Správa registrace clusteru v Azure
Platí pro: Azure Stack HCI, verze 21H2 a 20H2
Po vytvoření clusteru Azure Stack HCI musíte zaregistrovat centrum Windows Admin Center v Azure a pak ho zaregistrovat v Azure. Po registraci clusteru pravidelně synchronizuje informace mezi místním clusterem a cloudem.
Tento článek vysvětluje, jak zobrazit stav registrace, udělit Azure Active Directory (Azure AD) a zrušit registraci clusteru, až budete připravení ho vyřazení z provozu.
Zobrazení stavu registrace v Windows pro správu
Když se připojíte ke clusteru pomocí Windows Admin Center, zobrazí se řídicí panel, který zobrazuje stav připojení Azure. Připojení znamená, že cluster je už zaregistrovaný v Azure a během posledního dne se úspěšně synchronizoval s cloudem.
Další informace získáte tak, že Nastavení v dolní části nabídky Nástroje na levé straně a pak vyberete Azure Stack HCI registraci.
Zobrazení stavu registrace v PowerShellu
Pokud chcete zobrazit stav registrace pomocí Windows PowerShell, použijte Get-AzureStackHCI rutinu PowerShellu a vlastnosti , a ClusterStatusRegistrationStatusConnectionStatus .
Například po instalaci operačního Azure Stack HCI, ale před vytvořením nebo spojením clusteru se ve vlastnosti ClusterStatusNotYet zobrazí stav:
Po vytvoření clusteru se RegistrationStatus zobrazí pouze NotYet stav:
Cluster clusteru Azure Stack HCI zaregistrovat do 30 dnů od instalace, jak je definováno v azure Podmínky pro služby online. Pokud jste cluster po 30 dnech nevytácel nebo ne připojili, ClusterStatus zobrazí se OutOfPolicy . Pokud jste cluster po 30 dnech nezaregistrovat, RegistrationStatus zobrazí OutOfPolicy se .
Po registraci clusteru uvidíte čas ConnectionStatusLastConnected a . Čas LastConnected je obvykle do posledního dne, pokud cluster není dočasně odpojen od internetu. Cluster Azure Stack HCI může pracovat plně offline po dobu až 30 po sobě jdoucích dnů.
Pokud překročíte maximální dobu offline operace, ConnectionStatus zobrazí se OutOfPolicy .
Přiřazení oprávnění aplikace Azure AD
Kromě vytvoření prostředku Azure ve vašem předplatném se při Azure Stack HCI vytvoří identita aplikace ve vašem tenantovi Azure AD. Tato identita je koncepčně podobná uživateli. Tato identita aplikace zdědí název clusteru. Tato identita podle potřeby jedná jménem cloudové služby Azure Stack HCI v rámci vašeho předplatného.
Pokud je uživatel, který cluster registruje, správcem Azure AD nebo má dostatečná oprávnění, dojde k tomu automaticky. Nevyžaduje se žádná další akce. V opačném případě možná budete k dokončení registrace potřebovat schválení od správce Azure AD. Správce může aplikaci buď výslovně udělit souhlas, nebo může delegovat oprávnění, abyste mohli udělit souhlas aplikaci:
Pokud chcete udělit souhlas, otevřete portal.azure.com a přihlaste se pomocí účtu Azure, který má dostatečná oprávnění v Azure AD. Přejděte na Azure Active DirectoryRegistrace aplikací. Vyberte identitu aplikace pojmenovanou podle vašeho clusteru a přejděte na Oprávnění rozhraní API.
Pro obecnou dostupnost (GA) Azure Stack HCI aplikace vyžaduje následující oprávnění.
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite
Hledání schválení od správce Azure AD může nějakou dobu trvat, takže rutina se ukončí a registrace se nechá Register-AzStackHCIpending admin consent ve stavu (částečně dokončeno). Po udělení souhlasu znovu spusťte a Register-AzStackHCI dokončete registraci.
Přiřazení uživatelských oprávnění Azure AD
Uživatel, který Register-AzStackHCI běží, potřebuje oprávnění Azure AD pro:
- Vytvořit (
New-Remove-AzureADApplication), získat ( ), nastavit ( ) nebo odebrat ( ) aplikace AzureGet-Remove-AzureADApplicationSet-Remove-AzureADApplicationRemove-AzureADApplicationAD. - Vytvořte (
New-Get-AzureADServicePrincipal) nebo získejte (Get-AzureADServicePrincipal) objekt služby Azure AD. - Správa tajných kódů aplikací Active Directory (
New-Remove-AzureADApplicationKeyCredentialGet-Remove-AzureADApplicationKeyCredential, neboRemove-AzureADApplicationKeyCredential). - Udělte souhlas s používáním konkrétních oprávnění aplikace (
New-AzureADApplicationKeyCredentialGet-AzureADApplicationKeyCredential, neboRemove-AzureADServiceAppRoleAssignments).
Existují tři způsoby, jak tato oprávnění přiřadit.
Možnost 1: Povolit registraci aplikací libovolnému uživateli
V Azure Active Directory přejděte na Nastavení uživateleRegistrace aplikací. V části Uživatelé mohou registrovat aplikacevyberte Ano.
Tato možnost umožňuje registraci aplikací pro libovolného uživatele. Uživatel ale stále potřebuje, aby správce Azure AD při registraci clusteru uděll souhlas.
Poznámka
Tato možnost je nastavení na úrovni tenanta, takže nemusí být vhodná pro velké podnikové zákazníky.
Možnost 2: Přiřazení role Správa cloudových aplikací
Přiřaďte uživateli předdefinovou roli Správa cloudových aplikací Azure AD. Toto přiřazení umožní uživateli registrovat a zrušením registrace clusterů bez nutnosti dalšího souhlasu správce Active Directory.
Možnost 3: Vytvoření vlastní role Active Directory a zásad souhlasu
Nejvíce omezující možností je vytvořit vlastní roli Active Directory s vlastní zásadou souhlasu, která deleguje souhlas správce v celém tenantovi pro požadovaná oprávnění Azure Stack HCI službě. Když uživatelům přiřadíte tuto vlastní roli, mohou se zaregistrovat a udělit souhlas bez nutnosti dalšího souhlasu správce Active Directory.
Poznámka
Tato možnost vyžaduje Azure AD Premium licenci. Používá vlastní role Active Directory a vlastní funkce zásad souhlasu.
Připojte se k Azure AD:
Connect-AzureADVytvoření vlastní zásady souhlasu:
New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"Přidejte podmínku, která zahrnuje požadovaná oprávnění aplikace pro službu Azure Stack HCI, která nese ID aplikace 1322e676-dee7-41ee-a874-ac923822781c.
Poznámka
Následující oprávnění jsou pro verzi GA Azure Stack HCI.
New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"Udělte oprávnění, která Azure Stack HCI registraci, a zapište si vlastní zásady souhlasu, které jste vytvořili v kroku 2:
$displayName = "Azure Stack HCI Registration Administrator " $description = "Custom AD role to allow registering Azure Stack HCI " $templateId = (New-Guid).Guid $allowedResourceAction = @( "microsoft.directory/applications/createAsOwner", "microsoft.directory/applications/delete", "microsoft.directory/applications/standard/read", "microsoft.directory/applications/credentials/update", "microsoft.directory/applications/permissions/update", "microsoft.directory/servicePrincipals/appRoleAssignedTo/update", "microsoft.directory/servicePrincipals/appRoleAssignedTo/read", "microsoft.directory/servicePrincipals/appRoleAssignments/read", "microsoft.directory/servicePrincipals/createAsOwner", "microsoft.directory/servicePrincipals/credentials/update", "microsoft.directory/servicePrincipals/permissions/update", "microsoft.directory/servicePrincipals/standard/read", "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy" ) $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}Vytvořte novou vlastní roli Active Directory:
$customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $truePodle těchto pokynů přiřaďte novou vlastní roli Active Directory uživateli, který zaregistruje cluster Azure Stack HCI Azure.
Zrušení registrace Azure Stack HCI pomocí Windows Admin Center
Až budete připraveni vyřazení clusteru Azure Stack HCI z provozu, připojte se ke clusteru pomocí centra Windows pro správu. Vyberte Nastavení v dolní části nabídky Nástroje na levé straně. Pak vyberte Azure Stack HCI registraci avyberte tlačítko Zrušit registraci.
Proces zrušení registrace automaticky vyčistí prostředek Azure, který představuje cluster, skupinu prostředků Azure (pokud se skupina během registrace vytvářela a neobsahuje žádné jiné prostředky) a identitu aplikace Azure AD. Toto vyčištění zastaví veškeré funkce monitorování, podpory a fakturace prostřednictvím Azure Arc.
Poznámka
Zrušení registrace clusteru Azure Stack HCI vyžaduje správce Azure AD nebo jiného uživatele, který má dostatečná oprávnění.
Pokud je vaše brána centra Windows Admin Center zaregistrovaná k jinému ID Azure Active Directory (tenanta), než se použilo k počáteční registraci clusteru, může dojít k problémům při pokusu o zrušení registrace clusteru pomocí Windows Admin Center. Pokud k tomu dojde, použijte následující pokyny k PowerShellu.
Zrušení registrace Azure Stack HCI pomocí PowerShellu
Pomocí rutiny můžete také Unregister-AzStackHCI zrušit registraci clusteru Azure Stack HCI clusteru. Rutinu můžete spustit na uzlu clusteru nebo v počítači pro správu.
Možná budete muset nainstalovat nejnovější verzi Az.StackHCI modulu. Pokud se zobrazí výzva Are you sure you want to install the modules from 'PSGallery'? , odpovězte ano ( Y ).
Install-Module -Name Az.StackHCI
Zrušení registrace z uzlu clusteru
Pokud rutinu používáte Unregister-AzStackHCI na serveru v clusteru, použijte následující syntaxi. Zadejte ID předplatného Azure a název prostředku clusteru Azure Stack HCI, u kterého chcete zrušit registraci.
Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001
Zobrazí se výzva k microsoft.com/devicelogin na jiném zařízení (například na počítači nebo telefonu). Zadejte kód a přihlaste se tam, abyste se ověřili v Azure.
Zrušení registrace z počítače pro správu
Pokud rutinu používáte z počítače pro správu, musíte také zadat název serveru v clusteru:
Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001
Zobrazí se interaktivní přihlašovací okno Azure. Přesné výzvy, které se zobrazí, se budou lišit v závislosti na nastavení zabezpečení (například dvojfaktorové ověřování). Podle pokynů se přihlaste.
Vyčištění po clusteru, který není správně odregistrovaný
Pokud uživatel zničí Azure Stack clusteru HCI bez zrušení jeho registrace, jako je třeba obnovení imagí hostitelských serverů nebo odstranění uzlů virtuálních clusterů, pak budou artefakty v Azure zůstat. Tyto artefakty jsou neškodné a neúčtují se ani nepoužívají prostředky, ale můžou Azure Portal. Pokud je chcete vyčistit, můžete je ručně odstranit.
Pokud chcete odstranit prostředek Azure Stack HCL, v Azure Portal vyberte jeho stránku a na panelu akcí v horní části vyberte Odstranit . Zadejte název prostředku pro potvrzení odstranění a pak vyberte Odstranit.
Pokud chcete odstranit identitu aplikace Azure AD, přečtěte si v části aplikace Azure ADregistracevšech aplikací. Vyberte možnost Odstranit a potvrdit.
Pomocí prostředí PowerShell můžete také odstranit prostředek Azure Stack HCI:
Remove-AzResource -ResourceId "HCI001"
Je možné, že budete muset nainstalovat Az.Resources modul:
Install-Module -Name Az.Resources
Pokud se skupina prostředků vytvořila během registrace a neobsahuje žádné další prostředky, můžete ji odstranit:
Remove-AzResourceGroup -Name "HCI001-rg"
Další kroky
Související informace najdete v těchto tématech: