Ansluta Azure Stack HCI till Azure

  • Artikel
  • 13 minuter för att läsa

Gäller för: Azure Stack HCI, versionerna 21H2 och 20H2

Nu när du har distribuerat Azure Stack HCI och skapat ett kluster måste du registrera klustret med Azure. Azure Stack HCI levereras som en Azure-tjänst och måste registreras inom 30 dagar efter installationen enligt Azure-Villkor för Onlinetjänster.

Det här avsnittet beskriver hur du registrerar ditt Azure Stack HCI kluster med Azure för övervakning, support, fakturering och hybridtjänster. Vid registreringen skapas Azure Resource Manager resurs för att representera varje lokalt Azure Stack HCI kluster, vilket effektivt utökar Azure-hanteringsplanet till Azure Stack HCI. Informationen synkroniseras regelbundet mellan Azure-resursen och de lokala klustren. Azure-registreringen är en inbyggd funktion i Azure Stack HCI operativsystem, så det behövs ingen agent för att registrera.

Viktigt

Registrering med Azure krävs och klustret stöds inte fullt ut förrän registreringen är aktiv. Om du inte registrerar klustret med Azure vid distributionen, eller om klustret har registrerats men inte har anslutit till Azure på mer än 30 dagar, tillåter inte systemet att nya virtuella datorer skapas eller läggs till. När detta inträffar visas följande felmeddelande när du försöker skapa virtuella datorer:

Det gick inte att konfigurera den virtuella datorrollen för "vmname". Jobbet misslyckades. Det gick inte att öppna klustrade roller för vmname. Tjänsten som du ansluter till är licensierad för ett visst antal anslutningar. Inga fler anslutningar kan göras till tjänsten just nu eftersom det redan finns så många anslutningar som tjänsten kan acceptera.

Lösningen är att tillåta utgående anslutning till Azure och kontrollera att klustret har registrerats enligt beskrivningen i det här avsnittet.

Krav för klusterregistrering

Du kan inte registrera klustret med Azure förrän du har skapat ett Azure Stack HCI kluster. Klusternoderna måste vara fysiska servrar för att klustret ska kunna stödjas. Virtuella datorer kan användas för testning.

För den enklaste registreringsupplevelsen måste du ha en Azure AD-administratör (ägare eller administratör för användaråtkomst med rollen Deltagare) slutföra registreringsprocessen med hjälp av antingen Windows Administrationscenter eller PowerShell.

Viktigt

Azure Stack HCI är nu tillgänglig i Azure Kina. Om du Azure Stack HCI ditt kluster i Azure Kina måste du använda Windows Admin Center version 2103.2 eller senare. Du kan också Registrera ett kluster med hjälp av PowerShell.

Azure Stack HCI är nu tillgänglig som förhandsversion i Azure Government. Registreringen kräver Windows Admin Center version 2110 eller senare.

Innan du registrerar klustret kontrollerar du att alla servrar i klustret är igång och att följande krav är uppfyllda.

Windows Administrationscenter måste vara registrerat med Azure

Om du planerar att registrera ett Azure Stack HCI-kluster med hjälp av administrationscentret för Windows måste du först registrera administrationscentret för Windows med Azure och ange ditt Azure Active Directory-ID (klientorganisation). Kontrollera att datorn där du kör Windows Administrationscenter är ansluten till samma Active Directory-domän där du skapar klustret eller en betrodd domän.

Internetåtkomst och brandväggsportar

Azure Stack HCI måste regelbundet ansluta till det offentliga Azure-molnet. Om utgående anslutningar begränsas av din externa företagsbrandvägg eller proxyserver måste de konfigureras för att tillåta utgående åtkomst till port 443 (HTTPS) på ett begränsat antal välkända Azure-IP-adresser. Information om hur du förbereder brandväggarna och bereder en proxyserver finns i Brandväggskrav för Azure Stack HCI.

Anteckning

Registreringsprocessen försöker kontakta PowerShell-galleriet för att kontrollera att du har den senaste versionen av de nödvändiga PowerShell-modulerna, till exempel Az och AzureAD. Även om PowerShell-galleriet finns i Azure har den för närvarande ingen tjänsttagg. Om du inte kan köra cmdleten ovan från en hanteringsdator som har utgående Internetåtkomst rekommenderar vi att du laddar ned modulerna och överför dem manuellt till en klusternod där du kör Register-AzStackHCI kommandot. Du kan också installera modulerna i ett frånkopplat scenario.

Azure-prenumeration och behörigheter

Om du inte redan har ett Azure-konto skapar du ett.

Du kan använda en befintlig prenumeration av valfri typ:

Användaren som registrerar klustret måste ha Azure-prenumerationsbehörighet för att:

  • Registrera en resursprovider
  • Skapa/hämta/ta bort Azure-resurser och resursgrupper

Om din Azure-prenumeration är via ett EA eller CSP är det enklaste sättet att be din Azure-prenumerationsadministratör att tilldela en inbyggd "ägare"-roll till din prenumeration, eller rollen "Administratör för användaråtkomst" tillsammans med rollen Deltagare. Vissa administratörer kan dock föredra ett mer restriktivt alternativ. I det här fallet är det möjligt att skapa en anpassad Azure-roll som är specifik för Azure Stack HCI genom att följa dessa steg:

  1. Skapa en json-fil med namnet customHCIRole.json med följande innehåll. Se till att ändra till <subscriptionID> ditt Azure-prenumerations-ID. Om du vill hämta ditt prenumerations-ID portal.azure.comdu till , navigerar till Prenumerationer och kopierar/klistrar in ditt ID i listan.

    {
  "Name": "Azure Stack HCI registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Resources/subscriptions/resourceGroups/delete",
    "Microsoft.AzureStackHCI/register/action",
    "Microsoft.AzureStackHCI/Unregister/Action",
    "Microsoft.AzureStackHCI/clusters/*",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.HybridCompute/register/action",
    "Microsoft.GuestConfiguration/register/action"
  ],
  "NotActions": [
  ],
"AssignableScopes": [
    "/subscriptions/<subscriptionId>"
  ]
}

  2. Skapa den anpassade rollen:

    New-AzRoleDefinition -InputFile <path to customHCIRole.json>

  3. Tilldela den anpassade rollen till användaren:

    $user = get-AzAdUser -DisplayName <userdisplayname>
$role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>

Azure Active Directory behörigheter

Du behöver också lämpliga Azure Active Directory för att slutföra registreringsprocessen. Om du inte redan har dem ber du Azure AD-administratören att ge ditt medgivande eller delegera behörigheterna till dig. Mer information finns i Hantera Azure-registrering.

Regional tillgänglighet

Tjänsten Azure Stack HCI används för registrering, fakturering och hantering. Det stöds för närvarande i följande regioner. Dessa offentliga regioner stöder geografiska platser över hela världen, för kluster som distribueras var som helst i världen:

  • East US
  • Europa, västra
  • Sydostasien

Den här regionen stöder Azure Kina:

  • Kina, östra 2

Den här regionen stöder Azure Government:

  • US Gov, Virginia

Registrera ett kluster med Windows Administrationscenter

Det enklaste sättet att registrera Azure Stack HCI kluster är att använda Windows Administrationscenter. Kom ihåg att användaren måste ha Azure Active Directory-behörigheter, annars slutförs inte registreringsprocessen. I stället avslutas registreringen och väntar på administratörsgodkännande och användaren måste köra registreringsguiden igen när behörigheterna har beviljats.

Om du kör Azure Stack HCI version 21H2 måste användaren tilldelas rollen Azure-ägare eller administratör för användaråtkomst, annars visas ett felmeddelande: "Det gick inte att tilldela nödvändiga roller för Azure Arc-integrering". Användare som inte har tilldelats de här rollerna kan fortfarande registrera ett kluster med Hjälp av PowerShell,men de måste inaktivera Azure Arc integreringen manuellt.

Varning

Om du Azure Stack HCI ditt kluster i Azure Kina måste du använda Windows Admin Center version 2103.2 eller senare.

Azure Stack HCI är nu tillgänglig som förhandsversion i Azure Government. Registreringen kräver Windows Admin Center version 2110 eller senare.

  1. Innan du påbörjar registreringsprocessen måste du först registrera Windows Administrationscenter med Azure och logga in Windows Administrationscenter med ditt Azure-konto.

    Viktigt

    När du registrerar Windows Administrationscenter med Azure är det viktigt att använda samma Azure Active Directory-ID (klient) som du planerar att använda för klusterregistreringen. Ett Azure AD-klientorganisations-ID representerar en specifik instans av Azure AD som innehåller konton och grupper, medan ett Azure-prenumerations-ID representerar ett avtal om att använda Azure-resurser som avgifter ackumuleras för. Om du vill hitta ditt klientorganisations-ID går portal.azure.com och väljer Azure Active Directory. Ditt klientorganisations-ID visas under Klientorganisationsinformation. Om du vill hämta ditt Azure-prenumerations-ID går du till Prenumerationer och kopierar/klistrar in ditt ID i listan.

  2. Öppna Windows Administrationscenter och välj Inställningar längst ned på menyn Verktyg till vänster. Välj sedan Azure Stack HCI registrering längst ned på Inställningar menyn. Om klustret ännu inte har registrerats med Azure kommer registreringsstatus att vara Inte registrerad. Klicka på knappen Registrera för att fortsätta. Du kan också välja Registrera det här klustret från Windows Administrationscenter.

    Anteckning

    Om du inte har Windows administrationscentret i steg 1 uppmanas du att göra det nu. I stället för guiden för klusterregistrering visas registreringsguiden för Windows Administrationscenter.

  3. Ange det Azure-prenumerations-ID som du vill registrera klustret till. Om du vill hämta ditt Azure-prenumerations-ID portal.azure.comdu till , navigerar till Prenumerationer och kopierar/klistrar in ditt ID i listan. Om Din Azure AD-administratör har gett dig en Azure-resursgrupp att använda väljer du den från den nedrullningsna menyn. Annars väljer du Skapa ny. Välj Azure-regionen på den nedrullningsna menyn och klicka på Registrera.

    Klusterregistreringsguiden frågar efter ditt prenumerations-ID, resursgrupp och region för Azure

  4. Om du har Azure Active Directory behörigheter bör arbetsflödet för klusterregistrering nu fortsätta att slutföras och du bör kunna se klustret i Azure Portal. Om du får ett meddelande om att du behöver ytterligare Azure Active Directory behörigheter fortsätter du till steg 5.

  5. Om du inte har tillräcklig Azure Active Directory behörigheter måste du be Din Azure AD-administratör att bevilja behörigheter till appen. Du bör se en länk till Azure Portal som går till klustrets specifika app-ID, som på skärmbilden nedan. Kopiera den här länken och ge den till din Azure AD-administratör. Om du vill kontrollera om medgivande har beviljats väljer du Visa medgivande i Azure AD. När medgivande har beviljats kör du guiden igen från och med steg 2 ovan.

    Om du behöver Azure Active Directory behörighet för att registrera klustret får du en länk som du kan ange till Azure AD-administratören

Registrera ett kluster med PowerShell

Använd följande procedur för att registrera ett Azure Stack HCI kluster med Azure med hjälp av en hanteringsdator.

Viktigt

Endast Azure-användare med rollen Ägare eller Administratör för användaråtkomst kan registrera ett Azure Stack HCI kluster med Azure Arc integrering.

  1. Installera nödvändiga cmdlets på hanteringsdatorn. Om du kör Azure Stack HCI, version 20H2 och klustret distribuerades före den 10 december 2020, kontrollerar du att du har tillämpat uppdateringen från den 23 november 2020 (KB4586852) på varje server i klustret innan du försöker registrera dig med Azure.

    Install-Module -Name Az.StackHCI

    Anteckning

    • Du kan se en uppmaning som Vill du att PowerShellGet ska installera och importera NuGet-providern nu? som du bör svara Ja till (Y).
    • Du kan också uppmanas att ange Är du säker på att du vill installera modulerna från "PSGallery"? som du bör svara ja på (Y).

  2. Utför registreringen med hjälp av namnet på en server i klustret. Om du vill hämta ditt Azure-prenumerations-ID portal.azure.comdu till , navigerar till Prenumerationer och kopierar/klistrar in ditt ID i listan.

    Viktigt

    Om du registrerar en Azure Stack HCI Azure China kör du Register-AzStackHCI cmdleten med följande ytterligare parametrar:

    -EnvironmentName AzureChinaCloud -Region "ChinaEast2"

    Om du registrerar dig i Azure Government du följande parametrar:

    -EnvironmentName AzureUSGovernment -Region "USGovVirginia"

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1

    Den här syntaxen registrerar klustret (som Server1 är medlem i) som aktuell användare, med Azure-standardregion och molnmiljö, och använder smarta standardnamn för Azure-resursen och resursgruppen. Du kan också lägga till de valfria -Region-ResourceName parametrarna -TenantId , , och i det här kommandot för att ange dessa -ResourceGroupName värden.

    Anteckning

    Om du kör Azure Stack HCI, version 21H2, aktiverar Register-AzStackHCI cmdleten Register-AzStackHCI på alla servrar i klustret som standard och den användare som kör det måste vara ägare eller administratör för användaråtkomst i Azure. Om du inte vill att servrarna ska vara Arc-aktiverade eller inte har rätt roller skickar du den här extra parametern: -EnableAzureArcServer:$false

    Kom ihåg att användaren som kör cmdleten måste ha Azure Active Directory behörighet , annars slutförs inte registreringsprocessen. I stället avslutas registreringen och väntar på Register-AzStackHCI administratörsgodkännande. Register-AzStackHCI När behörigheterna har beviljats kör du bara om för Register-AzStackHCI att slutföra registreringen.

  3. Autentisera med Azure

    För att slutföra registreringsprocessen måste du autentisera (logga in) med ditt Azure-konto. Ditt konto måste ha åtkomst till Azure-prenumerationen som angavs i steg 2 ovan för att registreringen ska kunna fortsätta. Kopiera den angivna koden, gå till microsoft.com/devicelogin på en annan enhet (till exempel din dator eller telefon), ange koden och logga in där. Registreringsarbetsflödet identifierar när du har loggat in så att du kan slutföra registreringen. Sedan ska klustret visas i Azure-portalen.

Aktivera Azure Arc integrering

Om du är en kanalkund för förhandsversionen och du registrerade ditt förhandsgranskningskanalkluster med Azure för första gången eller efter den 15 juni 2021, kommer varje server i klustret att Azure Arc-aktiverad som standard, så länge användaren som registrerar klustret har rollerna Azure-ägare eller administratör för användaråtkomst. Annars måste du vidta följande steg för att aktivera Azure Arc på servrarna.

Anteckning

Azure Arc är endast tillgängligt i version Azure Stack HCI version 21H2 och förhandsversioner. Den är inte tillgänglig Azure Stack HCI version 20H2.

  1. Installera den senaste versionen av modulen Az.StackHCI på hanteringsdatorn:

    Install-Module -Name Az.StackHCI

  2. Kör cmdleten på en gång och ange ditt prenumerations-ID för Azure, som måste vara samma Register-AzStackHCI ID som klustret ursprungligen registrerades på. Parametern -ComputerName kan vara namnet på valfri server i klustret. Det här steget Azure Arc integrering på varje server i klustret. Det påverkar inte din aktuella klusterregistrering med Azure och du behöver inte avregistrera klustret först.

    Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1

    Viktigt

    Om klustret ursprungligen registrerades med hjälp av en , eller som skiljer sig från standardinställningarna måste du ange -Region samma parametrar och värden -ResourceName-ResourceGroupName här. Om Get-AzureStackHCI du kör visas dessa värden.

  3. Om Azure Arc integreringen misslyckas kan servrarna behöva kommunicera via en proxyserver. Lös detta genom att ange miljövariabeln för proxyservern genom att köra följande PowerShell-kommando som administratör på varje server i klustret:

    [Environment]::SetEnvironmentVariable("https_proxy", "http://{proxy-url}:{proxy-port}", "Machine")
$env:https_proxy = [System.Environment]::GetEnvironmentVariable("https_proxy","Machine")
# For the changes to take effect, the agent service needs to be restarted after the proxy environment variable is set.
Restart-Service -Name himds

    Registrera sedan om Azure Stack HCI klustret.

Felsökning

Felsökning Azure Stack HCI kräver att du tittar på både PowerShell-registreringsloggar och hcisvc-felsökningsloggar från varje server i klustret.

Samla in PowerShell-registreringsloggar

När cmdletarna och körs skapas loggfilerna Register-AzStackHCIUnregister-AzStackHCIRegister-AzStackHCIUnregister-AzStackHCI för varje försök. De här filerna skapas i arbetskatalogen i PowerShell-sessionen där cmdletarna körs. Felsökningsloggar ingår inte som standard. Om det finns ett problem som behöver ytterligare felsökningsloggar anger du felsökningsinställningarna till Fortsätt genom att köra följande cmdlet innan du kör eller Unregister-AzStackHCI .

$DebugPreference = 'Continue'

Samla in lokala hcisvc-loggar

Om du vill aktivera felsökningsloggar för hcisvc kör du följande i PowerShell på varje server i klustret:

wevtutil.exe sl /q /e:true Microsoft-AzureStack-HCI/Debug

Så här hämtar du loggarna:

Get-WinEvent -Logname Microsoft-AzureStack-HCI/Debug -Oldest -ErrorAction Ignore

Vanliga registreringsproblem

Under registreringen måste varje server i klustret vara igång med utgående Internetanslutning till Azure. Register-AzStackHCICmdleten pratar med alla servrar i klustret för att etablera certifikat för var och en. Varje server använder sitt certifikat för att göra API-anrop till HCI-tjänster i molnet för att verifiera registreringen.

Om registreringen misslyckas kan följande meddelande visas:

Det gick inte att registrera. Det gick inte att generera själv signerade certifikat på noderna {Node1,Node2}. Det gick inte att ange och verifiera registreringscertifikatet på noder {Node1,Node2}

Om det finns nodnamn efter "Det gick inte att generera själv signerade certifikat på noder" i felmeddelandet kunde vi inte generera certifikatet på dessa servrar. Så här felsöker du:

  1. Kontrollera att varje server som anges i ovanstående meddelande är igång. Du kan kontrollera statusen för hcisvc genom att sc.exe query hcisvc köra och starta det om det behövs med start-service hcisvc .

  2. Kontrollera att varje server som anges i felmeddelandet har anslutning till den dator där Register-AzStackHCI cmdleten körs. Kontrollera detta genom att köra följande cmdlet från datorn där körs. Använd för att ansluta till varje server i klustret Register-AzStackHCI och kontrollera att den New-PSSession fungerar.

    New-PSSession -ComputerName {failing nodes}

Om det finns nodnamn efter "Det gick inte att ange och verifiera registreringscertifikatet på noden/noderna" i felmeddelandet kunde vi generera certifikatet på servrarna, men servrarna kunde inte anropa HCI-molntjänst-API:et. Så här felsöker du:

  1. Kontrollera att varje server har nödvändig Internetanslutning för att kunna prata med Azure Stack HCI-molntjänster och andra Azure-tjänster som krävs, t.ex. Azure Active Directory, och att den inte blockeras av brandväggar. Se Brandväggskrav för Azure Stack HCI.

  2. Prova att köra Test-AzStackHCIConnection cmdleten och kontrollera att den lyckas. Denna cmdlet anropar hälsoslutpunkten för HCI-molntjänster för att testa anslutningen.

  3. Titta på felsökningsloggarna för hcisvc på varje nod som anges i felmeddelandet.

    • Det är ok att ha "ExecuteWithRetry-åtgärden AADTokenFetch misslyckades med ett återförsöksbart fel" visas några gånger innan den antingen misslyckas med åtgärden ExecuteWithRetry AADTokenFetch misslyckades efter alla återförsök eller "ExecuteWithRetry-åtgärden AADTokenFetch lyckades vid återförsök".
    • Om du stöter på "ExecuteWithRetry-åtgärden AADTokenFetch misslyckades efter alla återförsök" i loggarna kunde vi inte hämta Azure Active Directory-token från tjänsten även efter alla återförsök. Ett associerat undantag AAD loggas med det här meddelandet.
    • Om du ser "AADSTS700027: Klientföreskrift innehåller en ogiltig signatur. [Orsak – Nyckeln som används har upphört att gälla. Tumavtrycket för nyckeln som används av klienten: {SomeThumbprint}', Nyckel hittades 'Start=06/29/2021 21:13:15, End=06/29/2023 21:13:15'". Det här är ett problem med hur tiden anges på servern. Kontrollera UTC-tiden på alla servrar genom att [System.DateTime]::UtcNow köra i PowerShell och jämför den med den faktiska UTC-tiden. Om tiden inte är korrekt anger du rätt tider på servrarna och försöker sedan registrera igen.

Nästa steg

Om du vill utföra nästa hanteringsuppgift som är relaterad till den här artikeln kan du läsa:

Verifiera ett Azure Stack HCI-kluster