Hantera klusterregistrering med Azure
Gäller för: Azure Stack HCI, versionerna 21H2 och 20H2
När du har skapat ett Azure Stack HCI kluster måste du registrera Windows Administrationscenter med Azure och sedan registrera klustret med Azure. När klustret har registrerats synkroniserar det regelbundet information mellan det lokala klustret och molnet.
Den här artikeln beskriver hur du visar din registreringsstatus, beviljar Azure Active Directory -behörigheter (Azure AD) och avregistrerar klustret när du är redo att inaktivera det.
Visa registreringsstatus i Windows Administrationscenter
När du ansluter till ett kluster med Windows administrationscentret visas instrumentpanelen som visar Azure-anslutningsstatusen. Ansluten innebär att klustret redan har registrerats med Azure och har synkroniserats till molnet under den senaste dagen.
Du kan få mer information genom att Inställningar längst ned på menyn Verktyg till vänster och sedan välja Azure Stack HCI registrering.
Visa registreringsstatus i PowerShell
Om du vill visa registreringsstatus med Windows PowerShell använder du Get-AzureStackHCI PowerShell-cmdleten ClusterStatus och egenskaperna , och RegistrationStatusConnectionStatus .
När du till exempel har Azure Stack HCI operativsystemet, men innan du skapar eller ansluter till ett kluster, ClusterStatus visar egenskapen NotYet en status:
När klustret har skapats visar bara RegistrationStatus en NotYet status:
Du måste registrera ett Azure Stack HCI kluster inom 30 dagar efter installationen, enligt definitionen i Azure Villkor för Onlinetjänster. Om du inte har skapat eller anslutit ett kluster efter 30 dagar ClusterStatus visas OutOfPolicy . Om du inte har registrerat klustret efter 30 dagar RegistrationStatus visas OutOfPolicy .
När klustret har registrerats kan du se ConnectionStatus och LastConnected tiden. Tiden LastConnected är vanligtvis inom den senaste dagen om inte klustret tillfälligt är frånkopplat från Internet. Ett Azure Stack HCI kluster kan arbeta helt offline i upp till 30 dagar i följd.
Om du överskrider den maximala perioden för offline-åtgärd ConnectionStatus visas OutOfPolicy .
Tilldela behörigheter för Azure AD-appen
Förutom att skapa en Azure-resurs i din prenumeration skapar registrering av Azure Stack HCI en appidentitet i din Azure AD-klientorganisation. Den här identiteten liknar begreppsmässigt en användare. Appidentiteten ärver klusternamnet. Identiteten agerar på uppdrag av Azure Stack HCI-molntjänsten, efter behov, inom din prenumeration.
Om användaren som registrerar klustret är en Azure AD-administratör eller har tillräcklig behörighet sker allt detta automatiskt. Ingen ytterligare åtgärd krävs. Annars kan du behöva godkännande från Azure AD-administratören för att slutföra registreringen. Administratören kan antingen uttryckligen bevilja medgivande till appen eller delegera behörigheter så att du kan ge medgivande till appen:
Om du vill bevilja medgivande öppnar portal.azure.com och loggar in med ett Azure-konto som har tillräcklig behörighet i Azure AD. Gå till Azure Active DirectoryAppregistreringar. Välj den appidentitet som namnges efter klustret och gå till API-behörigheter.
För allmän tillgänglighet (GA) Azure Stack HCI kräver appen följande behörigheter.
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read
https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite
Det kan ta lite tid att söka godkännande från Azure AD-administratören, så cmdleten avslutas och lämnar registreringen med Register-AzStackHCIpending admin consent statusen (delvis slutförd). När medgivande har beviljats kör du om Register-AzStackHCI för att slutföra registreringen.
Tilldela Azure AD-användarbehörigheter
Den användare som kör behöver Register-AzStackHCI Azure AD-behörigheter för att:
- Skapa (
New-Remove-AzureADApplication), get ( ), set ( ), eller ta bort ( ) AzureGet-Remove-AzureADApplicationSet-Remove-AzureADApplicationRemove-AzureADApplicationAD-program. - Skapa (
New-Get-AzureADServicePrincipal) eller hämta ( ) AzureGet-AzureADServicePrincipalAD-tjänstens huvudnamn. - Hantera Active Directory-programhemligheter (
New-Remove-AzureADApplicationKeyCredentialGet-Remove-AzureADApplicationKeyCredential, ellerRemove-AzureADApplicationKeyCredential). - Bevilja medgivande att använda specifika programbehörigheter (
New-AzureADApplicationKeyCredentialGet-AzureADApplicationKeyCredential, ellerRemove-AzureADServiceAppRoleAssignments).
Det finns tre sätt att tilldela dessa behörigheter.
Alternativ 1: Tillåt alla användare att registrera program
I Azure Active Directory du till AnvändarinställningarAppregistreringar. Under Användare kan registrera programväljer du Ja.
Med det här alternativet kan alla användare registrera program. Användaren behöver dock fortfarande Azure AD-administratören för att bevilja medgivande under klusterregistreringen.
Anteckning
Det här alternativet är en inställning på klientorganisationsnivå, så den kanske inte är lämplig för stora företagskunder.
Alternativ 2: Tilldela rollen molnprogramadministration
Tilldela den inbyggda Azure AD-rollen Administration av molnprogram till användaren. Med den här tilldelningen kan användaren registrera och avregistrera kluster utan att ytterligare Active Directory-administratörsmedgivande krävs.
Alternativ 3: Skapa en anpassad Active Directory-roll och medgivandeprincip
Det mest restriktiva alternativet är att skapa en anpassad Active Directory-roll med en anpassad medgivandeprincip som delegerar administratörsmedgivande för hela klientorganisationen för nödvändiga behörigheter till Azure Stack HCI tjänsten. När du tilldelar den här anpassade rollen till användare kan de både registrera och bevilja medgivande utan att ytterligare Active Directory-administratörsmedgivande krävs.
Anteckning
Det här alternativet kräver en Azure AD Premium licens. Den använder anpassade Active Directory-roller och anpassade funktioner för medgivandeprincip.
Anslut till Azure AD:
Connect-AzureADSkapa en anpassad medgivandeprincip:
New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"Lägg till ett villkor som innehåller nödvändiga appbehörigheter för Azure Stack HCI-tjänsten, som innehåller app-ID 1322e676-dee7-41ee-a874-ac923822781c.
Anteckning
Följande behörigheter gäller för GA-versionen av Azure Stack HCI.
New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"Bevilja behörigheter för att tillåta Azure Stack HCI, och skriv ner principen för anpassat medgivande som du skapade i steg 2:
$displayName = "Azure Stack HCI Registration Administrator " $description = "Custom AD role to allow registering Azure Stack HCI " $templateId = (New-Guid).Guid $allowedResourceAction = @( "microsoft.directory/applications/createAsOwner", "microsoft.directory/applications/delete", "microsoft.directory/applications/standard/read", "microsoft.directory/applications/credentials/update", "microsoft.directory/applications/permissions/update", "microsoft.directory/servicePrincipals/appRoleAssignedTo/update", "microsoft.directory/servicePrincipals/appRoleAssignedTo/read", "microsoft.directory/servicePrincipals/appRoleAssignments/read", "microsoft.directory/servicePrincipals/createAsOwner", "microsoft.directory/servicePrincipals/credentials/update", "microsoft.directory/servicePrincipals/permissions/update", "microsoft.directory/servicePrincipals/standard/read", "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy" ) $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}Skapa den nya anpassade Active Directory-rollen:
$customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $trueFölj de här instruktionerna för att tilldela den nya anpassade Active Directory-rollen till den användare som ska registrera Azure Stack HCI klustret med Azure.
Avregistrera Azure Stack HCI med hjälp Windows administrationscentret
När du är redo att inaktivera Azure Stack HCI klustret ansluter du till klustret med hjälp Windows administrationscentret. Välj Inställningar längst ned på menyn Verktyg till vänster. Välj sedan Azure Stack HCI registreringoch välj knappen Avregistrera.
Avregistreringsprocessen rensar automatiskt den Azure-resurs som representerar klustret, Azure-resursgruppen (om gruppen skapade under registreringen och inte innehåller några andra resurser) och Azure AD-appidentiteten. Den här rensningen stoppar all övervakning, support och fakturering via Azure Arc.
Anteckning
Avregistrering av ett Azure Stack HCI-kluster kräver en Azure AD-administratör eller en annan användare som har tillräcklig behörighet.
Om din Windows Admin Center-gateway är registrerad på ett annat Azure Active Directory-ID (klient)-ID än vad som användes för att först registrera klustret kan det uppstå problem när du försöker avregistrera klustret med hjälp av Windows Administrationscenter. Om detta inträffar följer du följande PowerShell-instruktioner.
Avregistrera Azure Stack HCI med hjälp av PowerShell
Du kan också använda Unregister-AzStackHCI cmdleten för att avregistrera ett Azure Stack HCI kluster. Du kan köra cmdleten antingen på en klusternod eller från en hanteringsdator.
Du kan behöva installera den senaste versionen av Az.StackHCI modulen. Om du tillfrågas med Are you sure you want to install the modules from 'PSGallery'? svarar du ja ( Y ).
Install-Module -Name Az.StackHCI
Avregistrera från en klusternod
Om du kör Unregister-AzStackHCI cmdleten på en server i klustret använder du följande syntax. Ange id:t för din Azure-prenumeration och resursnamnet för Azure Stack HCI som du vill avregistrera.
Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001
Du uppmanas att gå till microsoft.com/devicelogin på en annan enhet (t.ex. din dator eller telefon). Ange koden och logga in där för att autentisera med Azure.
Avregistrera från en hanteringsdator
Om du kör cmdleten från en hanteringsdator måste du också ange namnet på en server i klustret:
Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001
Ett interaktivt Azure-inloggningsfönster visas. De exakta uppmaningarna som visas varierar beroende på dina säkerhetsinställningar (till exempel tvåfaktorautentisering). Följ anvisningarna för att logga in.
Rensa efter ett kluster som inte har avregistrerats korrekt
Om en användare förstör ett Azure Stack HCI-kluster utan att avregistrera det, till exempel genom att återimmera värdservrarna eller ta bort virtuella klusternoder, lämnas artefakter kvar i Azure. Dessa artefakter är ofarliga och medför inte fakturering eller användning av resurser, men de kan vara röriga Azure Portal. Om du vill rensa dem kan du ta bort dem manuellt.
Om du vill Azure Stack HCI resursen går du till sidan i Azure Portal och väljer Ta bort från åtgärdsfältet högst upp. Ange namnet på resursen för att bekräfta borttagningen och välj sedan Ta bort.
Om du vill ta bort Azure AD-appidentiteten går du till AzureAD-appregistreringarAlla program. Välj Ta bort och bekräfta.
Du kan också ta bort Azure Stack HCI resurs med hjälp av PowerShell:
Remove-AzResource -ResourceId "HCI001"
Du kan behöva installera Az.Resources modulen:
Install-Module -Name Az.Resources
Om resursgruppen skapades under registreringen och inte innehåller några andra resurser kan du även ta bort den:
Remove-AzResourceGroup -Name "HCI001-rg"
Nästa steg
Relaterad information finns i: