Rejestrowanie serwerów i przypisywanie uprawnień do wdrożenia usługi Azure Stack HCI w wersji 23H2

  • Artykuł

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób rejestrowania serwerów rozwiązania Azure Stack HCI, a następnie konfigurowania wymaganych uprawnień do wdrożenia klastra usługi Azure Stack HCI w wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:

  • Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia.

  • Przygotuj środowisko usługi Active Directory .

  • Zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdym serwerze.

  • Zarejestruj subskrypcję u wymaganych dostawców zasobów (RPS). Do zarejestrowania można użyć Azure Portal lub Azure PowerShell. Aby zarejestrować następujące adresy IP zasobów, musisz być właścicielem lub współautorem subskrypcji:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    Uwaga

    Zakłada się, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż ta, która rejestruje serwery rozwiązania Azure Stack HCI w usłudze Arc.

  • Jeśli rejestrujesz serwery jako zasoby usługi Arc, upewnij się, że masz następujące uprawnienia w grupie zasobów, w której zainicjowano obsługę administracyjną serwerów:

    Aby sprawdzić, czy masz te role, wykonaj następujące kroki w Azure Portal:

    1. Przejdź do subskrypcji używanej na potrzeby wdrożenia rozwiązania Azure Stack HCI.
    2. Przejdź do grupy zasobów, w której planujesz zarejestrować serwery.
    3. W okienku po lewej stronie przejdź do pozycji Access Control (IAM).
    4. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy masz przypisane role dołączania do maszyny połączonej platformy Azure i administratora zasobów połączonej maszyny platformy Azure .

Rejestrowanie serwerów w usłudze Azure Arc

Ważne

Uruchom te kroki na każdym serwerze usługi Azure Stack HCI, który zamierzasz klastrować.

  1. Zainstaluj skrypt rejestracji usługi Arc z galerii PSGallery.

    #Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

    Oto przykładowe dane wyjściowe instalacji:

    PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

  2. Ustaw parametry. Skrypt przyjmuje następujące parametry:

    Parametry Opis
    SubscriptionID Identyfikator subskrypcji używanej do rejestrowania serwerów w usłudze Azure Arc.
    TenantID Identyfikator dzierżawy używany do rejestrowania serwerów w usłudze Azure Arc. Przejdź do Tożsamość Microsoft Entra i skopiuj właściwość identyfikatora dzierżawy.
    ResourceGroup Grupa zasobów wstępnie utworzona na potrzeby rejestracji w usłudze Arc serwerów. Jeśli grupa zasobów nie istnieje, zostanie utworzona grupa zasobów.
    Region Region świadczenia usługi Azure używany do rejestracji. Zobacz Obsługiwane regiony , których można użyć.
    AccountID Użytkownik, który rejestruje i wdraża klaster.
    DeviceCode Kod urządzenia wyświetlany w konsoli pod https://microsoft.com/devicelogin adresem i służy do logowania się do urządzenia. 
     #Define the subscription where you want to register your server as Arc device
 $Subscription = "YourSubscriptionID"

 #Define the resource group where you want to register your server as Arc device
 $RG = "YourResourceGroupName"

 #Define the region you will use to register your server as Arc device
 $Region = "eastus"

 #Define the tenant you will use to register your server as Arc device
 $Tenant = "YourTenantID"

    Oto przykładowe dane wyjściowe parametrów:

    PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

  3. Połącz się z kontem platformy Azure i ustaw subskrypcję. Musisz otworzyć przeglądarkę na kliencie, którego używasz, aby nawiązać połączenie z serwerem i otworzyć tę stronę: https://microsoft.com/devicelogin i wprowadzić podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.

    #Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

    Oto przykładowe dane wyjściowe ustawiania subskrypcji i uwierzytelniania:

    PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

  4. Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.

    #Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

    Jeśli uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz przekazać -proxy parametr i podać serwer proxy tak, jak http://<Proxy server FQDN or IP address>:Port podczas uruchamiania skryptu.

    Oto przykładowe dane wyjściowe pomyślnej rejestracji serwerów:

    PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

  5. Po pomyślnym zakończeniu działania skryptu na wszystkich serwerach sprawdź, czy:

    1. Serwery są zarejestrowane w usłudze Arc. Przejdź do Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Serwery są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .

      Zrzut ekranu przedstawiający serwery usługi Azure Stack HCI w grupie zasobów po pomyślnej rejestracji.

    2. Obowiązkowe rozszerzenia rozwiązania Azure Stack HCI są instalowane na serwerach. W grupie zasobów wybierz zarejestrowany serwer. Przejdź do pozycji Rozszerzenia. Obowiązkowe rozszerzenia są wyświetlane w okienku po prawej stronie.

      Zrzut ekranu przedstawiający zarejestrowane serwery usługi Azure Stack HCI z zainstalowanymi obowiązkowymi rozszerzeniami.

Przypisywanie wymaganych uprawnień do wdrożenia

W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z Azure Portal.

  1. W Azure Portal przejdź do subskrypcji użytej do zarejestrowania serwerów. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający dodawanie przypisania roli w kontroli dostępu w subskrypcji dla wdrożenia rozwiązania Azure Stack HCI.

  2. Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża klaster:

    • Azure Stack HCI Administrator
    • Administrator aplikacji w chmurze
    • Czytelnik

    Uwaga

    Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.

  3. W Azure Portal przejdź do grupy zasobów użytej do zarejestrowania serwerów w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający dodawanie przypisania roli w obszarze Kontrola dostępu w grupie zasobów dla wdrożenia rozwiązania Azure Stack HCI.

  4. Przejdź przez karty i przypisz następujące uprawnienia do użytkownika, który wdraża klaster:

    • Key Vault Administrator dostępu do danych: to uprawnienie jest wymagane do zarządzania uprawnieniami płaszczyzny danych do magazynu kluczy używanego do wdrożenia.
    • Key Vault Secrets Officer: to uprawnienie jest wymagane do odczytywania i zapisywania wpisów tajnych w magazynie kluczy używanym do wdrożenia.
    • Key Vault Współautor: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
    • Współautor konta magazynu: to uprawnienie jest wymagane do utworzenia konta magazynu używanego do wdrożenia.

  5. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.

Następne kroki

Po skonfigurowaniu pierwszego serwera w klastrze możesz przystąpić do wdrażania przy użyciu Azure Portal: