Gerir o registo de cluster com a Azure

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2

Depois de criar um cluster HCI Azure Stack, deve registar-se Windows Centro de Administração com Azure e, em seguida, registar o cluster com a Azure. Após o registo do cluster, sincroniza periodicamente a informação entre o aglomerado no local e a nuvem.

Este artigo explica como visualizar o seu estado de registo, conceder permissões Azure Ative Directory (Azure AD) e não registar o seu cluster quando estiver pronto para desativá-lo.

Ver o estado de registo no Windows Centro de Administração

Quando se liga a um cluster utilizando Windows Centro de Administração, verá o painel de instrumentos, que exibe o estado de ligação Azure. Conectado significa que o cluster já está registado com Azure e tem sincronizado com sucesso a nuvem no último dia.

Screenshot que mostra o estado de ligação do cluster no painel de instrumentos do Centro de Administração Windows.

Pode obter mais informações selecionando Definições na parte inferior do menu Ferramentas à esquerda e, em seguida, selecionando o registo HCI do Azure Stack.

Screenshot que mostra seleções para obter informações de registo Azure Stack H C I.

Ver estado de registo no PowerShell

Para visualizar o estado de registo utilizando Windows PowerShell, utilize o Get-AzureStackHCI cmdlet PowerShell e o ClusterStatusRegistrationStatus , e ConnectionStatus propriedades.

Por exemplo, depois de instalar o sistema operativo Azure Stack HCI, mas antes de criar ou aderir a um cluster, a ClusterStatus propriedade mostra um NotYet estado:

Screenshot que mostra o estado de registo do Azure antes da criação do cluster.

Após a criação do cluster, apenas RegistrationStatus mostra um NotYet estado:

Screenshot que mostra o estado de registo de Azure após a criação do cluster.

Tem de registar um cluster HCI Azure Stack no prazo de 30 dias após a instalação, conforme definido nos Termos de Serviços Online Azure. Se não criou ou se juntou a um cluster após 30 dias, ClusterStatus mostrará OutOfPolicy . Se não registou o cluster ao fim de 30 dias, RegistrationStatus mostrará OutOfPolicy .

Depois do aglomerado estar registado, pode ver ConnectionStatus e LastConnected a hora. A LastConnected hora é geralmente dentro do último dia, a menos que o cluster esteja temporariamente desligado da internet. Um cluster HCI Azure Stack HCI pode funcionar totalmente offline por até 30 dias consecutivos.

Screenshot que mostra o estado de registo do Azure após a inscrição.

Se exceder o período máximo de funcionamento offline, ConnectionStatus aparecerá OutOfPolicy .

Atribuir permissões de aplicações AZure AD

Além de criar um recurso Azure na sua subscrição, registar o Azure Stack HCI cria uma identidade de aplicação no seu inquilino Azure AD. Esta identidade é conceptualmente semelhante a um utilizador. A identidade da aplicação herda o nome do cluster. Esta identidade age em nome do serviço cloud do Azure Stack HCI, conforme apropriado, na subscrição.

Se o utilizador que regista o cluster for um administrador AD Azure ou tiver permissões suficientes, tudo isto acontece automaticamente. Não são necessárias medidas adicionais. Caso contrário, poderá necessitar da aprovação do seu administrador AD Azure para completar o registo. O seu administrador pode conceder explicitamente o consentimento à aplicação, ou pode delegar permissões para que possa conceder o consentimento à aplicação:

Diagrama que mostra Azure Ative Directory permissões e identidade.

Para conceder o consentimento, abra portal.azure.com e inscreva-se com uma conta Azure que tenha permissões suficientes em Azure AD. Vá a Azure Ative Directory inscrições da App. Selecione a identidade da aplicação com o nome do seu cluster e vá para permissões API.

Para a disponibilização geral (GA) do Azure Stack HCI, a aplicação requer as seguintes permissões.

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

A procura da aprovação do administrador AD da Azure pode demorar algum tempo, pelo que o Register-AzStackHCI cmdlet sairá e deixará o registo num pending admin consent estado (parcialmente preenchido). Após o consentimento ser concedido, reenso Register-AzStackHCI para completar o registo.

Atribuir permissões de utilizador Azure AD

O utilizador que executa Register-AzStackHCI precisa de permissões AD Azure para:

  • Criar New-Remove-AzureADApplication (), obter Get-Remove-AzureADApplication ( ), definir ( ) ou remover ( ) Set-Remove-AzureADApplicationRemove-AzureADApplication aplicações AD Azure.
  • Criar ( New-Get-AzureADServicePrincipal ) ou obter ( ) o principal de serviço Get-AzureADServicePrincipal Azure.
  • Gerir segredos de aplicação de diretório ativo New-Remove-AzureADApplicationKeyCredential (, Get-Remove-AzureADApplicationKeyCredential , ou Remove-AzureADApplicationKeyCredential .
  • Conceder consentimento para utilizar permissões específicas de aplicação New-AzureADApplicationKeyCredentialGet-AzureADApplicationKeyCredential (, , ou Remove-AzureADServiceAppRoleAssignments .

Há três maneiras de atribuir estas permissões.

Opção 1: Permitir que qualquer utilizador registe as aplicações

Em Azure Ative Directory, aceda às definições de UtilizadorRegistos de aplicações. No Utilizadores podem registar aplicações, selecione Sim.

Esta opção permite que qualquer utilizador registe as aplicações. No entanto, o utilizador ainda precisa do administrador Azure AD para conceder o consentimento durante o registo do cluster.

Nota

Esta opção é um cenário de nível de inquilino, pelo que pode não ser adequado para grandes clientes empresariais.

Opção 2: Atribuir o papel de Administração de Aplicação em Nuvem

Atribua o papel de AD da Administração de Aplicação em Nuvem incorporada ao utilizador. Esta atribuição permitirá ao utilizador registar e não registar clusters sem a necessidade de consentimento adicional de administração ative.

A opção mais restritiva é criar um papel personalizado do Ative Directory com uma política de consentimento personalizado que delega o consentimento administrativo do inquilino para as permissões necessárias para o serviço HCI Azure Stack. Quando atribui esta função personalizada aos utilizadores, ambos podem registar-se e conceder o consentimento sem a necessidade de consentimento adicional do Diretório Ativo.

Nota

Esta opção requer uma licença Azure AD Premium. Utiliza funções personalizadas de Ative Directory e funcionalidades de política de consentimento personalizados.

  1. Ligar ao Azure AD:

    Connect-AzureAD
    
  2. Crie uma política de consentimento personalizado:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"
    
  3. Adicione uma condição que inclui permissões de aplicação necessárias para o serviço Azure Stack HCI, que transporta a aplicação ID 1322e676-dee7-41ee-a874-ac923822781c.

    Nota

    As seguintes permissões são para a libertação de GA do Azure Stack HCI.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"
    
  4. Conceda permissões para permitir o registo do Azure Stack HCI, observando a política de consentimento personalizado que criou no passo 2:

    $displayName = "Azure Stack HCI Registration Administrator "
    $description = "Custom AD role to allow registering Azure Stack HCI "
    $templateId = (New-Guid).Guid
    $allowedResourceAction =
    @(
           "microsoft.directory/applications/createAsOwner",
           "microsoft.directory/applications/delete",
           "microsoft.directory/applications/standard/read",
           "microsoft.directory/applications/credentials/update",
           "microsoft.directory/applications/permissions/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
           "microsoft.directory/servicePrincipals/appRoleAssignments/read",
           "microsoft.directory/servicePrincipals/createAsOwner",
           "microsoft.directory/servicePrincipals/credentials/update",
           "microsoft.directory/servicePrincipals/permissions/update",
           "microsoft.directory/servicePrincipals/standard/read",
           "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
    )
    $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
    
  5. Crie o novo papel personalizado do Ative Directory:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
    
  6. Siga estas instruções para atribuir o novo papel personalizado do Ative Directory ao utilizador que registará o cluster HCI Azure Stack com a Azure.

Unregister Azure Stack HCI usando Windows Centro de Administração

Quando estiver pronto para desativar o seu cluster HCI Azure Stack, conecte-se ao cluster utilizando Windows Centro de Administração. Selecione Definições na parte inferior do menu Ferramentas à esquerda. Em seguida, selecione o registo HCI da Stack Azuree selecione o botão Não registro.

O processo de não-registo limpa automaticamente o recurso Azure que representa o cluster, o grupo de recursos Azure (se o grupo estava a criar durante o registo e não contém quaisquer outros recursos), e a identidade da app Azure AD. Esta limpeza impede todas as funcionalidades de monitorização, suporte e faturação através do Azure Arc.

Nota

A não registo de um cluster HCI Azure Stack requer um administrador AD Azure ou outro utilizador que tenha permissões suficientes.

Se o seu gateway Windows Admin Center estiver registado num ID de Azure Ative Directory diferente (inquilino) do que foi usado para registar inicialmente o cluster, poderá encontrar problemas quando tentar desregiscrever o cluster utilizando Windows Centro de Administração. Se isto acontecer, utilize as seguintes instruções powerShell.

Unregister Azure Stack HCI usando PowerShell

Também pode utilizar o Unregister-AzStackHCI cmdlet para não registar um cluster HCI da Pilha de Azure. Pode executar o cmdlet num nó de cluster ou num PC de gestão.

Pode ser necessário instalar a versão mais recente do Az.StackHCI módulo. Se for Are you sure you want to install the modules from 'PSGallery'? solicitado, responda sim Y .

Install-Module -Name Az.StackHCI

Não registro de um nó de cluster

Se estiver a executar o Unregister-AzStackHCI cmdlet num servidor no cluster, utilize a seguinte sintaxe. Especifique o seu ID de subscrição Azure e o nome de recurso do cluster HCI Azure Stack que pretende não registar.

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

É-lhe pedido que visite microsoft.com/devicelogin noutro dispositivo (como o seu PC ou telefone). Introduza o código e inscreva-se lá para autenticar com Azure.

Não registro de um PC de gestão

Se estiver a executar o cmdlet a partir de um PC de gestão, também precisa de especificar o nome de um servidor no cluster:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Aparece uma janela de login Azure interativa. As indicações exatas que vê variarão consoante as definições de segurança (por exemplo, a autenticação de dois fatores). Siga as instruções para iniciar sinsus.

Limpe depois de um aglomerado que não estava devidamente registado

Se um utilizador destruir um cluster HCI da Pilha de Azure sem o registar, como por exemplo, reimaging dos servidores hospedeiros ou eliminação de nós de cluster virtuais, então os artefactos serão deixados em Azure. Estes artefactos são inofensivos e não incorrem em faturação ou usam recursos, mas podem atrapalhar o portal Azure. Para limpá-las, pode eliminá-las manualmente.

Para eliminar o recurso Azure Stack HCI, vá à sua página no portal Azure e selecione Delete da barra de ação no topo. Introduza o nome do recurso para confirmar a eliminação e, em seguida, selecione Delete.

Para eliminar a identidade da aplicação AZure AD, aceda aos Registos de Aplicações AD AzureTodas as Aplicações. Selecione Eliminar e confirmar.

Também pode eliminar o recurso Azure Stack HCI utilizando o PowerShell:

Remove-AzResource -ResourceId "HCI001"

Pode ser necessário instalar o Az.Resources módulo:

Install-Module -Name Az.Resources

Se o grupo de recursos foi criado durante o registo e não contém quaisquer outros recursos, pode eliminá-lo também:

Remove-AzResourceGroup -Name "HCI001-rg"

Passos seguintes

Para obter informações relacionadas, consulte: