Clusterregistratie beheren met Azure

  • Artikel
  • 7 minuten om te lezen

Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2

Nadat u een cluster met Azure Stack HCI hebt gemaakt, moet u zich Windows-beheercentrum registreren bij Azure en het cluster vervolgens registreren bij Azure. Nadat het cluster is geregistreerd, synchroniseert het periodiek informatie tussen het on-premises cluster en de cloud.

In dit artikel wordt uitgelegd hoe u uw registratiestatus kunt weergeven, Azure Active Directory-machtigingen (Azure AD) kunt verlenen en de registratie van uw cluster ongedaan kunt maken wanneer u klaar bent om het uit bedrijf te nemen.

Registratiestatus weergeven in Windows-beheercentrum

Wanneer u verbinding maakt met een cluster met behulp van Windows-beheercentrum, ziet u het dashboard, waarin de Azure-verbindingsstatus wordt weergegeven. Verbonden betekent dat het cluster al is geregistreerd bij Azure en de afgelopen dag is gesynchroniseerd met de cloud.

Schermopname van de status van de clusterverbinding op het dashboard Windows Beheercentrum.

U kunt meer informatie krijgen door onder Instellingen menu Extra aan de linkerkant te selecteren en vervolgens Azure Stack HCI selecteren.

Schermopname met selecties voor het verkrijgen van Azure Stack H C I-registratiegegevens.

Registratiestatus weergeven in PowerShell

Als u de registratiestatus wilt weergeven Windows PowerShell, gebruikt u de Get-AzureStackHCI PowerShell-cmdlet en de eigenschappen ClusterStatusRegistrationStatus , en ConnectionStatus .

Nadat u bijvoorbeeld het besturingssysteem Azure Stack HCI geïnstalleerd, maar voordat u een cluster maakt of lid wordt, geeft de eigenschap ClusterStatus een NotYet status weer:

Schermopname van de Azure-registratiestatus voordat het cluster wordt gemaakt.

Nadat het cluster is gemaakt, wordt alleen RegistrationStatus een NotYet status weergeven:

Schermopname van de Azure-registratiestatus na het maken van het cluster.

U moet een cluster Azure Stack HCI binnen 30 dagen na de installatie registreren, zoals gedefinieerd in de Azure Voorwaarden voor Online Diensten. Als u na 30 dagen nog geen cluster hebt gemaakt of lid bent van een cluster, ClusterStatus wordt dan weer OutOfPolicy geven. Als u het cluster na 30 dagen nog niet hebt geregistreerd, RegistrationStatus wordt dan weer OutOfPolicy geven.

Nadat het cluster is geregistreerd, ziet u ConnectionStatus en de LastConnected tijd. De LastConnected tijd ligt meestal binnen de laatste dag, tenzij het cluster tijdelijk is losgekoppeld van internet. Een Azure Stack HCI cluster kan maximaal 30 opeenvolgende dagen volledig offline werken.

Schermopname van de Azure-registratiestatus na de registratie.

Als u de maximale periode van offlinebewerking overschrijdt, ConnectionStatus wordt . OutOfPolicy

Azure AD-app-machtigingen toewijzen

Naast het maken van een Azure-resource in uw abonnement, maakt Azure Stack HCI een app-identiteit in uw Azure AD-tenant. Deze identiteit is conceptueel vergelijkbaar met een gebruiker. De clusternaam wordt overgenomen in de app-identiteit. Deze identiteit handelt namens de Azure Stack HCI-cloudservice, indien van toepassing, binnen uw abonnement.

Als de gebruiker die het cluster registreert een Azure AD-beheerder is of voldoende machtigingen heeft, gebeurt dit automatisch. Er is geen aanvullende actie vereist. Anders hebt u mogelijk goedkeuring van uw Azure AD-beheerder nodig om de registratie te voltooien. Uw beheerder kan expliciet toestemming verlenen aan de app of machtigingen delegeren zodat u toestemming aan de app kunt verlenen:

Diagram met Azure Active Directory machtigingen en identiteit.

Als u toestemming wilt verlenen, opent portal.azure.com en meldt u zich aan met een Azure-account met voldoende machtigingen in Azure AD. Ga naar Azure Active DirectoryApp-registraties. Selecteer de app-identiteit met de naam van uw cluster en ga naar API-machtigingen.

Voor de algemene beschikbaarheidsversie van Azure Stack HCI heeft de app de volgende machtigingen nodig.

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

Het kan enige tijd duren om goedkeuring te vragen van uw Azure AD-beheerder, zodat de cmdlet wordt afgesloten en de registratie de status Register-AzStackHCIpending admin consent (gedeeltelijk voltooid) heeft. Nadat toestemming is verleend, moet u opnieuw worden voltooid Register-AzStackHCI om de registratie te voltooien.

Azure AD-gebruikersmachtigingen toewijzen

De gebruiker die wordt Register-AzStackHCI uitgevoerd, heeft Azure AD-machtigingen nodig voor:

  • Maak ( New-Remove-AzureADApplication ), get ( ), stel in ( ) of verwijder ( ) Azure Get-Remove-AzureADApplicationSet-Remove-AzureADApplicationRemove-AzureADApplication AD-toepassingen.
  • Maak ( New-Get-AzureADServicePrincipal ) of haal ( ) op voor de Azure Get-AzureADServicePrincipal AD-service-principal.
  • Active Directory-toepassingsgeheimen beheren ( New-Remove-AzureADApplicationKeyCredentialGet-Remove-AzureADApplicationKeyCredential , of Remove-AzureADApplicationKeyCredential ).
  • Verleen toestemming voor het gebruik van specifieke toepassingsmachtigingen ( New-AzureADApplicationKeyCredentialGet-AzureADApplicationKeyCredential , of Remove-AzureADServiceAppRoleAssignments ).

Er zijn drie manieren om deze machtigingen toe te wijzen.

Optie 1: elke gebruiker toestaan om toepassingen te registreren

Ga Azure Active Directory naar GebruikersinstellingenApp-registraties. Selecteer ja onder Gebruikers kunnen toepassingenregistreren.

Met deze optie kan elke gebruiker toepassingen registreren. De gebruiker heeft echter nog steeds de Azure AD-beheerder nodig om toestemming te verlenen tijdens de clusterregistratie.

Notitie

Deze optie is een instelling op tenantniveau, dus deze is mogelijk niet geschikt voor grote zakelijke klanten.

Optie 2: de rol cloudtoepassingsbeheer toewijzen

Wijs de ingebouwde Azure AD-rol Cloud Application Administration toe aan de gebruiker. Met deze toewijzing kan de gebruiker clusters registreren en de registratie ongedaan maken zonder dat er aanvullende beheerderstoewijzing voor Active Directory nodig is.

De meest beperkende optie is het maken van een aangepaste Active Directory-rol met een aangepast toestemmingsbeleid dat toestemming van de tenantbrede beheerder delegeert voor de vereiste machtigingen voor de Azure Stack HCI service. Wanneer u deze aangepaste rol toewijst aan gebruikers, kunnen ze zich registreren en toestemming verlenen zonder dat er aanvullende Beheerdersmachtiging voor Active Directory nodig is.

Notitie

Voor deze optie is een Azure AD Premium vereist. Er worden aangepaste Active Directory-rollen en aangepaste toestemmingsbeleidsfuncties gebruikt.

  1. Verbinding maken met Azure AD:

    Connect-AzureAD

  2. Een aangepast toestemmingsbeleid maken:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"

  3. Voeg een voorwaarde toe met de vereiste app-machtigingen voor de Azure Stack HCI-service, die de app-id 1322e676-dee7-41ee-a874-ac923822781c bevat.

    Notitie

    De volgende machtigingen zijn voor de ga-release van Azure Stack HCI.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"

  4. Verleen machtigingen om het registreren van Azure Stack HCI toe te staan. Notering van het aangepaste toestemmingsbeleid dat u in stap 2 hebt gemaakt:

    $displayName = "Azure Stack HCI Registration Administrator "
$description = "Custom AD role to allow registering Azure Stack HCI "
$templateId = (New-Guid).Guid
$allowedResourceAction =
@(
       "microsoft.directory/applications/createAsOwner",
       "microsoft.directory/applications/delete",
       "microsoft.directory/applications/standard/read",
       "microsoft.directory/applications/credentials/update",
       "microsoft.directory/applications/permissions/update",
       "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
       "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
       "microsoft.directory/servicePrincipals/appRoleAssignments/read",
       "microsoft.directory/servicePrincipals/createAsOwner",
       "microsoft.directory/servicePrincipals/credentials/update",
       "microsoft.directory/servicePrincipals/permissions/update",
       "microsoft.directory/servicePrincipals/standard/read",
       "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}

  5. Maak de nieuwe aangepaste Active Directory-rol:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

  6. Volg deze instructies om de nieuwe aangepaste Active Directory-rol toe te wijzen aan de gebruiker die het cluster Azure Stack HCI registreren bij Azure.

Registratie van Azure Stack HCI ongedaan maken met behulp van Windows-beheercentrum

Wanneer u klaar bent om uw cluster uit bedrijf te Azure Stack HCI, maakt u verbinding met het cluster met behulp van Windows Beheercentrum. Selecteer Instellingen onder aan het menu Extra aan de linkerkant. Selecteer vervolgens Azure Stack HCI registratie enselecteer de knop Registratie ongedaan maken.

Het uitschrijvingsproces schoont automatisch de Azure-resource op die het cluster vertegenwoordigt, de Azure-resourcegroep (als de groep tijdens de registratie werd aanmaken en geen andere resources bevat) en de azure AD-app-identiteit. Deze opschoning stopt alle bewakings-, ondersteunings- en factureringsfunctionaliteit via Azure Arc.

Notitie

Voor het ongedaan maken van Azure Stack HCI cluster is een Azure AD-beheerder of een andere gebruiker met voldoende machtigingen vereist.

Als uw Windows-beheercentrumgateway is geregistreerd op een andere Azure Active Directory-id (tenant) dan is gebruikt om het cluster in eerste instantie te registreren, kunnen er problemen ontstaan wanneer u de registratie van het cluster ongedaan probeert te maken met behulp van Windows Admin Center. Als dit gebeurt, gebruikt u de volgende PowerShell-instructies.

Registratie van Azure Stack HCI met PowerShell ongedaan maken

U kunt ook de Unregister-AzStackHCI cmdlet gebruiken om de registratie van een Azure Stack HCI verwijderen. U kunt de cmdlet uitvoeren op een clusterknooppunt of vanaf een beheer-pc.

Mogelijk moet u de nieuwste versie van de Az.StackHCI module installeren. Als u hier om wordt Are you sure you want to install the modules from 'PSGallery'? gevraagd, antwoordt u met ja ( Y ).

Install-Module -Name Az.StackHCI

Registratie bij een clusterknooppunt ongedaan maken

Als u de cmdlet op een server in het Unregister-AzStackHCI cluster gebruikt, gebruikt u de volgende syntaxis. Geef uw Azure-abonnements-id en de resourcenaam op van Azure Stack HCI cluster dat u wilt uitschrijven.

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

U wordt gevraagd een bezoek te brengen microsoft.com/devicelogin een ander apparaat (zoals uw pc of telefoon). Voer de code in en meld u daar aan om te verifiëren bij Azure.

Registratie van een beheer-pc ongedaan maken

Als u de cmdlet vanaf een beheer-pc gebruikt, moet u ook de naam van een server in het cluster opgeven:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Er wordt een interactief Azure-aanmeldingsvenster weergegeven. De exacte prompts die u ziet, variëren afhankelijk van uw beveiligingsinstellingen (bijvoorbeeld tweefactorauthenticatie). Volg de aanwijzingen om u aan te melden.

Opsommen na een cluster dat niet juist is uitgeschreven

Als een gebruiker een Azure Stack HCI-cluster vernietigt zonder de registratie ervan ongedaan te maken, bijvoorbeeld door de hostservers opnieuw te maken of virtuele clusterknooppunten te verwijderen, blijven artefacten over in Azure. Deze artefacten zijn onschadelijk en er worden geen kosten in rekening gebracht of er worden geen resources gebruikt, maar ze kunnen een rommelige Azure Portal. U kunt ze handmatig verwijderen om ze op te schonen.

Als u de Azure Stack HCI resource wilt verwijderen, gaat u naar de pagina in de Azure Portal selecteert u Verwijderen in de actiebalk bovenaan. Voer de naam van de resource in om de verwijdering te bevestigen en selecteer vervolgens Verwijderen.

Als u de identiteit van de Azure AD-app wilt verwijderen, gaat u naar AzureAD-app-registratiesAlle toepassingen. Selecteer Verwijderen en bevestig dit.

U kunt de resource Azure Stack HCI verwijderen met behulp van PowerShell:

Remove-AzResource -ResourceId "HCI001"

Mogelijk moet u de Az.Resources module installeren:

Install-Module -Name Az.Resources

Als de resourcegroep is gemaakt tijdens de registratie en geen andere resources bevat, kunt u deze ook verwijderen:

Remove-AzResourceGroup -Name "HCI001-rg"

Volgende stappen

Zie voor verwante informatie: