Registrar seus servidores e atribuir permissões para a implantação do Azure Stack HCI, versão 23H2

  • Artigo

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como registrar seus servidores do Azure Stack HCI e, em seguida, configurar as permissões necessárias para implantar um cluster do Azure Stack HCI, versão 23H2.

Pré-requisitos

Antes de começar, verifique se você concluiu os seguintes pré-requisitos:

  • Satisfaça os pré-requisitos e conclua a lista de verificação de implantação.

  • Prepare seu ambiente do Active Directory .

  • Instale o sistema operacional Azure Stack HCI, versão 23H2 em cada servidor.

  • Registre sua assinatura com os RPs (provedores de recursos) necessários. Você pode usar o portal do Azure ou o Azure PowerShell para se registrar. Você precisa ser um proprietário ou contribuidor em sua assinatura para registrar os seguintes RPs de recurso:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    Observação

    A suposição é que a pessoa que está registrando a assinatura do Azure com os provedores de recursos é uma pessoa diferente daquela que está registrando os servidores do Azure Stack HCI com o Arc.

  • Se você estiver registrando os servidores como recursos do Arc, verifique se você tem as seguintes permissões no grupo de recursos em que os servidores foram provisionados:

    Para verificar se você tem essas funções, siga estas etapas no portal do Azure:

    1. Acesse a assinatura que você usa para a implantação do Azure Stack HCI.
    2. Vá para o grupo de recursos em que você planeja registrar os servidores.
    3. No painel esquerdo, vá para Controle de Acesso (IAM).
    4. No painel direito, vá para Atribuições de função. Verifique se você tem as funções Integração do Computador Conectado do Azure e Administrador de Recursos do Azure Connected Machine atribuídas.

Registrar servidores com o Azure Arc

Importante

Execute estas etapas em todos os servidores do Azure Stack HCI que você pretende cluster.

  1. Instale o script de registro do Arc do PSGallery.

    #Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

    Aqui está um exemplo de saída da instalação:

    PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

  2. Defina os parâmetros. O script usa os seguintes parâmetros:

    Parâmetros Descrição
    SubscriptionID A ID da assinatura usada para registrar seus servidores no Azure Arc.
    TenantID A ID do locatário usada para registrar seus servidores no Azure Arc. Vá para o Microsoft Entra ID e copie a propriedade ID do locatário.
    ResourceGroup O grupo de recursos pré-criado para o registro arc dos servidores. Um grupo de recursos será criado se um não existir.
    Region A região do Azure usada para registro. Consulte as regiões com suporte que podem ser usadas.
    AccountID O usuário que registra e implanta o cluster.
    DeviceCode O código do dispositivo exibido no console em https://microsoft.com/devicelogin e é usado para entrar no dispositivo. 
     #Define the subscription where you want to register your server as Arc device
 $Subscription = "YourSubscriptionID"

 #Define the resource group where you want to register your server as Arc device
 $RG = "YourResourceGroupName"

 #Define the region you will use to register your server as Arc device
 $Region = "eastus"

 #Define the tenant you will use to register your server as Arc device
 $Tenant = "YourTenantID"

    Aqui está uma saída de exemplo dos parâmetros:

    PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

  3. Conecte-se à sua conta do Azure e defina a assinatura. Você precisará abrir o navegador no cliente que está usando para se conectar ao servidor e abrir esta página: https://microsoft.com/devicelogin e inserir o código fornecido na saída da CLI do Azure para autenticar. Obtenha o token de acesso e a ID da conta para o registro.

    #Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

    Aqui está um exemplo de saída da configuração da assinatura e da autenticação:

    PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

  4. Por fim, execute o script de registro do Arc. O script demora alguns minutos para ser executado.

    #Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

    Se você estiver acessando a Internet por meio de um servidor proxy, precisará passar o -proxy parâmetro e fornecer o servidor proxy como http://<Proxy server FQDN or IP address>:Port ao executar o script.

    Aqui está uma saída de exemplo de um registro bem-sucedido de seus servidores:

    PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

  5. Depois que o script for concluído com êxito em todos os servidores, verifique se:

    1. Seus servidores estão registrados no Arc. Vá para o portal do Azure e vá para o grupo de recursos associado ao registro. Os servidores aparecem no grupo de recursos especificado como recursos de tipo Machine – Azure Arc .

      Captura de tela dos servidores do Azure Stack HCI no grupo de recursos após o registro bem-sucedido.

    2. As extensões obrigatórias do Azure Stack HCI são instaladas em seus servidores. No grupo de recursos, selecione o servidor registrado. Vá para as Extensões. As extensões obrigatórias aparecem no painel direito.

      Captura de tela dos servidores registrados do Azure Stack HCI com extensões obrigatórias instaladas.

Atribuir permissões necessárias para implantação

Esta seção descreve como atribuir permissões do Azure para implantação do portal do Azure.

  1. No portal do Azure, acesse a assinatura usada para registrar os servidores. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da atribuição Adicionar função no controle de acesso na assinatura para implantação do Azure Stack HCI.

  2. Examine as guias e atribua as seguintes permissões de função ao usuário que implanta o cluster:

    • Administrador do Azure Stack HCI
    • Administrador de Aplicativos de Nuvem
    • Leitor

    Observação

    A permissão administrador de aplicativos de nuvem é temporariamente necessária para criar a entidade de serviço. Após a implantação, essa permissão pode ser removida.

  3. No portal do Azure, vá para o grupo de recursos usado para registrar os servidores em sua assinatura. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da atribuição Adicionar função no controle de acesso no grupo de recursos para implantação do Azure Stack HCI.

  4. Passe pelas guias e atribua as seguintes permissões ao usuário que implanta o cluster:

    • Key Vault Administrador de Acesso a Dados: essa permissão é necessária para gerenciar permissões do plano de dados para o cofre de chaves usado para implantação.
    • Key Vault Diretor de Segredos: essa permissão é necessária para ler e gravar segredos no cofre de chaves usado para implantação.
    • colaborador Key Vault: essa permissão é necessária para criar o cofre de chaves usado para implantação.
    • Colaborador da Conta de Armazenamento: essa permissão é necessária para criar a conta de armazenamento usada para implantação.

  5. No painel direito, vá para Atribuições de função. Verifique se o usuário da implantação tem todas as funções configuradas.

Próximas etapas

Depois de configurar o primeiro servidor no cluster, você estará pronto para implantar usando portal do Azure: