Registrieren Ihrer Server und Zuweisen von Berechtigungen für azure Stack HCI, Version 23H2-Bereitstellung

Artikel
04/22/2024

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre Azure Stack HCI-Server registrieren und dann die erforderlichen Berechtigungen zum Bereitstellen eines Azure Stack HCI-Clusters der Version 23H2 einrichten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben:

Erfüllen Sie die Voraussetzungen und schließen Sie die Checkliste für die Bereitstellung ab.
Bereiten Sie Ihre Active Directory-Umgebung vor.
Installieren Sie das Betriebssystem Azure Stack HCI, Version 23H2 , auf jedem Server.
Registrieren Sie Ihr Abonnement bei den erforderlichen Ressourcenanbietern (RPs). Sie können entweder den Azure-Portal oder den Azure PowerShell verwenden, um sich zu registrieren. Sie müssen Besitzer oder Mitwirkender für Ihr Abonnement sein, um die folgenden Ressourcen-RPs registrieren zu können:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Hinweis

Es wird davon ausgegangen, dass die Person, die das Azure-Abonnement bei den Ressourcenanbietern registriert, eine andere Person ist als die Person, die die Azure Stack HCI-Server bei Arc registriert.
Wenn Sie die Server als Arc-Ressourcen registrieren, stellen Sie sicher, dass Sie über die folgenden Berechtigungen für die Ressourcengruppe verfügen, in der die Server bereitgestellt wurden:
- Onboarding von Azure Connected Machine
- Ressourcenadministrator für Azure Connected Machine
Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob Sie über diese Rollen verfügen:
1. Wechseln Sie zu dem Abonnement, das Sie für die Azure Stack HCI-Bereitstellung verwenden.
2. Wechseln Sie zu der Ressourcengruppe, in der Sie die Server registrieren möchten.
3. Wechseln Sie im linken Bereich zu Access Control (IAM).
4. Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Stellen Sie sicher, dass Ihnen die Rollen Azure Connected Machine Onboarding und Azure Connected Machine Resource Administrator zugewiesen sind.

Registrieren von Servern bei Azure Arc

Wichtig

Führen Sie diese Schritte auf jedem Azure Stack HCI-Server aus, den Sie clustern möchten.

Installieren Sie das Arc-Registrierungsskript aus PSGallery.

PowerShell
Ausgabe

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Hier sehen Sie eine Beispielausgabe der Installation:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Legen Sie die Parameter fest. Das Skript akzeptiert die folgenden Parameter:

Parameter	BESCHREIBUNG
`SubscriptionID`	Die ID des Abonnements, das zum Registrieren Ihrer Server bei Azure Arc verwendet wird.
`TenantID`	Die Mandanten-ID, die zum Registrieren Ihrer Server bei Azure Arc verwendet wird. Wechseln Sie zu Ihrem Microsoft Entra ID, und kopieren Sie die Eigenschaft mandanten-ID.
`ResourceGroup`	Die Ressourcengruppe, die für die Arc-Registrierung der Server vorab generiert wurde. Wenn keine Ressourcengruppe vorhanden ist, wird eine Ressourcengruppe erstellt.
`Region`	Die für die Registrierung verwendete Azure-Region. Weitere Informationen finden Sie unter Unterstützte Regionen , die verwendet werden können.
`AccountID`	Der Benutzer, der den Cluster registriert und bereitstellt.
`DeviceCode`	Der Gerätecode, der in der Konsole unter `https://microsoft.com/devicelogin` und angezeigt wird, wird für die Anmeldung beim Gerät verwendet.

PowerShell
Ausgabe

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Hier sehen Sie eine Beispielausgabe der Parameter:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Stellen Sie eine Verbindung mit Ihrem Azure-Konto her, und legen Sie das Abonnement fest. Sie müssen den Browser auf dem Client öffnen, den Sie zum Herstellen einer Verbindung mit dem Server verwenden, und diese Seite öffnen: https://microsoft.com/devicelogin und den bereitgestellten Code in die Azure CLI-Ausgabe eingeben, um sich zu authentifizieren. Rufen Sie das Zugriffstoken und die Konto-ID für die Registrierung ab.

PowerShell
Ausgabe

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Hier sehen Sie eine Beispielausgabe zum Festlegen des Abonnements und der Authentifizierung:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Führen Sie schließlich das Arc-Registrierungsskript aus. Die Skriptausführung kann einige Minuten dauern.

PowerShell
Ausgabe

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Wenn Sie über einen Proxyserver auf das Internet zugreifen, müssen Sie den -proxy Parameter übergeben und den Proxyserver wie http://<Proxy server FQDN or IP address>:Port beim Ausführen des Skripts angeben.

Hier sehen Sie eine Beispielausgabe einer erfolgreichen Registrierung Ihrer Server:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Nachdem das Skript auf allen Servern erfolgreich abgeschlossen wurde, überprüfen Sie Folgendes:
1. Ihre Server sind bei Arc registriert. Wechseln Sie zum Azure-Portal, und wechseln Sie dann zu der Ressourcengruppe, die der Registrierung zugeordnet ist. Die Server werden innerhalb der angegebenen Ressourcengruppe als Ressourcen vom Typ Computer – Azure Arc angezeigt.
2. Die obligatorischen Azure Stack HCI-Erweiterungen werden auf Ihren Servern installiert. Wählen Sie in der Ressourcengruppe den registrierten Server aus. Wechseln Sie zu Erweiterungen. Die obligatorischen Erweiterungen werden im rechten Bereich angezeigt.

Zuweisen der erforderlichen Berechtigungen für die Bereitstellung

In diesem Abschnitt wird beschrieben, wie Sie Azure-Berechtigungen für die Bereitstellung aus dem Azure-Portal zuweisen.

Wechseln Sie im Azure-Portal zu dem Abonnement, das zum Registrieren der Server verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich + Hinzufügen aus, und wählen Sie in der Dropdownliste die Option Rollenzuweisung hinzufügen aus.
Navigieren Sie zu den Registerkarten, und weisen Sie dem Benutzer, der den Cluster bereitstellt, die folgenden Rollenberechtigungen zu:
- Azure Stack HCI-Administrator
- Cloudanwendungsadministrator
- Leser
Hinweis

Die Berechtigung Cloudanwendungsadministrator ist vorübergehend erforderlich, um den Dienstprinzipal zu erstellen. Nach der Bereitstellung kann diese Berechtigung entfernt werden.
Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die zum Registrieren der Server in Ihrem Abonnement verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich + Hinzufügen aus, und wählen Sie in der Dropdownliste die Option Rollenzuweisung hinzufügen aus.
Navigieren Sie zu den Registerkarten, und weisen Sie dem Benutzer, der den Cluster bereitstellt, die folgenden Berechtigungen zu:
- Key Vault Datenzugriffsadministrator: Diese Berechtigung ist erforderlich, um Berechtigungen auf Datenebene für den für die Bereitstellung verwendeten Schlüsseltresor zu verwalten.
- Key Vault Secrets Officer: Diese Berechtigung ist erforderlich, um Geheimnisse in dem für die Bereitstellung verwendeten Schlüsseltresor zu lesen und zu schreiben.
- Key Vault Mitwirkender: Diese Berechtigung ist erforderlich, um den für die Bereitstellung verwendeten Schlüsseltresor zu erstellen.
- Speicherkontomitwirkender: Diese Berechtigung ist erforderlich, um das für die Bereitstellung verwendete Speicherkonto zu erstellen.
Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Stellen Sie sicher, dass der Bereitstellungsbenutzer über alle konfigurierten Rollen verfügt.

Nächste Schritte

Nachdem Sie den ersten Server in Ihrem Cluster eingerichtet haben, können Sie die Bereitstellung mit Azure-Portal:

Bereitstellen mithilfe von Azure-Portal.

Share via