サーバーを登録し、Azure Stack HCI バージョン 23H2 デプロイのアクセス許可を割り当てる

[アーティクル]
04/28/2024

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Azure Stack HCI サーバーを登録し、Azure Stack HCI バージョン 23H2 クラスターをデプロイするために必要なアクセス許可を設定する方法について説明します。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

前提条件を満たし、デプロイチェックリストを完了します。
Active Directory 環境を準備します。
各サーバーに Azure Stack HCI バージョン 23H2 オペレーティングシステムをインストールします。
サブスクリプションを必要なリソースプロバイダー (RP) に登録します。 Azure portalまたはAzure PowerShellのいずれかを使用して登録できます。次のリソース RP を登録するには、サブスクリプションの所有者または共同作成者である必要があります。
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
注意

Azure サブスクリプションをリソースプロバイダーに登録するユーザーは、Azure Stack HCI サーバーを Arc に登録しているユーザーとは異なる人物であることが前提です。
サーバーを Arc リソースとして登録する場合は、サーバーがプロビジョニングされたリソースグループに対して次のアクセス許可があることを確認します。
- Azure Connected Machine のオンボード
- Azure Connected Machine のリソース管理者
これらのロールがあることを確認するには、Azure portalの次の手順に従います。
1. Azure Stack HCI デプロイに使用するサブスクリプションに移動します。
2. サーバーを登録する予定のリソースグループに移動します。
3. 左側のウィンドウで、[Access Control (IAM)] に移動します。
4. 右側のウィンドウで、[ ロールの割り当て] に移動します。 Azure Connected Machine Onboarding ロールと Azure Connected Machine Resource Administrator ロールが割り当てられていることを確認します。

Azure Arc にサーバーを登録する

重要

クラスター化するすべての Azure Stack HCI サーバーで次の手順を実行します。

PSGallery から Arc 登録スクリプトをインストールします。

PowerShell
出力

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

インストールの出力例を次に示します。

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

パラメーターを設定します。スクリプトは、次のパラメーターを受け取ります。

パラメーター	説明
`SubscriptionID`	サーバーを Azure Arc に登録するために使用されるサブスクリプションの ID。
`TenantID`	サーバーを Azure Arc に登録するために使用されるテナント ID。Microsoft Entra IDに移動し、テナント ID プロパティをコピーします。
`ResourceGroup`	サーバーの Arc 登録用に事前に作成されたリソースグループ。リソースグループが存在しない場合は作成されます。
`Region`	登録に使用される Azure リージョン。使用できるサポートされているリージョンを参照してください。
`AccountID`	クラスターを登録してデプロイするユーザー。
`DeviceCode`	コンソール `https://microsoft.com/devicelogin` に表示されるデバイスコードとは、デバイスへのサインインに使用されます。

PowerShell
出力

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

パラメーターの出力例を次に示します。

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Azure アカウントに接続し、サブスクリプションを設定します。サーバーへの接続に使用しているクライアントでブラウザーを開き、このページを開き、 https://microsoft.com/devicelogin Azure CLI 出力に指定されたコードを入力して認証する必要があります。登録のアクセストークンとアカウント ID を取得します。

PowerShell
出力

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

サブスクリプションと認証の設定のサンプル出力を次に示します。

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

最後に、Arc 登録スクリプトを実行します。スクリプトの実行には数分かかります。

PowerShell
出力

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

プロキシサーバー経由でインターネットにアクセスする場合は、パラメーターを渡 -proxy し、スクリプトの実行時と同様 http://<Proxy server FQDN or IP address>:Port にプロキシサーバーを指定する必要があります。

サーバーの正常な登録のサンプル出力を次に示します。

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

スクリプトがすべてのサーバーで正常に完了したら、次のことを確認します。
1. サーバーは Arc に登録されます。Azure portalに移動し、登録に関連付けられているリソースグループに移動します。サーバーは、指定したリソースグループ内で [マシン - Azure Arc タイプのリソース] として表示されます。
2. 必須の Azure Stack HCI 拡張機能がサーバーにインストールされます。リソースグループから、登録済みサーバーを選択します。 [拡張機能] に移動します。必須の拡張機能が右側のウィンドウに表示されます。

デプロイに必要なアクセス許可を割り当てる

このセクションでは、Azure portalからデプロイするための Azure アクセス許可を割り当てる方法について説明します。

Azure portalで、サーバーの登録に使用するサブスクリプションに移動します。左側のウィンドウで [アクセス制御 (IAM)] を選択します。右側のウィンドウで [ + 追加] を選択し、ドロップダウンリストから [ ロールの割り当ての追加] を選択します。
タブを確認し、クラスターをデプロイするユーザーに次のロールのアクセス許可を割り当てます。
- Azure Stack HCI 管理者
- クラウドアプリケーション管理者
- Reader
注意

サービスプリンシパルを作成するには、クラウドアプリケーション管理者のアクセス許可が一時的に必要です。デプロイ後、このアクセス許可を削除できます。
Azure portalで、サブスクリプションにサーバーを登録するために使用するリソースグループに移動します。左側のウィンドウで [アクセス制御 (IAM)] を選択します。右側のウィンドウで [ + 追加] を選択し、ドロップダウンリストから [ ロールの割り当ての追加] を選択します。
タブを確認し、クラスターをデプロイするユーザーに次のアクセス許可を割り当てます。
- Key Vault データアクセス管理者: このアクセス許可は、デプロイに使用されるキーコンテナーに対するデータプレーンのアクセス許可を管理するために必要です。
- Key Vault シークレット責任者: このアクセス許可は、デプロイに使用されるキーコンテナー内のシークレットの読み取りと書き込みに必要です。
- Key Vault共同作成者: このアクセス許可は、デプロイに使用するキーコンテナーを作成するために必要です。
- ストレージアカウント共同作成者: このアクセス許可は、デプロイに使用するストレージアカウントを作成するために必要です。
右側のウィンドウで、[ロールの 割り当て] に移動します。展開ユーザーに構成されているすべてのロールがあることを確認します。

次の手順

クラスター内の最初のサーバーを設定したら、Azure portalを使用してデプロイする準備ができました。

Azure portalを使用してデプロイします。

Share via