Registro de los servidores y asignación de permisos para la implementación de Azure Stack HCI, versión 23H2

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo registrar los servidores de Azure Stack HCI y, a continuación, configurar los permisos necesarios para implementar un clúster de Azure Stack HCI, versión 23H2.

Requisitos previos

Antes de comenzar, asegúrese de que ha completado los siguientes requisitos previos:

  • Cumpla los requisitos previos y complete la lista de comprobación de implementación.

  • Prepare el entorno de Active Directory .

  • Instale el sistema operativo Azure Stack HCI, versión 23H2 , en cada servidor.

  • Registre la suscripción con los proveedores de recursos necesarios (CSP). Puede usar el Azure Portal o el Azure PowerShell para registrarse. Debe ser propietario o colaborador de la suscripción para registrar los siguientes RP de recursos:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    Nota

    La suposición es que la persona que registra la suscripción de Azure con los proveedores de recursos es una persona diferente a la que registra los servidores de Azure Stack HCI con Arc.

  • Si va a registrar los servidores como recursos de Arc, asegúrese de que tiene los siguientes permisos en el grupo de recursos donde se aprovisionaron los servidores:

    Para comprobar que tiene estos roles, siga estos pasos en el Azure Portal:

    1. Vaya a la suscripción que use para la implementación de Azure Stack HCI.
    2. Vaya al grupo de recursos donde planea registrar los servidores.
    3. En el panel izquierdo, vaya a Access Control (IAM).
    4. En el panel derecho, vaya a Asignaciones de roles. Compruebe que tiene asignados los roles de administrador de recursos de Azure Connected Machine Onboarding y Azure Connected Machine .

Registro de servidores con Azure Arc

Importante

Ejecute estos pasos en cada servidor de Azure Stack HCI que quiera agrupar en clúster.

  1. Instale el script de registro de Arc desde PSGallery.

    #Register PSGallery as a trusted repo
    Register-PSRepository -Default -InstallationPolicy Trusted
    
    #Install Arc registration script from PSGallery 
    Install-Module AzsHCI.ARCinstaller
    
    #Install required PowerShell modules in your node for registration
    Install-Module Az.Accounts -Force
    Install-Module Az.ConnectedMachine -Force
    Install-Module Az.Resources -Force
    

    Esta es una salida de ejemplo de la instalación:

    PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
    NuGet provider is required to continue                                                                                  
    PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
    'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
    running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
    and import the NuGet provider now?
    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
    PS C:\Users\SetupUser>
    
    PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
    PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
    PS C:\Users\SetupUser> Install-Module Az.Resources -Force
    
  2. Establezca los parámetros. El script toma los parámetros siguientes:

    Parámetros Descripción
    SubscriptionID Identificador de la suscripción que se usa para registrar los servidores con Azure Arc.
    TenantID Identificador de inquilino que se usa para registrar los servidores con Azure Arc. Vaya a la Microsoft Entra ID y copie la propiedad id. de inquilino.
    ResourceGroup El grupo de recursos creado previamente para el registro de Arc de los servidores. Se crea un grupo de recursos si no existe uno.
    Region Región de Azure que se usa para el registro. Consulte las regiones admitidas que se pueden usar.
    AccountID El usuario que registra e implementa el clúster.
    DeviceCode El código de dispositivo que se muestra en la consola de https://microsoft.com/devicelogin y se usa para iniciar sesión en el dispositivo.
     #Define the subscription where you want to register your server as Arc device
     $Subscription = "YourSubscriptionID"
    
     #Define the resource group where you want to register your server as Arc device
     $RG = "YourResourceGroupName"
    
     #Define the region you will use to register your server as Arc device
     $Region = "eastus"
    
     #Define the tenant you will use to register your server as Arc device
     $Tenant = "YourTenantID"
    

    Esta es una salida de ejemplo de los parámetros:

    PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
    PS C:\Users\SetupUser> $RG = "myashcirg"
    PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
    PS C:\Users\SetupUser> $Region = "eastus"
    
  3. Conéctese a su cuenta de Azure y establezca la suscripción. Tendrá que abrir el explorador en el cliente que usa para conectarse al servidor y abrir esta página: https://microsoft.com/devicelogin y escribir el código proporcionado en la salida de la CLI de Azure para autenticarse. Obtenga el token de acceso y el identificador de cuenta para el registro.

    #Connect to your Azure account and Subscription
    Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
    
    #Get the Access Token for the registration
    $ARMtoken = (Get-AzAccessToken).Token
    
    #Get the Account ID for the registration
    $id = (Get-AzContext).Account.Id   
    

    Esta es una salida de ejemplo de cómo establecer la suscripción y la autenticación:

    PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
    WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
    to authenticate.
    
    Account               SubscriptionName      TenantId                Environment
    -------               ----------------      --------                -----------
    guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
    
    PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
    PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
    
  4. Por último, ejecute el script de registro de Arc. El script tarda unos minutos en ejecutarse.

    #Invoke the registration script. Use a supported region.
    Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
    

    Si accede a Internet a través de un servidor proxy, debe pasar el -proxy parámetro y proporcionar el servidor proxy como http://<Proxy server FQDN or IP address>:Port al ejecutar el script.

    Esta es una salida de ejemplo de un registro correcto de los servidores:

    PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
    Installing and Running Azure Stack HCI Environment Checker
    All the environment validation checks succeeded
    Installing Hyper-V Management Tools
    Starting AzStackHci ArcIntegration Initialization
    Installing Azure Connected Machine Agent
    Total Physical Memory:         588,419 MB
    PowerShell version: 5.1.25398.469
    .NET Framework version: 4.8.9032
    Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
    Installing agent package
    Installation of azcmagent completed successfully
    0
    Connecting to Azure using ARM Access Token
    Connected to Azure successfully   
    Microsoft.HybridCompute RP already registered, skipping registration 
    Microsoft.GuestConfiguration RP already registered, skipping registration
    Microsoft.HybridConnectivity RP already registered, skipping registration
    Microsoft.AzureStackHCI RP already registered, skipping registration
    INFO    Connecting machine to Azure... This might take a few minutes.
    INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
      20% [==>            ]
      30% [===>           ]
      INFO    Creating resource in Azure...
    Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
      60% [========>      ]
      80% [===========>   ]
     100% [===============]
      INFO    Connected machine to Azure
    INFO    Machine overview page: https://portal.azure.com/
    Connected Azure ARC agent successfully
    Successfully got the content from IMDS endpoint
    Successfully got Object Id for Arc Installation <Object ID>
    $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
    Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
    $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
    Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
    $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
    Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
    $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
    Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
    $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
    Assigning Reader to Object : <Object ID>
    $Successfully assigned Reader to Object Id <Object ID>
    Successfully assigned the reader Resource Manager role on the resource group
    Installing  TelemetryAndDiagnostics Extension
    Successfully triggered  TelemetryAndDiagnostics Extension installation
    Installing  DeviceManagement Extension
    Successfully triggered  DeviceManagementExtension installation
    Installing LcmController Extension
    Successfully triggered  LCMController Extension installation
    Please verify that the extensions are successfully installed before continuing...
    
    Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
    Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
    Use -Passthru parameter to return results as a PSObject.   
    
  5. Una vez completado correctamente el script en todos los servidores, compruebe que:

    1. Los servidores se registran con Arc. Vaya al Azure Portal y, a continuación, vaya al grupo de recursos asociado al registro. Los servidores aparecen dentro del grupo de recursos especificado como recursos de tipo Machine - Azure Arc .

      Captura de pantalla de los servidores de Azure Stack HCI en el grupo de recursos después del registro correcto.

    2. Las extensiones obligatorias de Azure Stack HCI se instalan en los servidores. En el grupo de recursos, seleccione el servidor registrado. Vaya a extensiones. Las extensiones obligatorias se muestran en el panel derecho.

      Captura de pantalla de los servidores registrados de Azure Stack HCI con extensiones obligatorias instaladas.

Asignación de permisos necesarios para la implementación

En esta sección se describe cómo asignar permisos de Azure para la implementación desde el Azure Portal.

  1. En el Azure Portal, vaya a la suscripción usada para registrar los servidores. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

    Captura de pantalla de la implementación Agregar asignación de roles en Control de acceso en la suscripción para la implementación de Azure Stack HCI.

  2. Recorra las pestañas y asigne los siguientes permisos de rol al usuario que implementa el clúster:

    • Administrador de Azure Stack HCI
    • Administrador de aplicaciones en la nube
    • Lector

    Nota

    El permiso Administrador de aplicaciones en la nube es necesario temporalmente para crear la entidad de servicio. Después de la implementación, este permiso se puede quitar.

  3. En el Azure Portal, vaya al grupo de recursos usado para registrar los servidores de la suscripción. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

    Captura de pantalla de la implementación Agregar asignación de roles en Control de acceso en el grupo de recursos para la implementación de Azure Stack HCI.

  4. Recorra las pestañas y asigne los siguientes permisos al usuario que implementa el clúster:

    • Key Vault administrador de acceso a datos: este permiso es necesario para administrar los permisos del plano de datos en el almacén de claves usado para la implementación.
    • Key Vault Responsable de secretos: este permiso es necesario para leer y escribir secretos en el almacén de claves que se usa para la implementación.
    • Key Vault Colaborador: este permiso es necesario para crear el almacén de claves usado para la implementación.
    • Colaborador de la cuenta de almacenamiento: este permiso es necesario para crear la cuenta de almacenamiento usada para la implementación.
  5. En el panel derecho, vaya a Asignaciones de roles. Compruebe que el usuario de implementación tiene todos los roles configurados.

Pasos siguientes

Después de configurar el primer servidor del clúster, está listo para realizar la implementación mediante Azure Portal: