Fürtregisztráció kezelése az Azure-ral

A következőkre vonatkozik: Azure Stack HCI 21H2 és 20H2 verziókra

Miután létrehozott egy Azure Stack HCI fürtöt, regisztrálnia kell Windows Felügyeleti központban az Azure-ban, majd regisztrálnia kell a fürtöt az Azure-ban. A fürt a regisztrációt követően rendszeres időközönként szinkronizálja az adatokat a helyszíni fürt és a felhő között.

Ez a cikk a regisztrációs állapot megtekintését, Azure Active Directory (Azure AD) engedélyeinek megadását és a fürt regisztrációjának a leállítását ismerteti, amikor készen áll a leszerelésre.

Regisztrációs állapot megtekintése a Windows Felügyeleti központban

Amikor egy fürthöz a Felügyeleti Windows keresztül csatlakozik, megjelenik az irányítópult, amely megjeleníti az Azure-kapcsolat állapotát. A Csatlakoztatva azt jelenti, hogy a fürt már regisztrálva van az Azure-ban, és az utolsó napon sikeresen szinkronizált a felhőbe.

Képernyőkép a felügyeleti központ irányítópultjának fürtkapcsolati Windows állapotáról.

További információt a bal oldali Eszközök Gépház, majd a Regisztráció lehetőséget választva Azure Stack HCI lehetőséget.

A H C I-regisztrációs Azure Stack kiválasztását bemutató képernyőkép.

Regisztrációs állapot megtekintése a PowerShellben

A regisztráció állapotának megtekintéséhez használja Windows PowerShell PowerShell-parancsmagot, valamint a Get-AzureStackHCIClusterStatus , és RegistrationStatusConnectionStatus tulajdonságokat.

Az operációs rendszer telepítése után például Azure Stack HCI fürt létrehozása vagy csatlakozása előtt a tulajdonság ClusterStatus egy állapotot NotYet mutat:

Képernyőkép az Azure regisztrációs állapotáról a fürt létrehozása előtt.

A fürt létrehozása után a csak RegistrationStatus az állapotot NotYet jeleníti meg:

Képernyőkép az Azure regisztrációs állapotáról a fürt létrehozása után.

A telepítést követő 30 napon belül regisztrálnia kell egy Azure Stack HCI fürtöt az Azure Online Szolgáltatások Feltételei. Ha 30 nap után nem hozott létre fürtöt, vagy nem csatlakozott fürthöz, a ClusterStatus a(z) fog OutOfPolicy mutatni. Ha 30 nap után nem regisztrálta a fürtöt, a RegistrationStatus következőt fogja mutatni: OutOfPolicy .

A fürt regisztrációja után használhatja a és az ConnectionStatusLastConnected időt. Az idő általában az utolsó napon belül van, kivéve, ha a fürt átmenetileg le van LastConnected választva az internetről. Egy Azure Stack HCI fürt teljes mértékben offline állapotban működhet akár 30 egymást követő napon keresztül is.

Képernyőkép az Azure regisztrációs állapotáról a regisztráció után.

Ha túllépi az offline működés maximális időtartamát, a ConnectionStatus a következőt fogja mutatni: OutOfPolicy .

Azure AD-alkalmazásengedélyek hozzárendelése

Amellett, hogy létrehoz egy Azure-erőforrást az előfizetésében, a regisztráció Azure Stack HCI létrehoz egy alkalmazásidentitást az Azure AD-bérlőben. Ez az identitás fogalmilag hasonló a felhasználóhoz. Az alkalmazásidentitás örökli a fürt nevét. Az identitás szükség szerint az Azure Stack HCI-felhőszolgáltatás nevében jár el az előfizetésen belül.

Ha a fürtöt regisztráló felhasználó Azure AD-rendszergazda, vagy megfelelő engedélyekkel rendelkezik, ez automatikusan megtörténik. Nincs szükség további műveletre. Ellenkező esetben szükség lehet az Azure AD-rendszergazda jóváhagyására a regisztráció befejezéséhez. A rendszergazda explicit módon is engedélyt adhat az alkalmazásnak, vagy delegálhatja az engedélyeket, hogy Ön engedélyt adjon az alkalmazásnak:

Az engedélyeket és Azure Active Directory bemutató ábra.

A hozzájárulás megadásához nyisson portal.azure.com, és jelentkezzen be egy olyan Azure-fiókkal, amely megfelelő engedélyekkel rendelkezik az Azure AD-ban. Ugrás a Azure Active DirectoryAlkalmazásregisztrációk. Válassza ki a fürt után elnevezett alkalmazásidentitást, és válassza az API-engedélyek lehetőséget.

Az alkalmazás általánosan elérhető (GA) Azure Stack HCI az alábbi engedélyeket igényli.

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

Az Azure AD-rendszergazda jóváhagyása hosszabb időt vehet igénybe, ezért a parancsmag kilép, és Register-AzStackHCIpending admin consent a regisztrációt (részlegesen befejezett) állapoton hagyja. A jóváhagyás után futtassa újra a adatokat Register-AzStackHCI a regisztráció befejezéséhez.

Azure AD felhasználói engedélyek hozzárendelése

A futtatott felhasználónak Register-AzStackHCI Azure AD-engedélyekkel kell rendelkeznie a következő hez:

  • Create ( New-Remove-AzureADApplication ), get ( ), set ( ), or remove ( ) Azure Get-Remove-AzureADApplicationSet-Remove-AzureADApplicationRemove-AzureADApplication AD applications.
  • Hozza létre ( New-Get-AzureADServicePrincipal ) vagy szerezze be az Get-AzureADServicePrincipal Azure AD egyszerű szolgáltatását.
  • Titkos Active Directory ( , New-Remove-AzureADApplicationKeyCredentialGet-Remove-AzureADApplicationKeyCredential vagy ) Remove-AzureADApplicationKeyCredential kezelése
  • Hozzájárulás megadása adott alkalmazásengedélyek New-AzureADApplicationKeyCredential (, Get-AzureADApplicationKeyCredential vagy ) Remove-AzureADServiceAppRoleAssignments használatára.

Ezeket az engedélyeket háromféleképpen rendelheti hozzá.

1. lehetőség: Alkalmazások regisztrálásának engedélyezése bármely felhasználó számára

A Azure Active Directory a Felhasználói beállítások lapon Alkalmazásregisztrációk. A Users can register applications (Felhasználók regisztrálhat alkalmazásokat) alattválassza az Igen lehetőséget.

Ezzel a beállítással bármely felhasználó regisztrálhat alkalmazásokat. A felhasználónak azonban továbbra is szüksége van arra, hogy az Azure AD rendszergazdája jóváhagyást adjon a fürtregisztráció során.

Megjegyzés

Ez a beállítás bérlői szintű beállítás, ezért nagyvállalati ügyfelek számára nem biztos, hogy megfelelő.

2. lehetőség: A felhőalkalmazás-felügyeleti szerepkör hozzárendelése

Rendelje hozzá a beépített Felhőalkalmazás-felügyelet Azure AD-szerepkört a felhasználóhoz. Ez a hozzárendelés lehetővé teszi, hogy a felhasználó további rendszergazdai jóváhagyás nélkül regisztráljon és Active Directory fürtök regisztrációját.

A legszigorúbb lehetőség egy egyéni Active Directory szerepkör létrehozása egyéni hozzájárulási szabályzatokkal, amely bérlői szintű rendszergazdai jóváhagyást delegál az Azure Stack HCI számára. Amikor ezt az egyéni szerepkört hozzárendeli a felhasználókhoz, a felhasználók regisztrálva és meg is adhatják a hozzájárulásukat anélkül, hogy további Active Directory rendszergazdai jóváhagyásra lenne szükségük.

Megjegyzés

Ehhez a lehetőséghez prémium szintű Azure AD licenc szükséges. Egyéni szerepkört Active Directory és az egyéni hozzájárulási szabályzat funkcióit használja.

  1. Összekapcsolás az Azure Active Directoryval:

    Connect-AzureAD
    
  2. Egyéni hozzájárulási szabályzat létrehozása:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"
    
  3. Adjon hozzá egy feltételt, amely tartalmazza az Azure Stack HCI-szolgáltatáshoz szükséges alkalmazásengedélyeket, amely az alkalmazás azonosítóját tartalmazza: 1322e676-dee7-41ee-a874-ac923822781c.

    Megjegyzés

    A következő engedélyek a Azure Stack HCI.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"
    
  4. Adjon engedélyeket a Azure Stack HCI regisztrálásának engedélyezése érdekében, a 2. lépésben létrehozott egyéni hozzájárulási szabályzatot értesítés nélkül:

    $displayName = "Azure Stack HCI Registration Administrator "
    $description = "Custom AD role to allow registering Azure Stack HCI "
    $templateId = (New-Guid).Guid
    $allowedResourceAction =
    @(
           "microsoft.directory/applications/createAsOwner",
           "microsoft.directory/applications/delete",
           "microsoft.directory/applications/standard/read",
           "microsoft.directory/applications/credentials/update",
           "microsoft.directory/applications/permissions/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
           "microsoft.directory/servicePrincipals/appRoleAssignments/read",
           "microsoft.directory/servicePrincipals/createAsOwner",
           "microsoft.directory/servicePrincipals/credentials/update",
           "microsoft.directory/servicePrincipals/permissions/update",
           "microsoft.directory/servicePrincipals/standard/read",
           "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
    )
    $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
    
  5. Hozza létre az új egyéni Active Directory szerepkört:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
    
  6. Az alábbi utasításokat követve rendelje hozzá az új egyéni Active Directory szerepkört ahhoz a felhasználóhoz, aki Azure Stack HCI fürtöt az Azure-ban.

Az Azure Stack HCI regisztrációjának Windows felügyeleti központ használatával

Ha készen áll a Azure Stack HCI leszerelésre, csatlakozzon a fürthöz a felügyeleti Windows használatával. Válassza Gépház bal oldali Eszközök menü alján található Eszközök lehetőséget. Ezután válassza Azure Stack HCI regisztrációt,majd kattintson a Regisztrációk regisztrációjának megszökása gombra.

A regisztrációt megszökő folyamat automatikusan megtisztítja a fürtöt képviselő Azure-erőforrást, az Azure-erőforráscsoportot (ha a csoport a regisztráció során lett létrehozva, és nem tartalmaz más erőforrásokat), valamint az Azure AD-alkalmazásidentitást. Ez a tisztítás leállítja az összes figyelési, támogatási és számlázási funkciót a Azure Arc.

Megjegyzés

A fürtök regisztrációjának Azure Stack HCI Azure AD-rendszergazdára vagy egy másik, megfelelő engedélyekkel rendelkező felhasználóra van szükség.

Ha a Windows Felügyeleti központ átjárója egy másik Azure Active Directory- (bérlő-) azonosítóhoz van regisztrálva, mint amelyet a fürt kezdeti regisztrálásához használt, problémákba ütközhet, amikor a Windows Felügyeleti központ használatával próbálja meg regisztrálni a fürtöt. Ebben az esetben kövesse az alábbi PowerShell-utasításokat.

Az Azure Stack HCI a PowerShell használatával

A parancsmagot a fürtök regisztrációjának Azure Stack HCI Unregister-AzStackHCI is használhatja. A parancsmagot futtathatja fürtcsomóponton vagy egy felügyeleti számítógépről is.

Előfordulhat, hogy telepítenie kell a modul legújabb Az.StackHCI verzióját. Ha a rendszer kéri, Are you sure you want to install the modules from 'PSGallery'? válaszoljon az igen ( Y ) válaszra.

Install-Module -Name Az.StackHCI

Fürtcsomópont regisztrációjának megszökása

Ha a parancsmagot a fürt egyik kiszolgálóján Unregister-AzStackHCI futtatja, használja a következő szintaxist. Adja meg az Azure-előfizetés azonosítóját és a regisztrációt Azure Stack HCI fürt erőforrásnevét.

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

A rendszer arra kéri, hogy látogasson el microsoft.com/devicelogin másik eszközön (például a számítógépén vagy telefonján). Írja be a kódot, és jelentkezzen be oda az Azure-ral való hitelesítéshez.

Regisztrációjának a felügyeleti számítógépről való regisztrációjának megszűkül

Ha a parancsmagot felügyeleti számítógépről futtatja, akkor a fürtben található kiszolgáló nevét is meg kell adnia:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Megjelenik egy interaktív Azure bejelentkezési ablak. A megjelenő pontos kérések a biztonsági beállításoktól (például a kétfaktoros hitelesítéstől) függnek. A bejelentkezéshez kövesse az utasításokat.

A nem megfelelően regisztrált fürtök utáni tisztítás

Ha egy felhasználó a regisztráció törlése nélkül semmisít meg egy Azure Stack HCI fürtöt, például a gazdakiszolgálók rendszerképének rendszerképének törlésével vagy virtuális fürtcsomópontok törlésével, akkor az összetevők az Azure-ban maradnak. Ezek az összetevők ártalmatlanok, és nem fognak számlázást vagy erőforrásokat használni, de zsúfolttá Azure Portal. A tisztításukhoz manuálisan törölheti őket.

A Azure Stack HCI törléséhez kattintson az oldalára a Azure Portal, és válassza a Törlés lehetőséget a felső műveletsávon. Adja meg az erőforrás nevét a törlés megerősítéséhez, majd válassza a Törlés lehetőséget.

Az Azure AD-alkalmazásidentitás törléséhez kattintson az AzureAD-alkalmazásregisztrációk Mindenalkalmazás gombra. Válassza a Törlés lehetőséget, és erősítse meg.

Az erőforrást a PowerShell Azure Stack HCI is törölheti:

Remove-AzResource -ResourceId "HCI001"

Előfordulhat, hogy telepítenie kell a Az.Resources modult:

Install-Module -Name Az.Resources

Ha az erőforráscsoport a regisztráció során jött létre, és nem tartalmaz más erőforrásokat, akkor azt is törölheti:

Remove-AzResourceGroup -Name "HCI001-rg"

Következő lépések

A kapcsolódó információkért lásd: