Registro de los servidores y asignación de permisos para la implementación de Azure Stack HCI, versión 23H2

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo registrar los servidores de Azure Stack HCI y, a continuación, configurar los permisos necesarios para implementar un clúster de Azure Stack HCI, versión 23H2.

Requisitos previos

Antes de comenzar, asegúrese de que ha completado los siguientes requisitos previos:

• Cumpla los requisitos previos y complete la lista de comprobación de implementación.

• Prepare el entorno de Active Directory .

• Instale el sistema operativo Azure Stack HCI, versión 23H2, en cada servidor.

• Registre la suscripción con los proveedores de recursos necesarios (CSP). Puede usar Azure Portal o Azure PowerShell para registrarse. Debe ser propietario o colaborador de la suscripción para registrar los siguientes CSP de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota:

  La suposición es que la persona que registra la suscripción de Azure con los proveedores de recursos es una persona diferente a la que registra los servidores de Azure Stack HCI con Arc.

• Si va a registrar los servidores como recursos de Arc, asegúrese de que tiene los permisos siguientes en el grupo de recursos en el que se aprovisionaron los servidores:

  • Incorporación de Azure Connected Machine
  • Administrador de recursos de Azure Connected Machine

  Para comprobar que tiene estos roles, siga estos pasos en Azure Portal:

  1. Vaya a la suscripción que use para la implementación de Azure Stack HCI.
  2. Vaya al grupo de recursos donde planea registrar los servidores.
  3. En el panel izquierdo, vaya a Control de acceso (IAM) .
  4. En el panel derecho, vaya a Asignaciones de roles. Compruebe que tiene asignados los roles de administrador de recursos de Azure Connected Machine Onboarding y Azure Connected Machine.

• Compruebe las directivas de Azure. Compruebe los siguiente:

  • Las directivas de Azure no bloquean la instalación de extensiones.
  • Las directivas de Azure no bloquean la creación de determinados tipos de recursos en un grupo de recursos.
  • Las directivas de Azure no bloquean la implementación de recursos en determinadas ubicaciones.

Registro de servidores con Azure Arc

Importante

Ejecute estos pasos en cada servidor de Azure Stack HCI que quiera agrupar.

1. Instale el script de registro de Arc desde PSGallery. Este paso solo es necesario si usa una ISO del sistema operativo anterior a 2408. Para obtener más información, consulte Novedades de 2408.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 3.0.0
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

   Salida

   Esta es una salida de ejemplo de la instalación:

   PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 3.0.0
   PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   

2. Establezca los parámetros. El script toma los parámetros siguientes:

   Parámetros	Descripción
   SubscriptionID	Identificador de la suscripción que se usa para registrar los servidores con Azure Arc.
   TenantID	Identificador de inquilino que se usa para registrar los servidores con Azure Arc. Vaya al identificador de Microsoft Entra y copie la propiedad id. de inquilino.
   ResourceGroup	El grupo de recursos creado previamente para el registro de Arc de los servidores. Se crea un grupo de recursos si no existe uno.
   Region	Región de Azure que se usa para el registro. Consulte las regiones admitidas que se pueden usar.
   AccountID	El usuario que registra e implementa el clúster.
   ProxyServer	Parámetro opcional. Dirección del servidor proxy cuando es necesario para la conectividad saliente.
   DeviceCode	El código de dispositivo que se muestra en la consola de https://microsoft.com/devicelogin y se usa para iniciar sesión en el dispositivo.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Salida

   Esta es una salida de ejemplo de los parámetros:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

3. Conéctese a su cuenta de Azure y establezca la suscripción. Deberá abrir el explorador en el cliente que usa para conectarse al servidor y abrir esta página: https://microsoft.com/devicelogin y escribir el código proporcionado en la salida de la CLI de Azure para autenticarse. Obtenga el token de acceso y el identificador de cuenta para el registro.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Salida

   Esta es una salida de ejemplo de configuración de la suscripción y la autenticación:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Por último, ejecute el script de registro de Arc. El script tarda unos minutos en ejecutarse.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Si accede a Internet a través de un servidor proxy, debe pasar el parámetro y proporcionar el -proxy servidor proxy como http://<Proxy server FQDN or IP address>:Port al ejecutar el script.

   Para obtener una lista de las regiones de Azure admitidas, consulte Requisitos de Azure.

   Salida

   Esta es una salida de ejemplo de un registro correcto de los servidores:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

5. Una vez completado correctamente el script en todos los servidores, compruebe que:

   1. Los servidores se registran con Arc. Vaya a Azure Portal y, a continuación, vaya al grupo de recursos asociado al registro. Los servidores aparecen dentro del grupo de recursos especificado como recursos de tipo Machine - Azure Arc .

      

   2. Las extensiones obligatorias de Azure Stack HCI se instalan en los servidores. En el grupo de recursos, seleccione el servidor registrado. Vaya a extensiones. Las extensiones obligatorias aparecen en el panel derecho.

      

Asignación de permisos necesarios para la implementación

En esta sección se describe cómo asignar permisos de Azure para la implementación desde Azure Portal.

1. En Azure Portal, vaya a la suscripción que se usa para registrar los servidores. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

2. Recorra las pestañas y asigne los permisos de rol siguientes al usuario que implementa el clúster:

   • Administrador de Azure Stack HCI
   • Lector

3. En Azure Portal, vaya al grupo de recursos que se usa para registrar los servidores de la suscripción. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

4. Recorra las pestañas y asigne los permisos siguientes al usuario que implementa el clúster:

   • Administrador de acceso a datos de Key Vault: este permiso es necesario para administrar los permisos del plano de datos en el almacén de claves que se usa para la implementación.
   • Director de secretos de Key Vault: este permiso es necesario para leer y escribir secretos en el almacén de claves que se usa para la implementación.
   • Colaborador de Key Vault: este permiso es necesario para crear el almacén de claves que se usa para la implementación.
   • Colaborador de la cuenta de almacenamiento: este permiso es necesario para crear la cuenta de almacenamiento que se usa para la implementación.

5. En el panel derecho, vaya a Asignaciones de roles. Compruebe que el usuario de implementación tiene todos los roles configurados.

6. En Azure Portal, vaya a Roles y administradores de Microsoft Entra y asigne el permiso de rol Administrador de aplicaciones en la nube en el nivel de inquilino de Microsoft Entra.

   

   Nota:

   El permiso Administrador de aplicaciones en la nube es necesario temporalmente para crear la entidad de servicio. Después de la implementación, este permiso se puede quitar.

Pasos siguientes

Después de configurar el primer servidor del clúster, está listo para implementarlo mediante Azure Portal:

• Implementación mediante Azure Portal.