Daftarkan server Anda dan tetapkan izin untuk penyebaran Azure Stack HCI versi 23H2

Artikel
05/21/2024

Berlaku untuk: Azure Stack HCI, versi 23H2

Artikel ini menjelaskan cara mendaftarkan server Azure Stack HCI Anda lalu menyiapkan izin yang diperlukan untuk menyebarkan kluster Azure Stack HCI, versi 23H2.

Prasyarat

Sebelum memulai, pastikan Anda telah menyelesaikan prasyarat berikut:

Penuhi prasyarat dan daftar periksa penyebaran lengkap.
Siapkan lingkungan Direktori Aktif Anda.
Instal sistem operasi Azure Stack HCI, versi 23H2 di setiap server.
Daftarkan langganan Anda dengan penyedia sumber daya (RPs) yang diperlukan. Anda dapat menggunakan portal Azure atau Azure PowerShell untuk mendaftar. Anda harus menjadi pemilik atau kontributor pada langganan Anda untuk mendaftarkan RPs sumber daya berikut:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Catatan

Asumsinya adalah bahwa orang yang mendaftarkan langganan Azure dengan penyedia sumber daya adalah orang yang berbeda dari yang mendaftarkan server Azure Stack HCI dengan Arc.
Jika Anda mendaftarkan server sebagai sumber daya Arc, pastikan Anda memiliki izin berikut pada grup sumber daya tempat server disediakan:
- Onboarding Komputer yang Tersambung Azure
- Administrator Sumber Daya Komputer Yang Terhubung Azure
Untuk memverifikasi bahwa Anda memiliki peran ini, ikuti langkah-langkah berikut dalam portal Azure:
1. Buka langganan yang Anda gunakan untuk penyebaran Azure Stack HCI.
2. Buka grup sumber daya tempat Anda berencana mendaftarkan server.
3. Di panel kiri, buka Access Control (IAM).
4. Di panel kanan, buka Penetapan peran. Verifikasi bahwa Anda memiliki peran Azure Connected Machine Onboarding dan Azure Connected Machine Resource Administrator yang ditetapkan.

Mendaftarkan server dengan Azure Arc

Penting

Jalankan langkah-langkah ini di setiap server Azure Stack HCI yang ingin Anda klusterkan.

Instal skrip pendaftaran Arc dari PSGallery.

PowerShell
Output

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -RequiredVersion 2.13.2
Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2
Install-Module Az.Resources -RequiredVersion 6.12.0

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

Berikut adalah contoh output penginstalan:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 2.13.2 -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2 -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0 -Force

Atur parameter. Skrip mengambil parameter berikut:

Parameter	Deskripsi
`SubscriptionID`	ID langganan yang digunakan untuk mendaftarkan server Anda dengan Azure Arc.
`TenantID`	ID penyewa yang digunakan untuk mendaftarkan server Anda dengan Azure Arc. Buka Microsoft Entra ID Anda dan salin properti ID penyewa.
`ResourceGroup`	Grup sumber daya dibuat sebelumnya untuk pendaftaran Arc server. Grup sumber daya dibuat jika tidak ada.
`Region`	Wilayah Azure yang digunakan untuk pendaftaran. Lihat Wilayah yang didukung yang dapat digunakan.
`AccountID`	Pengguna yang mendaftar dan menyebarkan kluster.
`DeviceCode`	Kode perangkat yang ditampilkan di konsol di `https://microsoft.com/devicelogin` dan digunakan untuk masuk ke perangkat.

PowerShell
Output

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Berikut adalah contoh output parameter:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Sambungkan ke akun Azure Anda dan atur langganan. Anda harus membuka browser pada klien yang Anda gunakan untuk menyambungkan ke server dan membuka halaman ini: https://microsoft.com/devicelogin dan memasukkan kode yang disediakan dalam output Azure CLI untuk mengautentikasi. Dapatkan token akses dan ID akun untuk pendaftaran.

PowerShell
Output

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Berikut adalah contoh output pengaturan langganan dan autentikasi:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Akhirnya jalankan skrip pendaftaran Arc. Skrip ini membutuhkan waktu beberapa menit untuk dijalankan.

PowerShell
Output

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Jika Anda mengakses internet melalui server proksi, Anda perlu meneruskan -proxy parameter dan menyediakan server proksi seperti http://<Proxy server FQDN or IP address>:Port saat menjalankan skrip.

Untuk daftar wilayah Azure yang didukung, lihat Persyaratan Azure.

Berikut adalah contoh output dari pendaftaran server Anda yang berhasil:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Setelah skrip berhasil diselesaikan di semua server, verifikasi bahwa:
1. Server Anda terdaftar di Arc. Buka portal Azure lalu buka grup sumber daya yang terkait dengan pendaftaran. Server muncul dalam grup sumber daya yang ditentukan sebagai sumber daya jenis Komputer - Azure Arc .
2. Ekstensi Azure Stack HCI wajib diinstal di server Anda. Dari grup sumber daya, pilih server terdaftar. Buka Ekstensi. Ekstensi wajib muncul di panel kanan.

Menetapkan izin yang diperlukan untuk penyebaran

Bagian ini menjelaskan cara menetapkan izin Azure untuk penyebaran dari portal Azure.

Di portal Azure, buka langganan yang digunakan untuk mendaftarkan server. Di panel kiri, pilih Kontrol akses (IAM) . Di panel kanan, pilih + Tambahkan dan dari daftar dropdown, pilih Tambahkan penetapan peran.
Buka tab dan tetapkan izin peran berikut kepada pengguna yang menyebarkan kluster:
- Azure Stack HCI Administrator
- Administrator Aplikasi Cloud
- Pembaca
Catatan

Izin Administrator Aplikasi Cloud untuk sementara diperlukan untuk membuat perwakilan layanan. Setelah penyebaran, izin ini dapat dihapus.
Di portal Azure, buka grup sumber daya yang digunakan untuk mendaftarkan server pada langganan Anda. Di panel kiri, pilih Kontrol akses (IAM) . Di panel kanan, pilih + Tambahkan dan dari daftar dropdown, pilih Tambahkan penetapan peran.
Buka tab dan tetapkan izin berikut kepada pengguna yang menyebarkan kluster:
- Key Vault Administrator Akses Data: Izin ini diperlukan untuk mengelola izin bidang data ke brankas kunci yang digunakan untuk penyebaran.
- Key Vault Secrets Officer: Izin ini diperlukan untuk membaca dan menulis rahasia di brankas kunci yang digunakan untuk penyebaran.
- Key Vault Kontributor: Izin ini diperlukan untuk membuat brankas kunci yang digunakan untuk penyebaran.
- Kontributor Akun Penyimpanan: Izin ini diperlukan untuk membuat akun penyimpanan yang digunakan untuk penyebaran.
Di panel kanan, buka Penetapan peran. Verifikasi bahwa pengguna penyebaran memiliki semua peran yang dikonfigurasi.

Langkah berikutnya

Setelah menyiapkan server pertama di kluster, Anda siap untuk menyebarkan menggunakan portal Azure:

Sebarkan menggunakan portal Azure.

Share via