Uw servers registreren en machtigingen toewijzen voor implementatie van Azure Stack HCI versie 23H2

Artikel
04/29/2024

Van toepassing op: Azure Stack HCI, versie 23H2

In dit artikel wordt beschreven hoe u uw Azure Stack HCI-servers registreert en vervolgens de vereiste machtigingen instelt voor het implementeren van een Azure Stack HCI- versie 23H2-cluster.

Vereisten

Voordat u begint, controleert u of u aan de volgende vereisten hebt voldaan:

Voldoe aan de vereisten en voltooi de controlelijst voor implementatie.
Bereid uw Active Directory-omgeving voor .
Installeer het besturingssysteem Azure Stack HCI versie 23H2 op elke server.
Registreer uw abonnement bij de vereiste resourceproviders (RPs). U kunt de Azure Portal of de Azure PowerShell gebruiken om u te registreren. U moet een eigenaar of inzender van uw abonnement zijn om de volgende resource-RPs te registreren:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Notitie

De veronderstelling is dat de persoon die het Azure-abonnement registreert bij de resourceproviders een andere persoon is dan degene die de Azure Stack HCI-servers registreert met Arc.
Als u de servers registreert als Arc-resources, moet u ervoor zorgen dat u de volgende machtigingen hebt voor de resourcegroep waarin de servers zijn ingericht:
- Azure Connected Machine Onboarding
- Resourcebeheerder voor verbonden Azure-machines
Volg deze stappen in de Azure Portal om te controleren of u deze rollen hebt:
1. Ga naar het abonnement dat u gebruikt voor de Azure Stack HCI-implementatie.
2. Ga naar de resourcegroep waar u de servers wilt registreren.
3. Ga in het linkerdeelvenster naar Access Control (IAM).
4. Ga in het rechterdeelvenster naar Roltoewijzingen. Controleer of de rollen Azure Connected Machine Onboarding en Azure Connected Machine Resource Administrator zijn toegewezen.

Servers registreren met Azure Arc

Belangrijk

Voer deze stappen uit op elke Azure Stack HCI-server die u wilt clusteren.

Installeer het Arc-registratiescript vanuit PSGallery.

PowerShell
Uitvoer

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Hier volgt een voorbeeld van de uitvoer van de installatie:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Stel de parameters in. Het script gebruikt de volgende parameters:

Parameters	Description
`SubscriptionID`	De id van het abonnement dat wordt gebruikt om uw servers te registreren bij Azure Arc.
`TenantID`	De tenant-id die wordt gebruikt om uw servers te registreren bij Azure Arc. Ga naar uw Microsoft Entra ID en kopieer de eigenschap tenant-id.
`ResourceGroup`	De resourcegroep die vooraf is gemaakt voor Arc-registratie van de servers. Er wordt een resourcegroep gemaakt als deze niet bestaat.
`Region`	De Azure-regio die wordt gebruikt voor registratie. Zie de Ondersteunde regio's die kunnen worden gebruikt.
`AccountID`	De gebruiker die het cluster registreert en implementeert.
`DeviceCode`	De apparaatcode die wordt weergegeven in de console op `https://microsoft.com/devicelogin` en wordt gebruikt om u aan te melden bij het apparaat.

PowerShell
Uitvoer

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Hier volgt een voorbeeld van de uitvoer van de parameters:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Maak verbinding met uw Azure-account en stel het abonnement in. U moet de browser openen op de client die u gebruikt om verbinding te maken met de server en deze pagina openen en https://microsoft.com/devicelogin de opgegeven code invoeren in de Azure CLI-uitvoer om te verifiëren. Haal het toegangstoken en de account-id voor de registratie op.

PowerShell
Uitvoer

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Hier volgt een voorbeelduitvoer van het instellen van het abonnement en de verificatie:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Voer ten slotte het Arc-registratiescript uit. Het uitvoeren van het script duurt enkele minuten.

PowerShell
Uitvoer

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Als u toegang hebt tot internet via een proxyserver, moet u de -proxy parameter doorgeven en de proxyserver opgeven zoals http://<Proxy server FQDN or IP address>:Port bij het uitvoeren van het script.

Hier volgt een voorbeeld van de uitvoer van een geslaagde registratie van uw servers:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Nadat het script op alle servers is voltooid, controleert u of:
1. Uw servers zijn geregistreerd bij Arc. Ga naar de Azure Portal en ga vervolgens naar de resourcegroep die aan de registratie is gekoppeld. De servers worden binnen de opgegeven resourcegroep weergegeven als Resources van het type Machine - Azure Arc .
2. De verplichte Azure Stack HCI-extensies worden geïnstalleerd op uw servers. Selecteer de geregistreerde server in de resourcegroep. Ga naar extensies. De verplichte extensies worden weergegeven in het rechterdeelvenster.

Vereiste machtigingen toewijzen voor implementatie

In deze sectie wordt beschreven hoe u Azure-machtigingen voor implementatie toewijst vanuit de Azure Portal.

Ga in de Azure Portal naar het abonnement dat is gebruikt om de servers te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer + Toevoegen in het rechterdeelvenster en selecteer in de vervolgkeuzelijst roltoewijzing toevoegen.
Doorloop de tabbladen en wijs de volgende rolmachtigingen toe aan de gebruiker die het cluster implementeert:
- Azure Stack HCI-beheerder
- Beheerder van de cloudtoepassing
- Lezer
Notitie

De machtiging cloudtoepassingsbeheerder is tijdelijk nodig om de service-principal te maken. Na de implementatie kan deze machtiging worden verwijderd.
Ga in de Azure Portal naar de resourcegroep die wordt gebruikt om de servers in uw abonnement te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer + Toevoegen in het rechterdeelvenster en selecteer in de vervolgkeuzelijst roltoewijzing toevoegen.
Doorloop de tabbladen en wijs de volgende machtigingen toe aan de gebruiker die het cluster implementeert:
- Key Vault Data Access-beheerder: deze machtiging is vereist voor het beheren van gegevensvlakmachtigingen voor de sleutelkluis die wordt gebruikt voor implementatie.
- Key Vault Secrets Officer: deze machtiging is vereist voor het lezen en schrijven van geheimen in de sleutelkluis die wordt gebruikt voor implementatie.
- Key Vault inzender: deze machtiging is vereist voor het maken van de sleutelkluis die wordt gebruikt voor de implementatie.
- Inzender voor opslagaccount: deze machtiging is vereist voor het maken van het opslagaccount dat wordt gebruikt voor de implementatie.
Ga in het rechterdeelvenster naar Roltoewijzingen. Controleer of de implementatiegebruiker alle geconfigureerde rollen heeft.

Volgende stappen

Nadat u de eerste server in uw cluster hebt ingesteld, bent u klaar om te implementeren met behulp van Azure Portal:

Implementeren met behulp van Azure Portal.