Registrace počítačů a přiřazení oprávnění pro místní nasazení Azure

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak zaregistrovat místní počítače Azure a pak nastavit požadovaná oprávnění k nasazení Azure Local.

Požadavky

Než začnete, ujistěte se, že splňujete následující požadavky:

Požadavky na místní počítač Azure

• Dokončete požadavky a dokončete kontrolní seznam nasazení pro vaše prostředí.
• Připravte prostředí Active Directory.
• Stáhněte si software a nainstalujte operační systém Azure Stack HCI verze 23H2 na každý počítač.

Požadavky Azure

• Zaregistrujte požadované poskytovatele prostředků. Ujistěte se, že je vaše předplatné Azure zaregistrované vůči požadovaným poskytovatelům prostředků. Pokud se chcete zaregistrovat, musíte být vlastníkem nebo přispěvatelem vašeho předplatného. Můžete také požádat správce, aby se zaregistroval.

  Spusťte následující příkazy PowerShellu k registraci:

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  

  Poznámka:

  Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje místní počítače Azure ve službě Arc.

• Vytvořte skupinu prostředků. Postupujte podle následujících kroků, abyste vytvořili skupinu prostředků, ve které chcete zaregistrovat své počítače. Poznamenejte si název skupiny prostředků a ID přidruženého předplatného.

• Získejte ID tenanta. Postupujte podle kroků v části Získání ID tenanta Microsoft Entra prostřednictvím webu Azure Portal:

  1. V Azure portálu přejděte na Microsoft Entra ID>Vlastnosti.

  2. Posuňte se dolů do části ID tenanta a zkopírujte hodnotu ID tenanta , kterou chcete použít později.

• Ověřte oprávnění. Při registraci počítačů jako prostředků Arc se ujistěte, že jste vlastníkem skupiny prostředků nebo máte následující oprávnění ke skupině prostředků, ve které jsou počítače zřízené:

  • Azure Connected Machine Onboarding.
  • Azure Connected Machine Resource Administrator.

  Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků na webu Azure Portal:

  1. Přejděte k předplatnému, které jste použili pro místní nasazení Azure.

  2. Přejděte do skupiny prostředků, ve které chcete počítač zaregistrovat.

  3. V levém podokně přejděte na Řízení přístupu (IAM).

  4. V pravém podokně přejděte na Přiřazení rolí. Ověřte, že máte přiřazené role Azure Connected Machine Onboarding a Azure Connected Machine Resource Administrator.

• Zkontrolujte zásady Azure. Ujistěte se, že:

  • Zásady Azure neblokují instalaci rozšíření.
  • Zásady Azure neblokují vytváření určitých typů prostředků ve skupině prostředků.
  • Zásady Azure neblokují nasazení prostředků v určitých umístěních.

Registrace počítačů ve službě Azure Arc

Důležité

Tyto kroky spusťte jako místní správce na každém místním počítači Azure, který chcete clusterovat.

1. Nastavte parametry. Skript přebírá následující parametry:

   Parametry	Popis
   SubscriptionID	ID předplatného použitého k registraci počítačů ve službě Azure Arc.
   TenantID	ID tenanta použité k registraci počítačů ve službě Azure Arc. Přejděte na své ID Microsoft Entra a zkopírujte vlastnost ID tenanta.
   ResourceGroup	Skupina prostředků předem vytvořená pro registraci počítačů v Arc. Skupina prostředků bude vytvořena, pokud žádná neexistuje.
   Region	Oblast Azure použitá k registraci. Podívejte se na podporované oblasti , které je možné použít.
   AccountID	Uživatel, který zaregistruje a nasadí instanci.
   ProxyServer	Volitelný parametr. Adresa proxy serveru, pokud je vyžadována pro odchozí připojení.
   DeviceCode	Kód zařízení zobrazený v konzole https://microsoft.com/devicelogin a slouží k přihlášení k zařízení.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Výstup

   Tady je ukázkový výstup parametrů:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Připojte se ke svému účtu Azure a nastavte předplatné. Otevřete prohlížeč na klientovi, kterého používáte pro připojení k počítači, a otevřete tuto stránku: https://microsoft.com/devicelogin a zadejte zadaný kód do výstupu Azure CLI pro ověření. Získejte přístupový token a ID účtu pro registraci.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Výstup

   Tady je ukázkový výstup nastavení předplatného a ověřování:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                ----------- 
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Nakonec spusťte registrační skript Arc. Spuštění tohoto skriptu trvá několik minut.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   

   Pokud přistupujete k internetu pomocí proxy serveru, musíte při spuštění skriptu přidat -Proxy parametr a poskytnout proxy server ve formátu http://<Proxy server FQDN or IP address>:Port .

   Seznam podporovaných oblastí Azure najdete v požadavcích Azure.

   Výstup

   Tady je ukázkový výstup úspěšné registrace vašich počítačů:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
   Triggering bootstrap on the device...
   Waiting for bootstrap to complete... Current Status: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete... Current Status: InProgress
   Waiting for bootstrap to complete... Current Status: Succeeded
   Bootstrap succeeded.
   
   Triggering bootstrap log collection as a best effort.
   Version Response                                                    
   ------- --------                                                    
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   
   
   PS C:\Users\Administrator>
   

4. Po úspěšném dokončení skriptu na všech počítačích ověřte, že:

   1. Vaše zařízení jsou zaregistrována ve službě Arc. Přejděte na Azure Portal a poté do skupiny prostředků spojené s registrací. Počítače se zobrazí v zadané skupině prostředků jako prostředky typu Machine – Azure Arc .

      

Poznámka:

Jakmile je místní počítač Azure zaregistrovaný ve službě Azure Arc, jediným způsobem, jak registraci vrátit zpět, je znovu nainstalovat operační systém na počítač.

Přiřazení požadovaných oprávnění pro nasazení

Tato část popisuje, jak přiřadit oprávnění Azure pro nasazení z webu Azure Portal.

1. Na webu Azure Portal přejděte k předplatnému použitému k registraci počítačů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

2. Projděte si záložky a přiřaďte následující oprávnění role uživateli, který nasazuje instanci.

   • Správce Azure Stack HCI
   • Čtenář

3. Na webu Azure Portal přejděte do skupiny prostředků použité k registraci počítačů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

4. Projděte karty a přiřaďte následující oprávnění uživateli, který spouští instanci:

   • Správce přístupu k datům služby Key Vault: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
   • Key Vault Secrets Officer: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů v trezoru klíčů používaném k nasazení.
   • Přispěvatel služby Key Vault: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů používaného k nasazení.
   • Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.

5. V pravém podokně přejděte na přiřazení rolí. Ověřte, že má uživatel nasazení všechny nakonfigurované role.

6. Na webu Azure Portal přejděte k rolím a správcům Microsoft Entra a přiřaďte oprávnění role Správce cloudových aplikací na úrovni tenanta Microsoft Entra.

   

   Poznámka:

   K vytvoření hlavní služby je dočasně potřeba oprávnění správce cloudové aplikace. Po nasazení je možné toto oprávnění odebrat.

Další kroky

Po nastavení prvního počítače ve vaší instanci jste připraveni k nasazení pomocí webu Azure Portal:

• Nasazení pomocí webu Azure Portal