všech uzlech uvedených v chybové zprávě.

    • Je možné, že operace ExecuteWithRetry Operation AADTokenFetch selhala s chybou, která se dá opakovat, a to několikrát, než se chyba nepovede. operace ExecuteWithRetry AADTokenFetch selhala po všech opakovaných pokusech nebo ExecuteWithRetry operace AADTokenFetch v operaci opakovat.
    • pokud dojde k selhání operace ExecuteWithRetry operation AADTokenFetch po všech opakovaných pokusech v protokolech, nedokázali jsme z této služby načíst token Azure Active Directory ani po všech opakovaných pokusech. bude k dispozici přidružená výjimka AAD, která se zaprotokoluje s touto zprávou.
    • Pokud se zobrazí zpráva "AADSTS700027: kontrolní výraz klienta obsahuje neplatný podpis. [Důvod – platnost klíče vypršela. Kryptografický otisk klíče používaného klientem {SomeThumbprint}, nalezen klíč "Start = 06/29/2021 21:13:15, end = 06/29/2023 21:13:15" ", jedná se o problém s nastavením času na serveru. Ověřte čas UTC na všech serverech spuštěním [System.DateTime]::UtcNow prostředí PowerShell a porovnejte ho se skutečným časem UTC. Pokud není čas správný, nastavte na serverech správný čas a pak zkuste registraci zopakovat.

Další kroky

Postup při provádění další úlohy správy související s tímto článkem najdete v následujících tématech:

Ověření clusteru Azure Stack HCI