Conexión de Azure Stack HCI a Azure

Se aplica a: Azure Stack HCI versiones 21H2 y 20H2

Ahora que ha implementado el sistema operativo de Azure Stack HCI y ha creado un clúster, debe registrar el clúster en Azure. Azure Stack HCl se entrega como servicio de Azure y debe registrarse en un plazo de 30 días a partir de la instalación según los Términos de los Servicios en Línea de Azure.

En este tema se explica cómo registrar un clúster de Azure Stack HCI en Azure para supervisión, soporte técnico, facturación y servicios híbridos. Tras el registro, se crea un recurso de Azure Resource Manager para representar cada clúster local de Azure Stack HCl, lo que extiende de manera eficaz el plano de administración de Azure a Azure Stack HCl. La información se sincroniza periódicamente entre el recurso de Azure y los clústeres locales. El registro en Azure es una funcionalidad nativa del sistema operativo Azure Stack HCI, por lo que no es necesario registrar ningún agente.

Requisitos previos para el registro del clúster

No podrá registrarse en el clúster con Azure hasta que no haya creado un clúster de Azure Stack HCI. Para que el clúster sea compatible, los nodos de clúster deben ser servidores físicos. Se pueden utilizar máquinas virtuales para realizar pruebas.

Para tener la experiencia de registro más sencilla, haga que un administrador de Azure AD (propietario o administrador de acceso de usuario con el rol de colaborador) complete el proceso de registro mediante Windows Admin Center o PowerShell.

Antes de registrar el clúster, asegúrese de que todos los servidores del clúster están en funcionamiento y que se cumplen los siguientes requisitos previos.

Windows Admin Center debe estar registrado en Azure

Si tiene previsto registrar un clúster de Azure Stack HCI mediante Windows Admin Center, primero debe registrar Windows Admin Center en Azure y proporcionar el id. de Azure Active Directory (inquilino). Asegúrese de que el equipo en el que se ejecuta Windows Admin Center esté unido al mismo dominio de Active Directory en el que va a crear el clúster, o a un dominio de confianza.

Acceso a Internet y puertos de firewall

Azure Stack HCI necesita conectarse periódicamente a la nube pública de Azure. Si la conectividad saliente está restringida por el firewall corporativo externo o un servidor proxy, estos deben configurarse para permitir el acceso saliente al puerto 443 (HTTPS) en un número limitado de direcciones IP conocidas de Azure. Para obtener más información sobre cómo preparar los firewalls y configurar un servidor proxy, consulte Requisitos de firewall para Azure Stack HCI.

Suscripción a Azure y permisos

Si aún no tiene una cuenta de Azure, cree una.

Puede usar una suscripción existente de cualquier tipo:

• Cuenta gratuita con créditos de Azure para alumnos o suscriptores de Visual Studio
• Suscripción de pago por uso con tarjeta de crédito
• Suscripción obtenida a través de un Contrato Enterprise (EA)
• Suscripción obtenida a través del programa Proveedor de soluciones en la nube (CSP)

El usuario que registra el clúster debe tener permisos de suscripción de Azure para:

• Registrar un proveedor de recursos
• Crear/Obtener/Eliminar recursos y grupos de recursos de Azure

Si su suscripción a Azure es mediante un Contrato Enterprise o un Proveedor de servicios criptográficos, la manera más fácil es pedir al administrador de la suscripción de Azure que asigne un rol integrado de "Propietario" o "Administrador de acceso de usuario" con un rol "Colaborador". Sin embargo, algunos administradores pueden preferir una opción más restrictiva. En este caso, es posible crear un rol personalizado de Azure específico para el registro de Azure Stack HCI siguiendo estos pasos:

1. Cree un archivo json llamado customHCIRole.json con el siguiente contenido. Asegúrese de que cambia <subscriptionID> por el identificador de su suscripción de Azure. Para obtener el identificador de la suscripción, visite portal.azure.com, vaya a Suscripciones y copie y pegue el identificador de la lista.

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.Resources/subscriptions/resourceGroups/delete",
       "Microsoft.AzureStackHCI/register/action",
       "Microsoft.AzureStackHCI/Unregister/Action",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.HybridCompute/register/action",
       "Microsoft.GuestConfiguration/register/action"
     ],
     "NotActions": [
     ],
   "AssignableScopes": [
       "/subscriptions/<subscriptionId>"
     ]
   }
   

2. Cree el rol personalizado:

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

3. Asigne el rol personalizado al usuario:

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

Permisos de Azure Active Directory

También necesitará permisos adecuados de Azure Active Directory para completar el proceso de registro. Si aún no los tiene, pida a su administrador de Azure AD que le conceda el consentimiento o que le delegue los permisos. Para obtener más información, consulte Administración de registros en Azure.

Disponibilidad en regiones

El servicio Azure Stack HCI se usa para el registro, la facturación y la administración. Actualmente se admite en las siguientes regiones: Estas regiones públicas admiten ubicaciones geográficas en todo el mundo, para clústeres implementados en cualquier lugar del mundo:

• Este de EE. UU.
• Oeste de Europa
• Sudeste de Asia

Esta región admite Azure China:

• Este de China 2

Esta región admite Azure Government:

• US Gov - Virginia

Registro de un clúster mediante Windows Admin Center

La manera más sencilla de registrar el clúster de Azure Stack HCI es usar Windows Admin Center. Recuerde que el usuario debe tener permisos de Azure Active Directory o el proceso de registro no se completará; en su lugar, se cerrará y dejará el registro pendiente de la aprobación del administrador y el usuario tendrá que volver a ejecutar el asistente de registro una vez que se hayan concedido los permisos.

Si ejecuta Azure Stack HCI versión 21H2, al usuario se le debe asignar un rol Propietario de Azure o un rol Administrador de acceso de usuario, o bien se le mostrará un mensaje de error: "Failed to assign required roles for Azure Arc integration" (No se pudieron asignar los roles necesarios para la integración de Azure Arc). Los usuarios que no tienen asignados estos roles pueden registrar un clúster mediante PowerShell, pero deben deshabilitar manualmente la integración de Azure Arc.

1. Antes de comenzar el proceso de registro, debe registrar Windows Admin Center con Azure e iniciar sesión en Windows Admin Center con su cuenta de Azure.

   Importante

   Al registrar Windows Admin Center con Azure, es importante usar el mismo identificador de Azure Active Directory (inquilino) que piensa usar para el registro del clúster. Un identificador de inquilino de Azure AD representa una instancia específica de Azure AD que contiene cuentas y grupos, mientras que un identificador de suscripción de Azure representa un acuerdo para usar recursos de Azure en los cuales se generan cargos. Para buscar el identificador de inquilino, visite portal.azure.com y seleccione Azure Active Directory. El identificador de inquilino se mostrará en Información del inquilino. Para obtener el identificador de la suscripción de Azure, vaya a Suscripciones y copie y pegue el identificador de la lista.

2. Abra Windows Admin Center y seleccione Configuración en la parte inferior del menú Herramientas de la izquierda. A continuación, seleccione Registro de Azure Stack HCI en la parte inferior del menú Configuración. Si el clúster todavía no se ha registrado con Azure, el estado del registro será No registrado. Haga clic en el botón Registrar para continuar. También puede seleccionar Register this cluster (Registrar este clúster) en el panel de Windows Admin Center.

   Nota

   Si no registró Windows Admin Center en el paso 1, se le pedirá que lo haga ahora. En lugar del asistente para registro del clúster, verá el asistente para registro de Windows Admin Center.

3. Especifique el identificador de suscripción de Azure en la que desea registrar el clúster. Para obtener el identificador de la suscripción de Azure, visite portal.azure.com, vaya a Suscripciones y copie y pegue el identificador de la lista. Si su administrador de Azure AD le proporcionó un grupo de recursos de Azure para que lo use, selecciónelo en el menú desplegable; en caso contrario, seleccione Create new (Crear nuevo). Seleccione la región de Azure en el menú desplegable y haga clic en Registrar.

   

4. Si tiene suficientes permisos de Azure Active Directory, el flujo de trabajo de registro del clúster debe continuar hasta el final y debe poder ver el clúster en Azure Portal. Si recibe un mensaje que indica que necesita permisos de Azure Active Directory adicionales, continúe con el paso 5.

5. Si no tiene suficientes permisos de Azure Active Directory, deberá pedir al administrador de Azure AD que conceda permisos a la aplicación. Debería ver un vínculo a Azure Portal que va al identificador de aplicación específico del clúster, como en la captura de pantalla siguiente. Copie este vínculo y proporcióneselo a su administrador de Azure AD. Para comprobar si se ha concedido el consentimiento, seleccione View consent in Azure AD (Ver el consentimiento en Azure AD). Una vez concedido el consentimiento, vuelva a ejecutar el asistente a partir del paso 2 anterior.

   

Registro de un clúster con PowerShell

Use el siguiente procedimiento para registrar un clúster de Azure Stack HCI con Azure mediante un equipo de administración.

1. Instale los cmdlets necesarios en el equipo de administración. Si ejecuta Azure Stack HCI versión 20H2 y el clúster se implementó antes del 10 de diciembre de 2020, asegúrese de que ha aplicado la actualización de la versión preliminar del 23 de noviembre de 2020 (KB4586852) en cada servidor del clúster antes de intentar registrarse en Azure.

   Install-Module -Name Az.StackHCI
   

   Nota

   • Es posible que vea un mensaje parecido al siguiente: ¿Quiere que PowerShellGet se instale e importe el proveedor de NuGet ahora? al cual debe responder Sí (S).
   • Es posible que además se le pregunte ¿Seguro que quiere instalar los módulos de "PSGallery"?, a lo que debe responder Sí (S).

2. Realice el registro con el nombre de cualquier servidor del clúster. Para obtener el identificador de la suscripción de Azure, visite portal.azure.com, vaya a Suscripciones y copie y pegue el identificador de la lista.

   Importante

   Si va a registrar Azure Stack HCI en Azure China, ejecute el cmdlet Register-AzStackHCI con estos parámetros adicionales:

   -EnvironmentName AzureChinaCloud -Region "ChinaEast2"

   Si va a registrarse en Azure Government, use estos parámetros:

   -EnvironmentName AzureUSGovernment -Region "USGovVirginia"

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
   

   Esta sintaxis registra el clúster (del que es miembro Server1), como el usuario actual, con la región de Azure y el entorno de nube predeterminados, y mediante nombres predeterminados inteligentes para el recurso y el grupo de recursos de Azure. También puede agregar los parámetros -Region, -ResourceName, -TenantId y -ResourceGroupName opcionales a este comando para especificar estos valores.

   Nota

   Si ejecuta Azure Stack HCI versión 21H2, ejecutar el cmdlet Register-AzStackHCIRegister-AzStackHCI en cada servidor del clúster de manera predeterminada, y el usuario que lo ejecuta debe ser Propietario o Administrador de acceso de usuario de Azure. Si no desea que los servidores estén habilitados para Arc o no tiene los roles correspondientes, pase este parámetro adicional: -EnableAzureArcServer:$false

   Recuerde que el usuario que ejecuta el cmdlet Register-AzStackHCI debe tener Register-AzStackHCI, o el proceso de registro no se completará y, en vez de eso, se cerrará y dejará el registro pendiente de la aprobación del administrador. Una vez que se hayan concedido los permisos, solo tiene que volver a ejecutar Register-AzStackHCI para completar el registro.

3. Autenticación con Azure

   Para completar el proceso de registro, debe autenticarse (iniciar sesión) con su cuenta de Azure. La cuenta debe tener acceso a la suscripción de Azure que se especificó en el paso 2 anterior para que se realice el registro. Copie el código proporcionado, vaya a microsoft.com/devicelogin en otro dispositivo (como su PC o teléfono), escriba el código e inicie sesión allí. El flujo de trabajo de registro detectará cuando haya iniciado sesión y continuará con el proceso de finalización. A partir de entonces, debería poder ver el clúster en Azure Portal.

Habilitación de la integración de Azure Arc

Si es un cliente del canal en versión preliminar y registró el clúster del canal en versión preliminar con Azure por primera vez el 15 de junio de 2021 o en una fecha posterior, todos los servidores del clúster estarán habilitados para Azure Arc de manera predeterminada, siempre que el usuario que registre el clúster tenga asignados los roles Propietario o Administrador de acceso de usuario de Azure. De lo contrario, deberá realizar los pasos siguientes para habilitar la integración de Azure Arc en los servidores.

1. Instale la versión más reciente del módulo Az.StackHCI en el equipo de administración:

   Install-Module -Name Az.StackHCI
   

2. Vuelva a ejecutar el cmdlet Register-AzStackHCI y especifique el id. de suscripción de Azure, que debe ser el mismo en el que se registró originalmente el clúster. El parámetro -ComputerName puede ser el nombre de cualquier servidor del clúster. Este paso habilita la integración de Azure Arc en cada servidor del clúster. No afectará el registro del clúster actual con Azure y no es necesario anular primero el registro del clúster.

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
   

   Importante

   Si el clúster se registró originalmente con -Region, -ResourceName o -ResourceGroupName distinto de la configuración predeterminada, deberá especificar aquí esos mismos parámetros y valores. Al ejecutar Get-AzureStackHCI, se mostrarán estos valores.

3. Si la integración de Azure Arc devuelve un error, es posible que los servidores deban comunicarse a través de un servidor proxy. Establezca la variable de entorno del servidor proxy ejecutando el siguiente comando de PowerShell como administrador en cada servidor del clúster:

   [Environment]::SetEnvironmentVariable("https_proxy", "http://{proxy-url}:{proxy-port}", "Machine")
   $env:https_proxy = [System.Environment]::GetEnvironmentVariable("https_proxy","Machine")
   # For the changes to take effect, the agent service needs to be restarted after the proxy environment variable is set.
   Restart-Service -Name himds
   

   A continuación, registre el clúster de Azure Stack HCI.

Solucionar problemas

Para solucionar los problemas de registro de Azure Stack HCI, es necesario examinar las entradas de registro de PowerShell y los registros de depuración de hcisvc de cada servidor del clúster.

Recopilación de entradas de registro de PowerShell

Cuando se ejecutan los cmdlets Register-AzStackHCI y Unregister-AzStackHCI, se crean los archivos de registro llamados Register-AzStackHCI y Unregister-AzStackHCI en cada intento. Estos archivos se crean en el directorio de trabajo de la sesión de PowerShell en la que se ejecutan los cmdlets. Los registros de depuración no se incluyen de forma predeterminada. Si hay un problema que necesita los registros de depuración adicionales, establezca la preferencia de depuración en Continuar; para ello, ejecute el siguiente cmdlet antes de ejecutar o Unregister-AzStackHCI.

$DebugPreference = 'Continue'

Recopilación de registros de hcisvc locales

Para permitir los registros de depuración de hcisvc, ejecute e siguiente código en PowerShell en cada servidor del clúster:

wevtutil.exe sl /q /e:true Microsoft-AzureStack-HCI/Debug

Para obtener los registros:

Get-WinEvent -Logname Microsoft-AzureStack-HCI/Debug -Oldest -ErrorAction Ignore

Problemas comunes de registro

Durante el registro, cada servidor del clúster debe estar en funcionamiento con conectividad saliente a Internet a Azure. El cmdlet Register-AzStackHCI se comunica con todos los servidores del clúster para aprovisionar los certificados de cada uno. Cada servidor usará su certificado para realizar una llamada API a los servicios HCI en la nube a fin de validar el registro.

Si se produce un error en el registro, es posible que vea un mensaje que indica lo siguiente:

No se pudo registrar. No se pudo generar un certificado autofirmado en los nodos {Node1,Node2}. No se pudo establecer ni comprobar el certificado de registro en los nodos {Node1,Node2}.

Si hay nombres de nodo después de la parte del mensaje de error que dice que no se ha podido generar el certificado autofirmado en los nodos, significa que no se ha podido generar el certificado en esos servidores. Para solucionar los problemas:

1. Compruebe que cada servidor que aparece en el mensaje anterior está en funcionamiento. Para comprobar el estado de hcisvc, ejecute sc.exe query hcisvc e inícielo si es necesario con start-service hcisvc.

2. Compruebe que cada servidor que aparece en el mensaje de error tenga conectividad con la máquina en la que se ejecuta el cmdlet Register-AzStackHCI. Para ello, ejecute el siguiente cmdlet desde la máquina en la que se ejecuta Register-AzStackHCI, con New-PSSession para conectarse a cada servidor del clúster y asegúrese de que funciona.

   New-PSSession -ComputerName {failing nodes}
   

Si hay nombres de nodo después de la parte del mensaje de error que dice que no se ha podido establecer y comprobar el certificado de registro en los nodos, significa que se ha podido generar el certificado en los servidores, pero los servidores no pudieron llamar correctamente a la API del servicio en la nube de HCI. Para solucionar los problemas:

1. Asegúrese de que cada servidor tenga la conectividad a Internet necesaria para comunicarse con los servicios en la nube de Azure Stack HCI y otros servicios de Azure necesarios, como Azure Active Directory, y que los firewalls no lo bloquean. Consulte Requisitos de firewall para Azure Stack HCI.

2. Pruebe a ejecutar el cmdlet Test-AzStackHCIConnection y asegúrese de que funciona correctamente. Este cmdlet invocará el punto de conexión de estado de los servicios en la nube de HCI para probar la conectividad.

3. Consulte los registros de depuración de hcisvc de cada nodo que aparece en el mensaje de error.

   • Es correcto que "ExecuteWithRetry operation AADTokenFetch failed with retryable error" (No se pudo realizar la operación ExecuteWithRetry AADTokenFetch con error que se puede volver a intentar) aparezca unas cuantas veces antes de que se genere el error "ExecuteWithRetry operation AADTokenFetch failed after all retries" (No se pudo realizar la operación ExecuteWithRetry AADTokenFetch después de todos los reintentos) o "ExecuteWithRetry operation AADTokenFetch succeeded in retry" (La operación AADTokenFetch ExecuteWithRetry se ejecutó correctamente en el reintento).
   • Si se encuentra con el error "ExecuteWithRetry operation AADTokenFetch failed after all retries" (No se pudo realizar la operación ExecuteWithRetry AADTokenFetch después de todos los reintentos) en los registros, significa que no se ha podido capturar el token de Azure Active Directory del servicio incluso después de todos los reintentos. Habrá una excepción de AAD asociada que se registra con este mensaje.
   • Si ve un mensaje que dice "AADSTS700027: La aserción de cliente contiene una firma no válida. [Motivo: la clave usada ha expirado. Huella digital de la clave usada por el cliente: '{SomeThumbprint}', clave encontrada 'Start=06/29/2021 21:13:15, End=06/29/2023 21:13:15'", se trata de un problema con la forma en que se establece la hora en el servidor. Compruebe la hora UTC en todos los servidores mediante la ejecución de [System.DateTime]::UtcNow en PowerShell y compárela con la hora UTC real. Si la hora no es correcta, establezca las horas correctas en los servidores y vuelva a intentar el registro.

Pasos siguientes

Para realizar la siguiente tarea de administración relacionada con este artículo, consulte: