Anslut till Azure Resource Manager på din Azure Stack Edge-enhet

  • Artikel

GÄLLER FÖR:Ja för Pro GPU SKUAzure Stack Edge Pro – GPUJa för Pro 2 SKUAzure Stack Edge Pro 2Ja för Pro R SKUAzure Stack Edge Pro RJa för Mini R SKUAzure Stack Edge Mini R

Azure Resource Manager har ett hanteringslager som hjälper dig att skapa, uppdatera och ta bort resurser i din Azure-prenumeration. Azure Stack Edge-enheten har stöd för samma Azure Resource Manager-API:er för att skapa, uppdatera och ta bort virtuella datorer i en lokal prenumeration. Med det här stödet kan du hantera enheten på ett sätt som är konsekvent med molnet.

Den här artikeln beskriver hur du ansluter till de lokala API:erna på din Azure Stack Edge-enhet via Azure Resource Manager med hjälp av Azure PowerShell.

Slutpunkter på Azure Stack Edge-enhet

I följande tabell sammanfattas de olika slutpunkter som exponeras på enheten, protokoll som stöds och portarna för åtkomst till dessa slutpunkter. I artikeln hittar du referenser till dessa slutpunkter.

# Slutpunkt Protokoll som stöds Port som används Används för
1. Azure Resource Manager https 443 Ansluta till Azure Resource Manager för automatisering
2. Tjänst för säkerhetstoken https 443 Autentisera via åtkomst- och uppdateringstoken
3. Blob* https 443 Ansluta till Blob Storage via REST

* Anslut ion till bloblagringsslutpunkten krävs inte för att ansluta till Azure Resource Manager.

Anslut till Azure Resource Manager-arbetsflöde

Processen för att ansluta till lokala API:er för enheten med Hjälp av Azure Resource Manager kräver följande steg:

Steg # Gör det här steget ... .. på den här platsen.
1. Konfigurera din Azure Stack Edge-enhet Lokalt webbgränssnitt
2. Skapa och installera certifikat Windows-klient-/lokalt webbgränssnitt
3. Granska och konfigurera förutsättningarna Windows-klient
4. Konfigurera Azure PowerShell på klienten Windows-klient
5. Ändra värdfil för lösning av slutpunktsnamn Windows-klient eller DNS-server
6. Kontrollera att slutpunktsnamnet har lösts Windows-klient
7. Använda Azure PowerShell-cmdletar för att verifiera anslutningen till Azure Resource Manager Windows-klient

I följande avsnitt beskrivs vart och ett av stegen ovan när du ansluter till Azure Resource Manager.

Förutsättningar

Innan du börjar kontrollerar du att klienten som används för att ansluta till enheten via Azure Resource Manager använder TLS 1.2. Mer information finns i Konfigurera TLS 1.2 på Windows-klienten som har åtkomst till Azure Stack Edge-enheten.

Steg 1: Konfigurera Azure Stack Edge-enhet

Utför följande steg i det lokala webbgränssnittet för din Azure Stack Edge-enhet.

  1. Slutför nätverksinställningarna för din Azure Stack Edge-enhet.

    Sidan

    Anteckna enhetens IP-adress. Du använder den här IP-adressen senare.

  2. Konfigurera enhetsnamnet och DNS-domänen från sidan Enhet . Anteckna enhetsnamnet och DNS-domänen när du använder dessa senare.

    Sidan

    Viktigt!

    Enhetsnamnet, DNS-domänen, används för att bilda de slutpunkter som exponeras. Använd Azure Resource Manager- och Blob-slutpunkterna från sidan Enhet i det lokala webbgränssnittet.

Steg 2: Skapa och installera certifikat

Certifikaten säkerställer att kommunikationen är betrodd. På din Azure Stack Edge-enhet genereras självsignerade installationer, blobar och Azure Resource Manager-certifikat automatiskt. Du kan också ta in dina egna signerade blob- och Azure Resource Manager-certifikat.

När du tar in ett eget signerat certifikat behöver du även motsvarande signeringskedja för certifikatet. För signeringskedjan, Azure Resource Manager och blobcertifikaten på enheten behöver du motsvarande certifikat på klientdatorn även för att autentisera och kommunicera med enheten.

Om du vill ansluta till Azure Resource Manager måste du skapa eller hämta signeringskedja och slutpunktscertifikat, importera dessa certifikat på Din Windows-klient och slutligen ladda upp dessa certifikat på enheten.

Skapa certifikat

För endast test och utveckling kan du använda Windows PowerShell för att skapa certifikat i ditt lokala system. När du skapar certifikaten för klienten följer du dessa riktlinjer:

  1. Du måste först skapa ett rotcertifikat för signeringskedjan. Mer information finns i steg för att skapa certifikat för signeringskedjan.

  2. Du kan sedan skapa slutpunktscertifikaten för Azure Resource Manager och blob (valfritt). Du kan hämta dessa slutpunkter från sidan Enhet i det lokala webbgränssnittet. Se stegen för att skapa slutpunktscertifikat.

  3. För alla dessa certifikat kontrollerar du att ämnesnamnet och det alternativa ämnesnamnet överensstämmer med följande riktlinjer:

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Bloblagring* *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Multi-SAN-enskilt certifikat för båda slutpunkterna <Device name>.<dnsdomain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com

* Blob storage krävs inte för att ansluta till Azure Resource Manager. Den visas här om du skapar lokala lagringskonton på din enhet.

Mer information om certifikat finns i Ladda upp certifikat på enheten och importera certifikat på klienter som har åtkomst till enheten.

Ladda upp certifikat på enheten

De certifikat som du skapade i föregående steg finns i det personliga arkivet på klienten. Dessa certifikat måste exporteras på klienten till lämpliga formatfiler som sedan kan laddas upp till enheten.

  1. Rotcertifikatet måste exporteras som en DER-formatfil med .cer filnamnstillägg. Detaljerade steg finns i Exportera certifikat som en .cer formatfil.

  2. Slutpunktscertifikaten måste exporteras som .pfx-filer med privata nycklar. Detaljerade steg finns i Exportera certifikat som .pfx-fil med privata nycklar.

  3. Rot- och slutpunktscertifikaten laddas sedan upp på enheten med alternativet +Lägg till certifikatsidan Certifikat i det lokala webbgränssnittet. Om du vill ladda upp certifikaten följer du stegen i Ladda upp certifikat.

Importera certifikat på klienten som kör Azure PowerShell

Den Windows-klient där du anropar Azure Resource Manager-API:erna måste upprätta förtroende för enheten. Därför måste de certifikat som du skapade i föregående steg importeras på Din Windows-klient till lämpligt certifikatarkiv.

  1. Rotcertifikatet som du exporterade som DER-format med .cer tillägget ska nu importeras i betrodda rotcertifikatutfärdare i klientsystemet. Detaljerade steg finns i Importera certifikat till arkivet Betrodda rotcertifikatutfärdare.

  2. Slutpunktscertifikaten som du exporterade som .pfx måste exporteras som .cer. Den här .cer importeras sedan i det personliga certifikatarkivet i systemet. Detaljerade steg finns i Importera certifikat till personligt arkiv.

Steg 3: Installera PowerShell på klienten

Windows-klienten måste uppfylla följande krav:

  1. Kör Windows PowerShell 5.1. Du måste ha Windows PowerShell 5.1. Kör följande cmdlet för att kontrollera versionen av PowerShell i systemet:

    $PSVersionTable.PSVersion

    Jämför huvudversionen och se till att den är 5.1 eller senare.

    Om du har en inaktuell version läser du Uppgradera befintliga Windows PowerShell.

    Om du inte har PowerShell 5.1 följer du Installera Windows PowerShell.

    Ett exempel på utdata visas nedan.

    Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
Try the new cross-platform PowerShell https://aka.ms/pscore6
PS C:\windows\system32> $PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      19041  906

  2. Du kan komma åt PowerShell-galleriet.

    Kör PowerShell som administratör. Kontrollera att PowerShellGet-versionen är äldre än 2.2.3. Kontrollera dessutom om är PSGallery registrerad som en lagringsplats.

    Install-Module PowerShellGet -MinimumVersion 2.2.3
Import-Module -Name PackageManagement -ErrorAction Stop
Get-PSRepository -Name "PSGallery"

    Ett exempel på utdata visas nedan.

    PS C:\windows\system32> Install-Module PowerShellGet -MinimumVersion 2.2.3
PS C:\windows\system32> Import-Module -Name PackageManagement -ErrorAction Stop
PS C:\windows\system32> Get-PSRepository -Name "PSGallery"
Name                      InstallationPolicy   SourceLocation
----                      ------------------   --------------
PSGallery                 Trusted              https://www.powershellgallery.com/api/v2

Om lagringsplatsen inte är betrodd eller om du behöver mer information kan du läsa Verifiera PowerShell-galleriet hjälpmedel.

Steg 4: Konfigurera Azure PowerShell på klienten

Installera Azure PowerShell-moduler på din klient som fungerar med din enhet.

  1. Kör PowerShell som administratör. Du måste ha åtkomst till PowerShell-galleriet.

  2. Kontrollera först att det inte finns några befintliga versioner av AzureRM och Az moduler på klienten. Kontrollera genom att köra följande kommandon:

    # Check existing versions of AzureRM modules
Get-InstalledModule -Name AzureRM -AllVersions

# Check existing versions of Az modules
Get-InstalledModule -Name Az -AllVersions

    Om det finns befintliga versioner använder du cmdleten Uninstall-Module för att avinstallera. Mer information finns i

  3. Kör följande kommando för att installera nödvändiga Azure PowerShell-moduler från PowerShell-galleriet:

    • Om klienten använder PowerShell Core version 7.0 eller senare:

      # Install the Az.BootStrapper module. Select Yes when prompted to install NuGet.

Install-Module -Name Az.BootStrapper

# Install and import the API Version Profile into the current PowerShell session.

Use-AzProfile -Profile 2020-09-01-hybrid -Force

# Confirm the installation of PowerShell
Get-Module -Name "Az*" -ListAvailable

    • Om klienten använder PowerShell 5.1 eller senare:

      #Install the Az module version 1.10.0

Install-Module -Name Az -RequiredVersion 1.10.0

  4. Kontrollera att du har rätt Az-modulversion som körs i slutet av installationen.

    Om du använde PowerShell 7 eller senare anger följande exempelutdata att Az version 2.0.1-modulerna (eller senare) har installerats korrekt.

    
PS C:\windows\system32> Install-Module -Name Az.BootStrapper
PS C:\windows\system32> Use-AzProfile -Profile 2020-09-01-hybrid -Force
Loading Profile 2020-09-01-hybrid
PS C:\windows\system32> Get-Module -Name "Az*" -ListAvailable

    Om du använde PowerShell 5.1 eller senare anger följande exempelutdata att Az version 1.10.0-modulerna har installerats korrekt.

    PS C:\WINDOWS\system32> Get-InstalledModule -Name Az -AllVersions
Version     Name     Repository     Description
-------     ----     ----------     -----------
1.10.0      Az       PSGallery      Mic...

PS C:\WINDOWS\system32>

Steg 5: Ändra värdfil för slutpunktsnamnmatchning

Nu ska du lägga till enhetens IP-adress i:

  • Värdfilen på klienten, ELLER,
  • DNS-serverkonfigurationen

Viktigt!

Vi rekommenderar att du ändrar DNS-serverkonfigurationen för slutpunktsnamnmatchning.

Utför följande steg på din Windows-klient som du använder för att ansluta till enheten:

  1. Starta Anteckningar som administratör och öppna sedan värdfilen i C:\Windows\System32\Drivers\etc.

    Windows Explorer-värdfil

  2. Lägg till följande poster i värdfilen och ersätt med lämpliga värden för enheten:

    <Device IP> login.<appliance name>.<DNS domain>
<Device IP> management.<appliance name>.<DNS domain>
<Device IP> <storage name>.blob.<appliance name>.<DNS domain>

    Viktigt!

    Posten i värdfilen ska matcha exakt den som anges för att ansluta till Azure Resource Manager i ett senare steg. Kontrollera att DNS-domänposten här är i gemener. Om du vill hämta värdena för <appliance name> och <DNS domain>går du till sidan Enhet i enhetens lokala användargränssnitt.

    Du sparade enhetens IP-adress från det lokala webbgränssnittet i ett tidigare steg.

    Posten login.<appliance name>.<DNS domain> är slutpunkten för Security Token Service (STS). STS ansvarar för skapande, validering, förnyelse och annullering av säkerhetstoken. Tjänsten för säkerhetstoken används för att skapa åtkomsttoken och uppdateringstoken som används för kontinuerlig kommunikation mellan enheten och klienten.

    Slutpunkten för bloblagring är valfri när du ansluter till Azure Resource Manager. Den här slutpunkten behövs när du överför data till Azure via lagringskonton.

  3. Använd följande bild som referens. Spara värdens fil.

    värdfil i Anteckningar

Steg 6: Verifiera slutpunktsnamnmatchning på klienten

Kontrollera om slutpunktsnamnet har lösts på den klient som du använder för att ansluta till enheten.

  1. Du kan använda ping.exe kommandoradsverktyget för att kontrollera att slutpunktsnamnet har lösts. Med en IP-adress ping returnerar kommandot TCP/IP-värdnamnet för den dator som du spårar.

    Lägg till växeln -a på kommandoraden enligt exemplet nedan. Om värdnamnet kan returneras returneras även denna potentiellt värdefulla information i svaret.

    Pinga i kommandotolken

Steg 7: Ange Azure Resource Manager-miljö

Ange Azure Resource Manager-miljön och kontrollera att din enhet till klientkommunikation via Azure Resource Manager fungerar bra. Utför följande steg för den här verifieringen:

  1. Använd cmdleten Add-AzEnvironment för att se till att kommunikationen via Azure Resource Manager fungerar korrekt och att API-anropen går via den port som är dedikerad för Azure Resource Manager, 443.

    Cmdleten Add-AzEnvironment lägger till slutpunkter och metadata så att Azure Resource Manager-cmdletar kan ansluta till en ny instans av Azure Resource Manager.

    Viktigt!

    Url:en för Azure Resource Manager-slutpunkten som du anger i följande cmdlet är skiftlägeskänslig. Kontrollera att slutpunkts-URL:en är i gemener och matchar det du angav i värdfilen. Om ärendet inte matchar visas ett fel.

    Add-AzEnvironment -Name <Environment Name> -ARMEndpoint "https://management.<appliance name>.<DNSDomain>/"

    Ett exempel på utdata visas nedan:

    PS C:\WINDOWS\system32> Add-AzEnvironment -Name AzASE -ARMEndpoint "https://management.myasegpu.wdshcsso.com/"

Name  Resource Manager Url                      ActiveDirectory Authority
----  --------------------                      -------------------------
AzASE https://management.myasegpu.wdshcsso.com/ https://login.myasegpu.wdshcsso.c...

  2. Ange miljön som Azure Stack Edge och den port som ska användas för Azure Resource Manager-anrop som 443. Du definierar miljön på två sätt:

    • Konfigurera miljön. Ange följande kommando:

      Set-AzEnvironment -Name <Environment Name>

      Här är ett exempel på utdata.

      PS C:\WINDOWS\system32> Set-AzEnvironment -Name AzASE

Name  Resource Manager Url                      ActiveDirectory Authority
----  --------------------                      -------------------------
AzASE https://management.myasegpu.wdshcsso.com/ https://login.myasegpu.wdshcsso.c...

      Mer information finns i Set-AzEnvironment.

    • Definiera den infogade miljön för varje cmdlet som du kör. Detta säkerställer att alla API-anrop går igenom rätt miljö. Som standard går anropen via azure-allmänheten, men du vill att de ska gå igenom den miljö som du har angett för Azure Stack Edge-enheten.

    • Se mer information om hur du byter Az-miljöer.

  3. Anropa lokala enhets-API:er för att autentisera anslutningarna till Azure Resource Manager.

    1. Dessa autentiseringsuppgifter är för ett lokalt datorkonto och används endast för API-åtkomst.

    2. Du kan ansluta via login-AzAccount eller via Connect-AzAccount kommando.

      1. Om du vill logga in skriver du följande kommando.

        $pass = ConvertTo-SecureString "<Your password>" -AsPlainText -Force;
$cred = New-Object System.Management.Automation.PSCredential("EdgeArmUser", $pass)
Connect-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d -credential $cred

        Använd klientorganisations-ID:t c0257de7-538f-415c-993a-1b87a031879d eftersom det i den här instansen är hårdkodat. Använd följande användarnamn och lösenord.

        Här är ett exempel på utdata för Connect-AzAccount:

        PS C:\windows\system32> $pass = ConvertTo-SecureString "<Your password>" -AsPlainText -Force;
PS C:\windows\system32> $cred = New-Object System.Management.Automation.PSCredential("EdgeArmUser", $pass)
PS C:\windows\system32> Connect-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d -credential $cred

Account       SubscriptionName   TenantId            Environment
-------       ----------------   --------            -----------
EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a031879d AzASE

PS C:\windows\system32>

        Ett annat sätt att logga in är att använda cmdleten login-AzAccount .

        login-AzAccount -EnvironmentName <Environment Name> -TenantId c0257de7-538f-415c-993a-1b87a031879d

        Här är ett exempel på utdata.

        PS C:\WINDOWS\system32> login-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d

Account               SubscriptionName              TenantId
-------               ----------------              --------
EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a...

PS C:\WINDOWS\system32>

  4. Använd kommandot för att kontrollera att anslutningen till enheten fungerar Get-AzResource . Det här kommandot ska returnera alla resurser som finns lokalt på enheten.

    Här är ett exempel på utdata.

    PS C:\WINDOWS\system32> Get-AzResource

Name              : aseimagestorageaccount
ResourceGroupName : ase-image-resourcegroup
ResourceType      : Microsoft.Storage/storageaccounts
Location          : dbelocal
ResourceId        : /subscriptions/.../resourceGroups/ase-image-resourcegroup/providers/Microsoft.Storage/storageac
                    counts/aseimagestorageaccount
Tags              :

Name              : myaselinuxvmimage1
ResourceGroupName : ASERG
ResourceType      : Microsoft.Compute/images
Location          : dbelocal
ResourceId        : /subscriptions/.../resourceGroups/ASERG/providers/Microsoft.Compute/images/myaselinuxvmimage1
Tags              :

Name              : ASEVNET
ResourceGroupName : ASERG
ResourceType      : Microsoft.Network/virtualNetworks
Location          : dbelocal
ResourceId        : /subscriptions/.../resourceGroups/ASERG/providers/Microsoft.Network/virtualNetworks/ASEVNET
Tags              :

PS C:\WINDOWS\system32>

Om du stöter på problem med dina Azure Resource Manager-anslutningar kan du läsa Felsöka Azure Resource Manager-problem för vägledning.

Viktigt!

Anslutningen till Azure Resource Manager upphör att gälla var 1,5:e timme eller om Din Azure Stack Edge-enhet startas om. Om detta händer returnerar eventuella cmdletar som du kör felmeddelanden om att du inte längre är ansluten till Azure. Du måste logga in igen.

Växla miljö

Du kan behöva växla mellan två miljöer.

Kör Disconnect-AzAccount kommandot för att växla till en annan AzEnvironment. Om du använder Set-AzEnvironment och Login-AzAccount utan att använda Disconnect-AzAccountväxlas inte miljön.

I följande exempel visas hur du växlar mellan två miljöer AzASE1 och AzASE2.

Börja med att ange alla befintliga miljöer på klienten.

PS C:\WINDOWS\system32> Get-AzEnvironment​
Name    Resource Manager Url     ActiveDirectory Authority​
----    --------------------      -------------------------​
AzureChinaCloud   https://management.chinacloudapi.cn/                 https://login.chinacloudapi.cn/​
AzureCloud        https://management.azure.com/                        https://login.microsoftonline.com/​
AzureGermanCloud  https://management.microsoftazure.de/                https://login.microsoftonline.de/​
AzDBE1            https://management.HVTG1T2-Test.microsoftdatabox.com https://login.hvtg1t2-test.microsoftdatabox.com/adfs/​
AzureUSGovernment https://management.usgovcloudapi.net/                https://login.microsoftonline.us/​
AzDBE2            https://management.CVV4PX2-Test.microsoftdatabox.com https://login.cvv4px2-test.microsoftdatabox.com/adfs/​

Hämta sedan vilken miljö du för närvarande är ansluten till via Azure Resource Manager.

PS C:\WINDOWS\system32> Get-AzContext |fl *​
​​
Name               : Default Provider Subscription (...) - EdgeArmUser@localhost​
Account            : EdgeArmUser@localhost​
Environment        : AzDBE2​
Subscription       : ...​
Tenant             : c0257de7-538f-415c-993a-1b87a031879d​
TokenCache         : Microsoft.Azure.Commands.Common.Authentication.ProtectedFileTokenCache​
VersionProfile     :​
ExtendedProperties : {}​

Du bör nu koppla från den aktuella miljön innan du växlar till den andra miljön.

PS C:\WINDOWS\system32> Disconnect-AzAccount​
​​
Id                    : EdgeArmUser@localhost​
Type                  : User​
Tenants               : {c0257de7-538f-415c-993a-1b87a031879d}​
AccessToken           :​
Credential            :​
TenantMap             : {}​
CertificateThumbprint :​
ExtendedProperties    : {[Subscriptions, ...], [Tenants, c0257de7-538f-415c-993a-1b87a031879d]}

Logga in på den andra miljön. Exemplet på utdata visas nedan.

PS C:\WINDOWS\system32> Login-AzAccount -Environment "AzDBE1" -TenantId $ArmTenantId​
​
Account     SubscriptionName   TenantId        Environment​
-------     ----------------   --------        -----------​
EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a031879d AzDBE1

Kör den här cmdleten för att bekräfta vilken miljö du är ansluten till.

PS C:\WINDOWS\system32> Get-AzContext |fl *​
​​
Name               : Default Provider Subscription (...) - EdgeArmUser@localhost​
Account            : EdgeArmUser@localhost​
Environment        : AzDBE1​
Subscription       : ...
Tenant             : c0257de7-538f-415c-993a-1b87a031879d​
TokenCache         : Microsoft.Azure.Commands.Common.Authentication.ProtectedFileTokenCache​
VersionProfile     :​
ExtendedProperties : {}

Nu har du bytt till den avsedda miljön.