Connecter Azure Stack HCI à Azure

S’applique à : Azure Stack HCI, versions 21H2 et 20H2

Maintenant que vous avez déployé le système d’exploitation Azure Stack HCI et créé un cluster, vous devez inscrire le cluster auprès d’Azure. Azure Stack HCI est fourni en tant que service Azure et doit être inscrit dans les 30 jours suivant l’installation, selon les conditions des services en ligne Azure.

Cette rubrique explique comment inscrire votre cluster Azure Stack HCI à Azure pour la supervision, le support, la facturation et les services hybrides. Après l’inscription, une ressource Azure Resource Manager est créée pour représenter chaque cluster Azure Stack HCI local, étendant le plan de gestion Azure à Azure Stack HCI. Les informations sont régulièrement synchronisées entre la ressource Azure et le ou les clusters locaux. L’inscription Azure est une fonctionnalité native du système d’exploitation Azure Stack HCI : aucun agent n’est donc nécessaire pour effectuer l’inscription.

Important

L’inscription auprès d’Azure est requise, et votre cluster n’est pas entièrement pris en charge tant que votre inscription n’est pas activée. Si vous n’inscrivez pas votre cluster auprès d’Azure juste après le déploiement, ou si votre cluster est inscrit mais qu’il ne s’est pas connecté à Azure depuis plus de 30 jours, le système n’autorise pas la création ni l’ajout de nouvelles machines virtuelles. Dans de tels cas, le message d’erreur suivant s’affiche quand vous tentez de créer des machines virtuelles :

Échec lors de la configuration du rôle de machine virtuelle pour « nom_machine virtuelle ». le travail a échoué. Erreur lors de l’ouverture des rôles en cluster pour « nom_machine virtuelle ». Le service auquel vous accédez a une licence pour un nombre particulier de connexions. Aucune autre connexion ne peut être établie avec le service pour le moment, car le nombre maximal de connexions autorisées est déjà atteint.

La solution consiste à autoriser la connectivité sortante vers Azure et à vérifier que votre cluster est bien inscrit comme cela est décrit dans cette rubrique.

Prérequis pour l’inscription du cluster

Vous ne pouvez pas inscrire votre cluster auprès d’Azure tant que vous n’avez pas créé de cluster Azure Stack HCI. Pour que le cluster soit pris en charge, les nœuds de cluster doivent être des serveurs physiques. Les machines virtuelles peuvent être utilisées à des fins de test.

Le plus simple est de demander à l’administrateur Azure AD (Propriétaire ou Administrateur de l’accès utilisateur avec le rôle Contributeur) d’effectuer le processus d’inscription avec Windows Admin Center ou PowerShell.

Important

Azure Stack HCI est désormais disponible dans la région Azure Chine. Pour inscrire votre cluster Azure Stack HCI dans Azure Chine, vérifiez que vous utilisez Windows Admin Center version 2103.2 ou ultérieure. Vous pouvez également inscrire un cluster à l’aide de PowerShell.

Azure Stack HCI est désormais disponible en préversion dans Azure Government. L’inscription requiert Windows Admin Center version 2110 ou ultérieure.

Avant d’inscrire votre cluster, vérifiez que chaque serveur dans le cluster est opérationnel et que les prérequis suivants sont respectés.

Windows Admin Center doit être inscrit auprès d’Azure

Si vous prévoyez d’inscrire un cluster Azure Stack HCI à l’aide de Windows Admin Center, vous devez commencer par inscrire Windows Admin Center auprès d’Azure et fournir votre ID (locataire) Azure Active Directory. Assurez-vous que l’ordinateur sur lequel vous exécutez Windows Admin Center est joint au même domaine Active Directory que celui dans lequel vous allez créer le cluster, ou à un domaine approuvé.

Accès Internet et ports de pare-feu

Azure Stack HCI doit se connecter régulièrement au cloud public Azure. Si la connectivité sortante est limitée par votre pare-feu d’entreprise externe ou votre serveur proxy, ceux-ci doivent être configurés pour autoriser l’accès sortant vers le port 443 (HTTPS) sur un nombre limité d’adresses IP Azure connues. Pour plus d'informations sur la préparation de vos pare-feu et la configuration d'un serveur proxy, consultez Exigences en matière de pare-feu pour Azure Stack HCI.

Remarque

Le processus d’inscription tente de contacter PowerShell Gallery pour vérifier que vous disposez de la dernière version des modules PowerShell nécessaires, comme AZ et AzureAD. Même si PowerShell Gallery est hébergé sur Azure, il n’a actuellement pas d’étiquette de service. Si vous ne pouvez pas exécuter l’applet de commande ci-dessus à partir d’un ordinateur de gestion disposant d’un accès Internet sortant, nous vous recommandons de télécharger les modules et de les transférer manuellement vers un nœud de cluster où vous exécuterez la commande Register-AzStackHCI. Vous pouvez également installer les modules dans un scénario déconnecté.

Abonnement et autorisations Azure

Si vous n’avez pas encore de compte Azure, créez-en un.

Vous pouvez utiliser un abonnement existant de n’importe quel type :

L’utilisateur qui inscrit le cluster doit disposer d’autorisations d’abonnement Azure pour :

  • Inscrire un fournisseur de ressources
  • Créer/obtenir/supprimer des ressources et des groupes de ressources Azure

Si votre abonnement Azure s’effectue par le biais d’un Contrat entreprise (EA) ou d’un fournisseur de solutions cloud (CSP), le moyen le plus simple consiste à demander à votre administrateur d’abonnement Azure d’attribuer un rôle « Propriétaire » à votre abonnement ou un rôle « Administrateur de l’accès utilisateur » avec un rôle « Contributeur ». Toutefois, certains administrateurs peuvent préférer une option plus restrictive. Dans ce cas, il est possible de créer un rôle Azure personnalisé spécifique pour l’inscription Azure Stack HCI en effectuant les étapes suivantes :

  1. Créez un fichier JSON nommé customHCIRole.json avec le contenu suivant. Veillez à remplacer <subscriptionID> par votre ID d’abonnement Azure. Pour obtenir votre ID d’abonnement, visitez portal.azure.com, accédez à Abonnements, puis copiez/collez votre ID à partir de la liste.

    {
      "Name": "Azure Stack HCI registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.AzureStackHCI/register/action",
        "Microsoft.AzureStackHCI/Unregister/Action",
        "Microsoft.AzureStackHCI/clusters/*",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.HybridCompute/register/action",
        "Microsoft.GuestConfiguration/register/action"
      ],
      "NotActions": [
      ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>"
      ]
    }
    
  2. Créez le rôle personnalisé :

    New-AzRoleDefinition -InputFile <path to customHCIRole.json>
    
  3. Affectez le rôle personnalisé à l’utilisateur :

    $user = get-AzAdUser -DisplayName <userdisplayname>
    $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
    New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
    

Autorisations Azure Active Directory

Vous devez également disposer d’autorisations Azure Active Directory appropriées pour effectuer le processus d’inscription. Si vous ne les avez pas encore, demandez à votre administrateur Azure AD de vous accorder son consentement ou de vous déléguer les autorisations. Pour plus d’informations, consultez Gérer l’inscription Azure.

Disponibilité des régions

Le service Azure Stack HCI est utilisé pour l’inscription, la facturation et la gestion. Il est actuellement pris en charge dans les régions suivantes. Ces régions publiques prennent en charge les emplacements géographiques du monde entier pour les clusters déployés n’importe où dans le monde :

  • USA Est
  • Europe Ouest
  • Asie Sud-Est

Cette région prend en charge Azure Chine :

  • Chine orientale 2

Cette région prend en charge Azure Government :

  • Gouvernement américain - Virginie

Inscrire un cluster en utilisant Windows Admin Center

Le moyen le plus simple d’inscrire votre cluster Azure Stack HCI consiste à utiliser Windows Admin Center. N’oubliez pas que l’utilisateur doit disposer d’autorisations Azure Active Directory sinon le processus d’inscription se terminera. En effet, l’inscription sera en attente d’approbation par l’administrateur, et l’utilisateur devra réexécuter l’assistant d’inscription une fois les autorisations accordées.

Si vous exécutez la version 21H2 d'Azure Stack HCI, l'utilisateur doit disposer du rôle Propriétaire ou d'Administrateur de l'accès utilisateur Azure. Sinon, le message d'erreur suivant s'affiche : « Impossible d'attribuer les rôles requis pour l'intégration d'Azure Arc ». Les utilisateurs qui ne disposent pas de ces rôles peuvent toujours inscrire un cluster à l'aide de PowerShell, mais ils doivent désactiver manuellement l'intégration d'Azure Arc.

Avertissement

Pour inscrire votre cluster Azure Stack HCI dans Azure Chine, vérifiez que vous utilisez Windows Admin Center version 2103.2 ou ultérieure.

Azure Stack HCI est désormais disponible en préversion dans Azure Government. L’inscription requiert Windows Admin Center version 2110 ou ultérieure.

  1. Avant de commencer le processus d’inscription, vous devez d’abord inscrire Windows Admin Center auprès d’Azure et Windows Admin Center avec votre compte Azure.

    Important

    Lorsque vous inscrivez Windows Admin Center auprès d’Azure, il est important d’utiliser l’ID (locataire) Azure Active Directory que vous comptez utiliser pour l’inscription du cluster. Un ID de locataire Azure AD représente une instance Azure AD qui comprend des comptes et des groupes, tandis qu’un ID d’abonnement Azure représente un contrat d’utilisation des ressources Azure impliquant des frais. Pour connaître votre ID de locataire, rendez-vous sur le site portal.azure.com, puis sélectionnez Azure Active Directory. Votre ID de locataire s’affichera sous Informations sur le locataire. Pour connaître votre ID d’abonnement Azure, accédez à Abonnements, puis copiez-collez votre ID à partir de la liste.

  2. Ouvrez Windows Admin Center, puis sélectionnez Paramètres tout en bas du menu Outils situé sur la gauche. Ensuite, sélectionnez Inscription Azure Stack HCI en bas du menu Paramètres. Si votre cluster n’est pas encore inscrit auprès d’Azure, État de l’inscription indiquera Non inscrit. Pour continuer, cliquez sur le bouton Inscrire. Vous pouvez également sélectionner Inscrire ce cluster dans le tableau de bord de Windows Admin Center.

    Remarque

    Si vous n’avez pas inscrit Windows Admin Center à l’étape 1, vous êtes invité à le faire maintenant. Au lieu de l’assistant d’inscription du cluster, vous verrez l’assistant d’inscription de Windows Admin Center.

  3. Indiquez l’ID d’abonnement Azure auquel vous souhaitez inscrire le cluster. Pour obtenir votre ID d’abonnement Azure, rendez-vous sur le site portal.azure.com, accédez à Abonnements, puis copiez-collez votre ID à partir de la liste. Si votre administrateur Azure AD vous a donné un groupe de ressources Azure à utiliser, sélectionnez-le dans le menu déroulant. Dans le cas contraire, sélectionnez Créer. Dans le menu déroulant, sélectionnez la région Azure, puis cliquez sur Inscrire.

    L’assistant d’inscription du cluster vous demandera votre ID d’abonnement Azure, votre groupe de ressources et votre région

  4. Si vous disposez d’autorisations suffisantes Azure Active Directory, le flux de travail d’inscription de cluster doit maintenant se terminer et vous devez être en mesure de voir votre cluster dans le Portail Azure. Si vous recevez un message indiquant que vous avez besoin d’autorisations Azure Active Directory supplémentaires, passez à l’étape 5.

  5. Si vous ne disposez pas d’autorisations Azure Active Directory suffisantes, vous devez demander à votre administrateur Azure AD d’accorder des autorisations à l’application. Vous devez voir un lien vers le portail Azure permettant d’accéder à l’ID d’application du cluster, comme dans la capture d’écran ci-dessous. Copiez ce lien et envoyez-le à votre administrateur Azure AD. Pour vérifier si le consentement a été accordé, sélectionnez Afficher le consentement dans Azure AD. Une fois le consentement accordé, réexécutez l’Assistant à partir de l’étape 2 ci-dessus.

    Si vous avez besoin d’autorisations Azure Active Directory supplémentaires pour inscrire le cluster, vous recevrez un lien à fournir à votre administrateur Azure AD

Inscrire un cluster à l’aide de PowerShell

Utilisez la procédure suivante pour inscrire un cluster Azure Stack HCI auprès d’Azure à l’aide d’un PC de gestion.

Important

Seuls les utilisateurs Azure disposant du rôle Propriétaire ou Administrateur de l’accès utilisateur peuvent inscrire un cluster Azure Stack HCI auprès de l’intégration d’Azure Arc.

  1. Installez les applets de commande nécessaires sur votre PC de gestion. Si vous exécutez Azure Stack HCI version 20H2 et que votre cluster a été déployé avant le 10 décembre 2020, vérifiez que vous avez appliqué la mise à jour de la préversion du 23 novembre 2020 (KB4586852) sur chaque serveur du cluster avant d’essayer de vous inscrire auprès d’Azure.

    Install-Module -Name Az.StackHCI
    

    Remarque

    • Vous pouvez voir une invite comme Voulez-vous que PowerShellGet installe et importe le fournisseur NuGet maintenant ? , à laquelle vous devez répondre Oui (O).
    • Le système vous demandera peut-être Voulez-vous vraiment installer les modules à partir de « PSGallery » ?, ce à quoi vous devez répondre à laquelle vous devez répondre Oui.
  2. Effectuez l’inscription à l’aide du nom de n’importe quel serveur du cluster. Pour obtenir votre ID d’abonnement Azure, rendez-vous sur le site portal.azure.com, accédez à Abonnements, puis copiez-collez votre ID à partir de la liste.

    Important

    Si vous inscrivez Azure Stack HCI dans la région Azure Chine, exécutez la cmdlet Register-AzStackHCI avec les paramètres supplémentaires suivants :

    -EnvironmentName AzureChinaCloud-Region "ChinaEast2"

    Si vous vous inscrivez dans Azure Government, utilisez ces paramètres :

    -EnvironmentName AzureUSGovernment -Region "USGovVirginia"

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
    

    Cette syntaxe inscrit le cluster (dont Server1 est membre) en tant qu’utilisateur actuel auprès de l’environnement cloud et de la région Azure par défaut, et utilise des noms par défaut intelligents pour la ressource et le groupe de ressources Azure. Pour spécifier ces valeurs, vous pouvez également ajouter les paramètres facultatifs -Region, -ResourceName, -TenantId et -ResourceGroupName à cette commande.

    Remarque

    Si vous exécutez Azure Stack HCI version 21H2, l'exécution de la cmdlet Register-AzStackHCIRegister-AzStackHCI sur chaque serveur du cluster par défaut, et l'utilisateur qui l'exécute doit disposer du rôle de Propriétaire ou d'Administrateur de l'accès utilisateur Azure. Si vous ne souhaitez pas activer les serveurs pour Arc, ou si vous ne disposez pas des rôles appropriés, passez ce paramètre supplémentaire : -EnableAzureArcServer:$false

    L’utilisateur qui exécute l’applet de commande Register-AzStackHCI doit disposer des Register-AzStackHCI. Si ce n’est pas le cas, le processus d’inscription s’interrompra dans l’attente de l’approbation de l’administrateur. Une fois les autorisations accordées, réexécutez Register-AzStackHCI pour finaliser l’inscription.

  3. S’authentifier avec Azure

    Pour terminer le processus d’inscription, vous devez vous authentifier (vous connecter) à l’aide de votre compte Azure. Pour que vous puissiez procéder à l’inscription, votre compte doit avoir accès à l’abonnement Azure, spécifié à l’étape 2 ci-dessus. Copiez le code fourni, accédez à microsoft.com/devicelogin sur un autre appareil (comme votre PC ou téléphone), à entrer le code et à vous y connecter. Le workflow d’inscription détecte que vous vous êtes connecté et effectue le processus. Vous devez alors être en mesure de voir votre cluster dans le portail Azure.

Activation de l’intégration d’Azure Arc

Si vous êtes client d’un canal de préversions et que vous avez inscrit votre cluster de canaux de préversions auprès d’Azure pour la première fois le 15 juin 2021 ou après cette date, chaque serveur du cluster sera compatible avec Azure Arc, à condition que l’utilisateur qui inscrit le cluster dispose du rôle de Propriétaire ou d’Administrateur de l’accès utilisateur Azure. Sinon, vous devez suivre les étapes ci-dessous pour activer l’intégration d’Azure Arc sur les serveurs.

Remarque

L’intégration d’Azure Arc est uniquement disponible dans Azure Stack HCI version 21H2 et dans les builds de préversion. Elle n’est pas disponible sur Azure Stack HCI version 20H2.

  1. Installez la dernière version du module Az.StackHCI sur votre PC de gestion :

    Install-Module -Name Az.StackHCI
    
  2. Réexécutez l’applet de commande Register-AzStackHCI et spécifiez votre ID d’abonnement Azure, qui doit être le même ID que celui avec lequel le cluster a été inscrit à l’origine. Le paramètre -ComputerName peut être le nom de n’importe quel serveur du cluster. Cette étape active l’intégration d’Azure Arc sur chaque serveur du cluster. Elle n’affecte pas l’inscription actuelle de votre cluster auprès d’Azure, et vous n’avez pas besoin d’annuler l’inscription du cluster au préalable.

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
    

    Important

    Si le cluster a été inscrit à l’origine à l’aide d’un paramètre -Region, -ResourceName ou -ResourceGroupName différent des paramètres par défaut, vous devez spécifier ici les mêmes paramètres et valeurs. Ces valeurs s’affichent lors de l’exécution de Get-AzureStackHCI.

  3. Si l’intégration d’Azure Arc échoue, il se peut que les serveurs aient besoin de communiquer via un serveur proxy. Dans ce cas, définissez la variable d’environnement du serveur proxy en exécutant la commande PowerShell suivante en tant qu’administrateur sur chaque serveur du cluster :

    [Environment]::SetEnvironmentVariable("https_proxy", "http://{proxy-url}:{proxy-port}", "Machine")
    $env:https_proxy = [System.Environment]::GetEnvironmentVariable("https_proxy","Machine")
    # For the changes to take effect, the agent service needs to be restarted after the proxy environment variable is set.
    Restart-Service -Name himds
    

    Réinscrivez ensuite le cluster Azure Stack HCI.

Résolution des problèmes

Pour résoudre les problèmes d’inscription liés à Azure Stack HCI, vous devez consulter les journaux d’inscription PowerShell et les journaux de débogage hcisvc de chaque serveur du cluster.

Collecter les journaux d’inscription PowerShell

Quand les applets de commande Register-AzStackHCI et Unregister-AzStackHCI sont exécutées, des fichiers journaux nommés Register-AzStackHCI et Unregister-AzStackHCI sont créés pour chaque tentative. Ces fichiers sont créés dans le répertoire de travail de la session PowerShell dans laquelle les applets de commande sont exécutées. Les journaux de débogage ne sont pas inclus par défaut. En cas de problème nécessitant les journaux de débogage supplémentaires, définissez la préférence de débogage sur Continuer en exécutant l’applet de commande suivante avant d’exécuter ou Unregister-AzStackHCI.

$DebugPreference = 'Continue'

Collecter les journaux hcisvc locaux

Pour activer les journaux de débogage pour hcisvc, exécutez la commande suivante dans PowerShell sur chaque serveur du cluster :

wevtutil.exe sl /q /e:true Microsoft-AzureStack-HCI/Debug

Pour obtenir les journaux

Get-WinEvent -Logname Microsoft-AzureStack-HCI/Debug -Oldest -ErrorAction Ignore

Problèmes d’inscription courants

Durant l’inscription, chaque serveur du cluster doit être opérationnel avec une connectivité Internet sortante vers Azure. L’applet de commande Register-AzStackHCI communique avec tous les serveurs du cluster afin de provisionner des certificats pour chacun. Chaque serveur utilise son certificat pour effectuer un appel d’API aux services HCI dans le cloud pour valider l’inscription.

Si l’inscription échoue, le message suivant peut s’afficher :

L'inscription a échoué. Impossible de générer le certificat auto-signé sur le(s) nœud(s) {Node1,Node2}. Impossible de définir et de vérifier le certificat d’inscription sur le(s) nœud(s) {Node1,Node2}.

Si des noms de nœuds figurent après la partie « Couldn't generate self-signed certificate on node(s) » du message d’erreur, cela signifie que nous n’avons pas pu générer le certificat sur ce ou ces serveurs. Pour résoudre des problèmes :

  1. Vérifiez que chaque serveur listé dans le message ci-dessus est opérationnel. Vous pouvez vérifier l’état de hcisvc en exécutant sc.exe query hcisvc et le démarrer si nécessaire avec start-service hcisvc.

  2. Vérifiez que chaque serveur listé dans le message d’erreur est connecté à l’ordinateur sur lequel l’applet de commande Register-AzStackHCI est exécutée. Pour vérifier cela, exécutez l’applet de commande suivante à partir de l’ordinateur sur lequel Register-AzStackHCI est exécuté, en utilisant New-PSSession pour vous connecter à chaque serveur du cluster et vérifier qu’il fonctionne.

    New-PSSession -ComputerName {failing nodes}
    

Si des noms de nœuds figurent après la partie « Couldn't set and verify registration certificate on node(s) » du message d’erreur, cela signifie nous avons pu générer le certificat sur le ou les serveurs, mais que ce ou ces derniers n’ont pas pu appeler l’API du service cloud HCI. Pour résoudre des problèmes :

  1. Vérifiez que chaque serveur dispose de la connectivité Internet requise pour communiquer avec les services cloud Azure Stack HCI et d’autres services Azure obligatoires comme Azure Active Directory, et qu’aucun serveur n’est bloqué par un ou plusieurs pare-feux. Consultez Exigences en matière de pare-feu pour Azure Stack HCI.

  2. Essayez d’exécuter l’applet de commande Test-AzStackHCIConnection et vérifiez qu’elle aboutit. Cette applet de commande appelle le point de terminaison d’intégrité des services cloud HCI pour tester la connectivité.

  3. Examinez les journaux de débogage hcisvc sur chaque nœud listé dans le message d’erreur.

    • Il est possible que le message « ExecuteWithRetry operation AADTokenFetch failed with retryable error » (échec de l’opération ExecuteWithRetry AADTokenFetch avec erreur de nouvelle tentative) apparaisse plusieurs fois : soit avant un échec signalé par « ExecuteWithRetry operation AADTokenFetch failed after all retries » (échec de l’opération ExecuteWithRetry AADTokenFetch après toutes les nouvelles tentatives), soit avant une réussite signalée par « ExecuteWithRetry operation AADTokenFetch succeeded in retry » (la nouvelle tentative de l’opération ExecuteWithRetry AADTokenFetch a réussi).
    • Si vous rencontrez « ExecuteWithRetry operation AADTokenFetch failed after all retries » dans les journaux, cela signifie que nous n’avons pas pu récupérer (fetch) le jeton Azure Active Directory du service, même après toutes les nouvelles tentatives. Une exception AAD associée est alors journalisée avec ce message.
    • Si vous voyez « AADSTS700027 : Client assertion contains an invalid signature. [Reason - The key used is expired. Thumbprint of key used by client: '{SomeThumbprint}', Found key 'Start=06/29/2021 21:13:15, End=06/29/2023 21:13:15 », il s’agit d’un problème lié à la façon dont l’heure est définie sur le serveur. Vérifiez l’heure UTC sur tous les serveurs en exécutant [System.DateTime]::UtcNow dans PowerShell et comparez-la à l’heure UTC actuelle. Si l’heure n’est pas correcte, changez-la sur les serveurs, puis recommencez l’inscription.

Étapes suivantes

Pour effectuer la tâche de gestion suivante associée à cet article, consultez :