Azure Stack HCI verbinden met Azure

Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2

Nu u het besturingssysteem hebt Azure Stack HCI en een cluster hebt gemaakt, moet u het cluster registreren bij Azure. Azure Stack HCI wordt geleverd als een Azure-service en moet zich binnen 30 dagen na de installatie per Azure-Voorwaarden voor Online Diensten.

In dit onderwerp wordt uitgelegd hoe u uw Azure Stack HCI cluster registreert bij Azure voor bewaking, ondersteuning, facturering en hybride services. Na de registratie wordt Azure Resource Manager resource gemaakt om elk on-premises Azure Stack HCI-cluster weer te geven, en wordt het Azure-beheervlak effectief uitgebreid naar Azure Stack HCI. Informatie wordt periodiek gesynchroniseerd tussen de Azure-resource en de on-premises cluster(s). Azure-registratie is een systeemeigen functie van het Azure Stack HCI besturingssysteem, zodat er geen agent nodig is om te registreren.

Vereisten voor clusterregistratie

U kunt uw cluster pas registreren bij Azure als u een cluster Azure Stack HCI gemaakt. De clusterknooppunten moeten fysieke servers zijn om het cluster te kunnen ondersteunen. Virtuele machines kunnen worden gebruikt voor het testen.

Voor de eenvoudigste registratie-ervaring moet u een Azure AD-beheerder (eigenaar of beheerder van gebruikerstoegang met de rol Inzender) het registratieproces laten uitvoeren met behulp van Windows-beheercentrum of PowerShell.

Voordat u uw cluster registreert, moet u ervoor zorgen dat elke server in het cluster actief is en of aan de volgende vereisten is voldaan.

Windows-beheercentrum moet zijn geregistreerd bij Azure

Als u van plan bent om een Azure Stack HCI-cluster te registreren met behulp van het Windows-beheercentrum, moet u eerst Windows-beheercentrum registreren bij Azure en uw Azure Active Directory-id (tenant)-id opgeven. Zorg ervoor dat de computer waarop u Windows-beheercentrum wordt uitgevoerd, lid is van hetzelfde Active Directory-domein waarin u het cluster of een vertrouwd domein maakt.

Internettoegang en firewallpoorten

Azure Stack HCI moet regelmatig verbinding maken met de openbare Azure-cloud. Als de uitgaande connectiviteit wordt beperkt door uw externe zakelijke firewall of proxyserver, moeten deze worden geconfigureerd om uitgaande toegang tot poort 443 (HTTPS) toe te staan op een beperkt aantal bekende Azure-IP's. Zie Firewallvereisten voor Azure Stack HCI voor meer informatie over het voorbereiden van uw firewalls en het instellen van een proxyserver.

Azure-abonnement en -machtigingen

Als u nog geen Azure-account hebt, maakt u er een.

U kunt een bestaand abonnement van elk type gebruiken:

• Gratis account met Azure-tegoed voor studenten Visual Studio abonnees
• Betalen per gebruikt-abonnement met creditcard
• Abonnement verkregen via een Enterprise Agreement (EA)
• Abonnement verkregen via het Cloud Solution Provider (CSP)-programma

De gebruiker die het cluster registreert, moet azure-abonnementmachtigingen hebben voor:

• Registreer een resourceprovider
• Azure-resources en -resourcegroepen maken/verwijderen

Als uw Azure-abonnement via een EA of CSP gaat, is de eenvoudigste manier om de beheerder van uw Azure-abonnement te vragen om een ingebouwde rol 'Eigenaar' toe te wijzen aan uw abonnement, of een rol 'Beheerder van gebruikerstoegang' samen met de rol 'Inzender'. Sommige beheerders geven echter mogelijk de voorkeur aan een meer beperkende optie. In dit geval is het mogelijk om een aangepaste Azure-rol te maken die specifiek is Azure Stack HCI registratie door de volgende stappen uit te voeren:

1. Maak een json-bestand met de naam customHCIRole.json met de volgende inhoud. Zorg ervoor dat u uw <subscriptionID> Azure-abonnements-id wijzigt. Als u uw abonnements-id wilt portal.azure.com,gaat u naar Abonnementen en kopieert/plakt u uw id uit de lijst.

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.Resources/subscriptions/resourceGroups/delete",
       "Microsoft.AzureStackHCI/register/action",
       "Microsoft.AzureStackHCI/Unregister/Action",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.HybridCompute/register/action",
       "Microsoft.GuestConfiguration/register/action"
     ],
     "NotActions": [
     ],
   "AssignableScopes": [
       "/subscriptions/<subscriptionId>"
     ]
   }
   

2. Maak de aangepaste rol:

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

3. Wijs de aangepaste rol toe aan de gebruiker:

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

Azure Active Directory machtigingen

U hebt ook de juiste machtigingen Azure Active Directory het registratieproces te voltooien. Als u deze nog niet hebt, vraagt u uw Azure AD-beheerder om toestemming te verlenen of de machtigingen aan u te delegeren. Zie Azure-registratie beheren voor meer informatie.

Beschikbaarheid in regio’s

De Azure Stack HCI-service wordt gebruikt voor registratie, facturering en beheer. Het wordt momenteel ondersteund in de volgende regio's. Deze openbare regio's ondersteunen geografische locaties wereldwijd, voor clusters die overal ter wereld worden geïmplementeerd:

• VS - oost
• Europa -west
• Azië - zuidoost

Deze regio ondersteunt Azure China:

• China - oost 2

Deze regio ondersteunt Azure Government:

• VS (overheid) - Virginia

Een cluster registreren met Windows-beheercentrum

De eenvoudigste manier om uw cluster te registreren Azure Stack HCI is met behulp van Windows-beheercentrum. Houd er rekening mee dat de gebruiker Azure Active Directory-machtigingen moet hebben, anderswordt het registratieproces niet voltooid. In plaats daarvan wordt de registratie afgesloten en wordt de registratie in afwachting van goedkeuring door de beheerder afgesloten en moet de gebruiker de registratiewizard opnieuw uitvoeren zodra de machtigingen zijn verleend.

Als u Azure Stack HCI, versie 21H2, gebruikt, moet aan de gebruiker de rol Azure-eigenaar of gebruikerstoegangbeheerder zijn toegewezen. Er wordt ook een foutbericht weergegeven: 'Kan vereiste rollen niet toewijzen voor Azure Arc-integratie'. Gebruikers aan wie deze rollen niet zijn toegewezen, kunnen nog steeds een cluster registreren met Behulp van PowerShell,maar ze moeten de integratie handmatig Azure Arc uitschakelen.

1. Voordat u begint met het registratieproces, moet u zich eerst bij Windows-beheercentrum registreren bij Azure en u aanmelden bij Windows-beheercentrum met uw Azure-account.

   Belangrijk

   Wanneer u Windows-beheercentrum registreert bij Azure, is het belangrijk dat u dezelfde Azure Active Directory-id (tenant) gebruikt die u voor de clusterregistratie wilt gebruiken. Een Azure AD-tenant-id vertegenwoordigt een specifiek exemplaar van Azure AD met accounts en groepen, terwijl een Azure-abonnements-id een overeenkomst vertegenwoordigt voor het gebruik van Azure-resources waarvoor kosten in rekening worden gebracht. Als u uw tenant-id wilt vinden, gaat u portal.azure.com en selecteert u Azure Active Directory. Uw tenant-id wordt weergegeven onder Tenantgegevens. Als u uw Azure-abonnements-id wilt op halen, gaat u naar Abonnementen en kopieert/plakt u uw id uit de lijst.

2. Open Windows beheercentrum en selecteer Instellingen helemaal onder in het menu Extra aan de linkerkant. Selecteer vervolgens Azure Stack HCI registratie onderaan het Instellingen menu. Als uw cluster nog niet is geregistreerd bij Azure, wordt registratiestatusNiet geregistreerd. Klik op de knop Registreren om door te gaan. U kunt dit cluster ook registreren in het dashboard Windows Beheercentrum.

   Notitie

   Als u zich niet hebt Windows in stap 1, wordt u gevraagd dit nu te doen. In plaats van de wizard clusterregistratie ziet u de wizard Windows registratie van het beheercentrum.

3. Geef de Azure-abonnements-id op waar u het cluster wilt registreren. Als u uw Azure-abonnements-id wilt op portal.azure.com, gaat u naar Abonnementen en kopieert/plakt u uw id in de lijst. Als uw Azure AD-beheerder u een Azure-resourcegroep heeft gegeven om te gebruiken, selecteert u deze in de vervolgkeuzelijst; anders selecteert u Nieuwe maken. Selecteer de Azure-regio in de vervolgkeuzelijst en klik op Registreren.

   

4. Als u voldoende machtigingen Azure Active Directory, moet de werkstroom voor clusterregistratie nu worden voltooid en zou u uw cluster in de Azure Portal. Als u een bericht ontvangt dat u aanvullende machtigingen Azure Active Directory, gaat u verder met stap 5.

5. Als u niet voldoende machtigingen Azure Active Directory, moet u uw Azure AD-beheerder vragen machtigingen te verlenen aan de app. U ziet een koppeling naar de Azure Portal die naar de specifieke app-id van het cluster gaat, zoals in de onderstaande schermopname. Kopieer deze koppeling en geef deze aan uw Azure AD-beheerder. Als u wilt controleren of toestemming is verleend, selecteert u Toestemming weergeven in Azure AD. Nadat toestemming is verleend, moet u de wizard opnieuw uitvoeren, te beginnen met stap 2 hierboven.

   

Een cluster registreren met Behulp van PowerShell

Gebruik de volgende procedure om een cluster Azure Stack HCI azure te registreren met behulp van een beheer-pc.

1. Installeer de vereiste cmdlets op uw beheer-pc. Als u Azure Stack HCI, versie 20H2 en uw cluster is geïmplementeerd vóór 10 december 2020, moet u ervoor zorgen dat u de preview-update van november 2020 (KB4586852) hebt toegepast op elke server in het cluster voordat u zich bij Azure probeert te registreren.

   Install-Module -Name Az.StackHCI
   

   Notitie

   • Mogelijk ziet u een prompt zoals Wilt u dat PowerShellGet nu de NuGet-provider installeert en importeert? waarop u Ja (Y) moet antwoorden.
   • U wordt mogelijk ook gevraagd Of u zeker weet dat u de modules van PSGallery wilt installeren? waarop u Ja (Y) moet antwoorden.

2. Voer de registratie uit met de naam van een server in het cluster. Als u uw Azure-abonnements-id wilt op portal.azure.com, gaat u naar Abonnementen en kopieert/plakt u uw id in de lijst.

   Belangrijk

   Als u een Azure Stack HCI in Azure China, moet u de Register-AzStackHCI cmdlet uitvoeren met de volgende aanvullende parameters:

   -EnvironmentName AzureChinaCloud -Region "ChinaEast2"

   Als u zich registreert in Azure Government, gebruikt u deze parameters:

   -EnvironmentName AzureUSGovernment -Region "USGovVirginia"

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
   

   Met deze syntaxis wordt het cluster (waarvan Server1 lid is) geregistreerd als de huidige gebruiker, met de standaard Azure-regio en cloudomgeving, en met behulp van slimme standaardnamen voor de Azure-resource en -resourcegroep. U kunt ook de optionele -Region parameters , , en toevoegen aan deze opdracht om deze waarden op te -ResourceName-TenantId-ResourceGroupName geven.

   Notitie

   Als u Azure Stack HCI, versie 21H2, gebruikt, maakt het uitvoeren van de Register-AzStackHCI cmdlet Register-AzStackHCI mogelijk op elke server in het cluster en moet de gebruiker die het uitvoeren een Azure-eigenaar of gebruikerstoegangbeheerder zijn. Als u niet wilt dat de servers Arc ingeschakeld of niet de juiste rollen hebben, geeft u deze aanvullende parameter door: -EnableAzureArcServer:$false

   Houd er rekening mee dat de gebruiker die de cmdlet gebruikt Azure Active Directory-machtigingen moet hebben, anders wordt het registratieproces niet voltooid. In plaats daarvan wordt de registratie afgesloten en wordt de registratie in afwachting van goedkeuring door de beheerder Register-AzStackHCI verlaten. Register-AzStackHCI Zodra de machtigingen zijn verleend, hoeft u alleen maar opnieuw uit te voeren Register-AzStackHCI om de registratie te voltooien.

3. Verifiëren met Azure

   Als u het registratieproces wilt voltooien, moet u zich verifiëren (aanmelden) met uw Azure-account. Uw account moet toegang hebben tot het Azure-abonnement dat is opgegeven in stap 2 hierboven, zodat de registratie kan worden uitgevoerd. Kopieer de opgegeven code, navigeer naar microsoft.com/devicelogin apparaat op een ander apparaat (zoals uw pc of telefoon), voer de code in en meld u daar aan. In de registratiewerkstroom wordt gedetecteerd wanneer u bent aangemeld, waarna het proces wordt voltooid. Vervolgens wordt het cluster weergegeven in Azure Portal.

Integratie van Azure Arc inschakelen

Als u een preview-kanaalklant bent en u uw preview-kanaalcluster voor het eerst hebt geregistreerd bij Azure op of na 15 juni 2021, wordt standaard elke server in het cluster Azure Arc ingeschakeld, zolang de gebruiker die het cluster registreert de rollen Azure-eigenaar of Gebruikerstoegangbeheerder heeft. Anders moet u de volgende stappen ondernemen om de integratie van Azure Arc op de servers mogelijk te maken.

1. Installeer de nieuwste versie van de Az.StackHCI module op uw beheer-pc:

   Install-Module -Name Az.StackHCI
   

2. Voer de cmdlet opnieuw uit en geef uw Azure-abonnements-id op. Dit moet dezelfde id zijn als waarop het Register-AzStackHCI cluster oorspronkelijk is geregistreerd. De -ComputerName parameter kan de naam zijn van elke server in het cluster. Met deze stap Azure Arc integratie op elke server in het cluster mogelijk. Dit heeft geen invloed op uw huidige clusterregistratie bij Azure en u hoeft de registratie van het cluster niet eerst ongedaan te maken.

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1
   

   Belangrijk

   Als het cluster oorspronkelijk is geregistreerd met behulp van een , of dat verschilt van de standaardinstellingen, moet u hier dezelfde parameters en -Region-ResourceName waarden -ResourceGroupName opgeven. Bij Get-AzureStackHCI Het uitvoeren worden deze waarden weergegeven.

3. Als Azure Arc integratie mislukt, moeten de servers mogelijk communiceren via een proxyserver. U kunt dit oplossen door de omgevingsvariabele van de proxyserver in te stellen door de volgende PowerShell-opdracht als beheerder uit te voeren op elke server in het cluster:

   [Environment]::SetEnvironmentVariable("https_proxy", "http://{proxy-url}:{proxy-port}", "Machine")
   $env:https_proxy = [System.Environment]::GetEnvironmentVariable("https_proxy","Machine")
   # For the changes to take effect, the agent service needs to be restarted after the proxy environment variable is set.
   Restart-Service -Name himds
   

   Registreer het cluster vervolgens opnieuw Azure Stack HCI cluster.

Problemen oplossen

Voor het oplossen Azure Stack HCI registratieproblemen moet u zowel PowerShell-registratielogboeken als hcisvc-logboeken voor foutopsporing van elke server in het cluster bekijken.

PowerShell-registratielogboeken verzamelen

Wanneer en cmdlets worden uitgevoerd, worden logboekbestanden met de naam Register-AzStackHCIUnregister-AzStackHCIRegister-AzStackHCI en Unregister-AzStackHCI gemaakt voor elke poging. Deze bestanden worden gemaakt in de werkmap van de PowerShell-sessie waarin de cmdlets worden uitgevoerd. Foutopsporingslogboeken zijn niet standaard opgenomen. Als er een probleem is dat de aanvullende logboeken voor foutopsporing nodig heeft, stelt u de foutopsporingsvoorkeur in op Doorgaan door de volgende cmdlet uit te gaan voordat u of gaat Unregister-AzStackHCI uitvoeren.

$DebugPreference = 'Continue'

On-premises hcisvc-logboeken verzamelen

Als u logboeken voor foutopsporing voor hcisvc wilt inschakelen, moet u het volgende uitvoeren in PowerShell op elke server in het cluster:

wevtutil.exe sl /q /e:true Microsoft-AzureStack-HCI/Debug

De logboeken ophalen:

Get-WinEvent -Logname Microsoft-AzureStack-HCI/Debug -Oldest -ErrorAction Ignore

Veelvoorkomende registratieproblemen

Tijdens de registratie moet elke server in het cluster actief zijn met uitgaande internetverbinding naar Azure. De Register-AzStackHCI cmdlet spreekt met alle servers in het cluster om certificaten voor elk van deze servers in te leveren. Elke server gebruikt het certificaat om een API-aanroep te maken naar HCI-services in de cloud om de registratie te valideren.

Als de registratie mislukt, ziet u mogelijk het volgende bericht:

Kan niet worden geregistreerd. Kan geen zelf-ondertekend certificaat genereren op knooppunt(en) {Node1,Node2}. Kan registratiecertificaat niet instellen en verifiëren op knooppunt(en) {Node1,Node2}

Als er knooppuntnamen zijn na het foutbericht 'Kan zelf-ondertekend certificaat niet genereren op knooppunt(en)', kunnen we het certificaat niet genereren op die server(en). Ga als volgt te werk om het probleem op te lossen:

1. Controleer of elke server in het bovenstaande bericht actief is. U kunt de status van hcisvc controleren door uit te sc.exe query hcisvc werken en deze indien nodig te starten met start-service hcisvc .

2. Controleer of elke server die in het foutbericht wordt vermeld, verbinding heeft met de computer waarop de Register-AzStackHCI cmdlet wordt uitgevoerd. Controleer dit door de volgende cmdlet uit te voeren vanaf de computer waarop wordt uitgevoerd. Gebruik om verbinding te maken met elke server in het cluster en controleer Register-AzStackHCINew-PSSession of deze werkt.

   New-PSSession -ComputerName {failing nodes}
   

Als er knooppuntnamen zijn na het foutbericht Kan het registratiecertificaat niet instellen en verifiëren op knooppunt(en) staan, is het mogelijk om het certificaat op de server(s) te genereren, maar kunnen de server(s) de HCI-cloudservice-API niet aanroepen. Ga als volgt te werk om het probleem op te lossen:

1. Zorg ervoor dat elke server over de vereiste internetverbinding beschikt om te communiceren met Azure Stack HCI-cloudservices en andere vereiste Azure-services, zoals Azure Active Directory, en dat deze niet wordt geblokkeerd door een of meer firewalls. Zie Firewallvereisten voor Azure Stack HCI.

2. Probeer de Test-AzStackHCIConnection cmdlet uit te uitvoeren en zorg ervoor dat deze is geslaagd. Met deze cmdlet wordt het status-eindpunt van HCI-cloudservices aanroepen om de connectiviteit te testen.

3. Bekijk de hcisvc-logboeken voor foutopsporing op elk knooppunt dat in het foutbericht wordt vermeld.

   • Het is geen probleem om 'ExecuteWithRetry-bewerking AADTokenFetch is mislukt met fout voor opnieuw proberen' een paar keer weer te geven voordat deze mislukt met 'ExecuteWithRetry operation AADTokenFetch failed after all retries' of 'ExecuteWithRetry operation AADTokenFetch succeeded in retry'.
   • Als de bewerking ExecuteWithRetry AADTokenFetch is mislukt na alle nieuwe pogingen in de logboeken wordt aangetroffen, is het niet gelukt om het Azure Active Directory-token uit de service op te halen, zelfs niet na alle nieuwe pogingen. Er wordt een bijbehorende AAD uitzondering die met dit bericht wordt geregistreerd.
   • Als u 'AADSTS700027: Clientverklaring bevat een ongeldige handtekening ziet. [Reden: de gebruikte sleutel is verlopen. Vingerafdruk van sleutel die wordt gebruikt door client: {SomeThumbprint}, Gevonden sleutel 'Start=29-06-2021 21:13:15, End=06/29/2023 21:13:15'. Dit is een probleem met de manier waarop de tijd op de server wordt ingesteld. Controleer de UTC-tijd op alle servers door uit te werken in PowerShell en vergelijk deze [System.DateTime]::UtcNow met de werkelijke UTC-tijd. Als de tijd niet juist is, stelt u de juiste tijden op de servers in en probeert u de registratie opnieuw.

Volgende stappen

Als u de volgende beheertaak met betrekking tot dit artikel wilt uitvoeren, gaat u naar: