Compartir a través de

Implementación de operaciones desconectadas para Azure Local y el clúster de administración

En este artículo se explica cómo implementar operaciones desconectadas para Azure Local en el centro de datos. Este paso es clave para implementar y operar Azure Local sin ninguna conexión de red saliente. Después de implementar el clúster de administración (plano de control), implemente la primera instancia de Azure Local.

Consideraciones clave

Al implementar operaciones desconectadas y crear la instancia de administración, tenga en cuenta los siguientes puntos clave:

  • La configuración de red y los nombres que escriba en el portal deben ser coherentes con su configuración y los conmutadores creados anteriormente.
  • No se admiten implementaciones virtuales. Debe tener máquinas físicas.
  • Si necesita VLAN en el dispositivo del plano de control, debe asegurarse de configurarlo mediante Set-VMNetworkAdapterIsolation -ManagementOS .
  • Necesita al menos tres máquinas para admitir operaciones desconectadas. Puede usar hasta 16 máquinas para la instancia de administración.
  • La implementación del clúster de Azure Local puede tardar varias horas.
  • El plano de control local puede experimentar períodos de inactividad durante los reinicios y actualizaciones del nodo.
  • Durante la creación del clúster, el proceso crea un volumen de infraestructura de 2 TB de aprovisionamiento fino para las operaciones desconectadas. No manipule ni elimine los volúmenes de infraestructura creados durante el proceso de implementación.
  • Al crear la instancia de Azure Local, el proceso mueve el dispositivo de máquina virtual de operaciones desconectadas al almacenamiento del clúster y lo convierte en una máquina virtual en clúster.

Prerrequisitos

Requisitos Detalles
Equipamiento Planeamiento y comprensión del hardware
identidad Planeamiento y comprensión de la identidad
Redes Planeamiento y comprensión de las redes
Infraestructura de clave pública Planeamiento y comprensión de la infraestructura de clave pública (PKI)
Preparación de nodos de Azure Local Prepare Azure Local para operaciones desconectadas
Adquisición de operaciones desconectadas Adquirir operaciones sin conexión para Azure Local

Para obtener más información, consulte visión general de operaciones desconectadas de Azure Local.

Para obtener información sobre problemas conocidos con operaciones desconectadas para Azure Local, consulte Problemas conocidos de operaciones desconectadas.

Lista de comprobación para implementar operaciones desconectadas

Antes de implementar Azure Local con operaciones desconectadas, necesita lo siguiente:

  • Plan de red:
    • Grupo de IP, IP de entrada, nombre de dominio completo (FQDN), sistema de nombres de dominio (DNS) y puerta de enlace (GW).
  • Servidor DNS para resolver la dirección IP en nombres FQDN.
  • Credenciales locales para máquinas Azure Local.
  • Credenciales de Active Directory para la implementación local de Azure.
  • Requisitos de red y de la OU (unidad organizativa) de Active Directory.
  • Credenciales locales y credenciales de AD para satisfacer la complejidad mínima de la contraseña.
  • Active Directory preparado para despliegue local de Azure.
  • Certificados para proteger los puntos de conexión de entrada (24 certificados) y la clave pública (raíz) usada para crear estos certificados.
  • Certificados para proteger el punto de conexión de administración (dos certificados).
  • Credenciales y parámetros para integrarse con el proveedor de identidades:
    • Active Directory aplicación de Servicios de federación (ADFS), credenciales, detalles del servidor y detalles de la cadena de certificados para los certificados usados en la configuración de identidad.
  • Archivos de implementación de operaciones desconectadas (manifiesto y dispositivo).
  • ISO compuesto de Azure Local.
  • Controladores de dispositivo/firmware del fabricante de equipo original (OEM).

Secuencia de implementación

Implemente Azure Local con operaciones desconectadas en unidades de almacenamiento de hardware no premier (SKU). Para obtener más información, vea Azure Local Catalog.

Implemente y configure Azure Local con operaciones desconectadas en varios pasos. En la imagen siguiente se muestra el recorrido general, incluido el periodo posterior a la implementación.

Captura de pantalla del flujo de implementación para las operaciones desconectadas en Azure Local.

Esta es una breve introducción a las herramientas y los procesos que usa durante la implementación. Necesitará acceso a los nodos locales de Azure (el sistema operativo o el host) para las fases iniciales de la implementación.

  1. Use las herramientas y procesos existentes para instalar y configurar el sistema operativo. Necesita acceso de administrador local en todos los nodos de Azure Local.
  2. Ejecute PowerShell y el módulo Operations en la primera máquina (ordenada por nombre de nodo, como ). Debe tener acceso de administrador local.
  3. Use el portal de Azure local, Azure PowerShell o CLI de Azure. No necesita acceso físico a nodos, pero necesita Azure Role-Based Access Control (RBAC) con el rol Owner.
  4. Use el portal de Azure local, Azure PowerShell o CLI de Azure. No necesita acceso físico a nodos, pero necesita Azure RBAC con el rol Operator.

Desplegar operaciones en modo desconectado (plano de control)

Las operaciones desconectadas deben implementarse en la primera máquina (nodo de inicialización). Asegúrese de completar los pasos siguientes en cada nodo del clúster de administración. Para obtener más información, consulte Prepare Azure Local machines.

Para preparar la primera máquina para el dispositivo de operaciones desconectadas, siga estos pasos:

  1. Modifique la ruta de acceso a la ubicación correcta. Si inicializó un disco de datos o está usando una ruta de acceso diferente a C:, modifique el .

    Este es un ejemplo:

    $applianceConfigBasePath = 'C:\AzureLocalDisconnectedOperations'

  2. Copie los archivos de instalación de operaciones desconectadas (archivo zip del dispositivo, vhdx y manifiesto) en la primera máquina. Guarde estos archivos en la carpeta base que creó anteriormente.

    Copy-Item \\fileserver\share\azurelocalfiles\* $applianceConfigBasePath

  3. Compruebe que tiene estos archivos en la carpeta base mediante el comando siguiente:

    • AzureLocal.DisconnectedOperations.zip
    • AzureLocal.DisconnectedOperations.manifest
    • ArcA_LocalData_A.vhdx
    • ArcA_SharedData_A.vhdx
    • OSAndDocker_A.vhdx
    Get-ChildItem $applianceConfigBasePath

  4. Extraiga el archivo ZIP en la misma carpeta:

    Expand-Archive "$($applianceConfigBasePath)\AzureLocal.DisconnectedOperations.zip" -DestinationPath $applianceConfigBasePath

  5. Compruebe que tiene estos archivos con el siguiente comando:

    • OperationsModule (módulo de PowerShell para la instalación)
    • AzureLocal.DisconnectedOperations.manifest
    • AzureLocal.DisconnectedOperations.zip
    • manifest.xml
    • IRVM.zip
    • ArcA_LocalData_A.vhdx
    • ArcA_SharedData_A.vhdx
    • ArcA_SharedData_ACSBlob_A.vhdx
    • ArcA_SharedData_ACSTable_A.vhdx
    • OSAndDocker_A.vhdx
    • Storage.json
    Get-ChildItem $applianceConfigBasePath

    Nota:

    En este momento, quite el archivo para ahorrar espacio.

  6. Copie el directorio raíz de certificados. Guarde estos archivos en la carpeta base que creó anteriormente.

    $certsPath = "$($applianceConfigBasePath)\certs"  
Copy-Item \\fileserver\share\azurelocalcerts $certspath -recurse

  7. Compruebe los certificados, la clave pública y el punto de conexión de administración. Debe tener dos carpetas: y al menos 24 certificados.

    Get-ChildItem $certsPath 
Get-ChildItem $certsPath -recurse -filter *.cer

  8. Importe el módulo Operaciones. Ejecute el comando como administrador mediante PowerShell. Modifique la ruta de acceso para que coincida con la estructura de carpetas.

    Import-Module "$applianceConfigBasePath\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -Force    

$mgmntCertFolderPath = "$certspath\ManagementEndpointCerts"  
$ingressCertFolderPath = "$certspath\IngressEndpointsCerts"

Inicialización de los parámetros

Rellene los parámetros necesarios en función del planeamiento de la implementación. Modifique los ejemplos para que coincidan con la configuración.

  1. Rellene el objeto de configuración de red de administración.

    $CertPassword = "retracted"|ConvertTo-Securestring -AsPlainText -Force  
$ManagementIngressIpAddress = "192.168.50.100"  
$ManagementNICPrefixLength = 24  
$mgmtNetworkConfigParams = @{  
    ManagementIpAddress = $ManagementIngressIpAddress  
    ManagementIpv4PrefixLength = $ManagementNICPrefixLength  
    TlsCertificatePath = "$mgmntCertFolderPath\ManagementEndpointSsl.pfx"  
    TlsCertificatePassword = $CertPassword  
    ClientCertificatePath = "$mgmntCertFolderPath\ManagementEndpointClientAuth.pfx"  
    ClientCertificatePassword = $CertPassword  
}  
$managementNetworkConfiguration = New-ApplianceManagementNetworkConfiguration @mgmtNetworkConfigParams

    Nota:

    La contraseña de los certificados debe tener el formato de cadena segura. Para obtener certificados relacionados con el punto de conexión de administración, consulte PKI para las operaciones desconectadas.

  2. Rellene el objeto de configuración de red de entrada.

    $azureLocalDns = "192.168.200.150"  
$NodeGw = "192.168.200.1"  
$IngressIpAddress = "192.168.200.115"  
$NICPrefixLength= 24  
$ingressNetworkConfigurationParams = @{  
    DnsServer = $azureLocalDns  
    IngressNetworkGateway = $NodeGw  
    IngressIpAddress = $IngressIpAddress  
    IngressNetworkPrefixLength = $NICPrefixLength  
    ExternalDomainSuffix = "autonomous.cloud.private"
}  
$ingressNetworkConfiguration = New-ApplianceIngressNetworkConfiguration @ingressNetworkConfigurationParams

    Para obtener más información sobre la configuración de red, consulte Redes para operaciones desconectadas.

  3. Rellene el objeto de configuración de identidad.

    $oidcCertChain = Get-CertificateChainFromEndpoint -requestUri 'https://adfs.azurestack.local/adfs'        
# Omitted this step if you don't have LDAPS.

$ldapsCertChain = Get-CertificateChainFromEndpoint -requestUri 'https://dc01.azurestack.local'

# LDAPS default port (Non secure default = 3268)
$ldapPort = 3269
$ldapPassword = 'RETRACTED'|ConvertTo-SecureString -AsPlainText -Force

# Populate params with LDAPS enabled.
$identityParams = @{  
    Authority = "https://adfs.azurestack.local/adfs"  
    ClientId = "<ClientId>"  
    RootOperatorUserPrincipalName = "operator@azurestack.local"  
    LdapServer = "adfs.azurestack.local"  
    LdapPort = $ldapPort 
    LdapCredential = New-Object PSCredential -ArgumentList @("ldap", $ldapPassword)  
    SyncGroupIdentifier = "<SynGroupIdentifier>"     
    OidcCertChainInfo = $oidcCertChain
    LdapsCertChainInfo = $ldapsCertChain             
}  
$identityConfiguration = New-ApplianceExternalIdentityConfiguration @identityParams

    Nota:

    • y se pueden omitir completamente con fines de depuración o demostración. Para obtener información sobre cómo obtener LdapsCertChainInfo y OidcCertChainInfo, consulte PKI para las operaciones desconectadas.

    Hay un problema con que no se exporta según lo previsto. Siga los pasos descritos en Problemas conocidos para operaciones desconectadas en Azure Local para mitigar el problema.

    Para obtener más información, consulte Identidad para operaciones desconectadas.

  4. Rellene el objeto de configuración de certificados externos.

    $ingressCertPassword = "retracted"|ConvertTo-Securestring -AsPlainText -Force  
$certsParams = @{  
    certificatesFolder = $ingressCertFolderPath  
    certificatePassword = $ingressCertPassword  
}  
$CertificatesConfiguration = New-ApplianceCertificatesConfiguration @certsParams

    Para obtener más información, consulte PKI para las operaciones desconectadas.

  5. Copie el archivo de manifiesto del dispositivo (descargado de Azure) en la carpeta de configuración:

    # Modify your source path accordingly 
copy-item AzureLocal.DisconnectedOperations.Manifest.json $applianceConfigBasePath\AzureLocal.DisconnectedOperations.manifest.json

Instalación y configuración del dispositivo

Para instalar y configurar el dispositivo en la primera máquina, use el siguiente comando. Apunte a una ruta de acceso que contenga el IRVM01.zip.

$networkIntentName = 'ManagementComputeStorage' 
$azureLocalInstallationFile = "$($applianceConfigBasePath)"  
$applianceManifestJsonPath = Join-Path $applianceConfigBasePath AzureLocal.DisconnectedOperations.manifest.json

$installAzureLocalParams = @{  
    Path = $azureLocalInstallationFile  
    IngressNetworkConfiguration = $ingressNetworkConfiguration  
    ManagementNetworkConfiguration = $managementNetworkConfiguration  
    IngressSwitchName = "ConvergedSwitch($networkIntentName)"  
    ManagementSwitchName = "ConvergedSwitch($networkIntentName)"  
    ApplianceManifestFile = $applianceManifestJsonPath  
    IdentityConfiguration = $identityConfiguration  
    CertificatesConfiguration = $CertificatesConfiguration      
}  

Install-Appliance @installAzureLocalParams -disconnectMachineDeploy -Verbose  

# Note: If you're deploying the appliance with limited connectivity, you can omit the flag -disconnectMachineDeploy.

Nota:

Instale el dispositivo en la primera máquina para asegurarse de que Azure Local se implementa correctamente. La configuración tarda unas horas y debe finalizar correctamente antes de continuar. Una vez que esté completo, tendrá un plano de control local que se ejecuta en el centro de datos.

Si se produce un error en la instalación debido a una configuración incorrecta de red, identidad o observabilidad, actualice el objeto de configuración y vuelva a ejecutar el comando.

También puede especificar la opción -clean para iniciar la instalación desde cero. Este modificador restablece cualquier estado de instalación existente y comienza desde el principio.

DisableChecksum = $true omite la validación de la firma del dispositivo. Úselo al desplegar un entorno aislado. Si la validación de suma de comprobación está habilitada, el nodo debe alcanzar y validar los certificados de firma de Microsoft usados para firmar esta versión.

Configuración de la observabilidad para diagnósticos y soporte técnico

Se recomienda configurar la observabilidad para obtener registros generados por el sistema para la primera implementación. Esto no se aplica si planea ejecutar un sistema aislado, ya que los registros y diagnósticos generados por el sistema requieren conectividad.

Los recursos Azure necesarios:

  • Un grupo de recursos en Azure usado para el dispositivo.
  • Un Service Principal Name (SPN) con derechos de colaborador en el grupo de recursos.

Para configurar la observabilidad, siga estos pasos:

  1. En un equipo con CLI de Azure (o mediante el Azure Cloud Shell en Azure portal), cree el SPN. Ejecuta el siguiente script:

    $resourcegroup = 'azure-disconnectedoperations'
$appname = 'azlocalobsapp'
az login
$g = (az group create -n $resourcegroup -l eastus)|ConvertFrom-Json
az ad sp create-for-rbac -n $appname --role Owner --scopes $g.id

# Get the Subscription ID
$j = (az account list | ConvertFrom-Json) | Where-object {$_.IsDefault}

# SubscriptionID:
$j.id

    Este es un ejemplo de salida:

    {
  "appId": "<AppId>",
  "displayName": "azlocalobsapp",
  "password": "<RETRACTED>",
  "tenant": "<RETRACTED>"
}
<subscriptionID>

  2. Establezca la configuración de observabilidad. Modifique para que coincida con los detalles del entorno:

    $observabilityConfiguration = New-ApplianceObservabilityConfiguration -ResourceGroupName "azure-disconnectedoperations" `
  -TenantId "<TenantID>" `
  -Location "<Location>" `
  -SubscriptionId "<SubscriptionId>" `
  -ServicePrincipalId "<AppId>" `
  -ServicePrincipalSecret ("<Password>" | ConvertTo-SecureString -AsPlainText -Force)

Set-ApplianceObservabilityConfiguration -ObservabilityConfiguration $observabilityConfiguration

  3. Compruebe que la observabilidad está configurada:

    Get-ApplianceObservabilityConfiguration

Configuración de Azure PowerShell

En cada nodo, ejecute lo siguiente para habilitar un punto de conexión de nube personalizado para Azure PowerShell. Lo usará más adelante al iniciar el nodo Azure Local en el plano de control.

$applianceCloudName = "azure.local"
$applianceFQDN = "autonomous.cloud.private"

$AdminManagementEndPointUri = "https://armmanagement.$($applianceFQDN)/"
$DirectoryTenantId = "98b8267d-e97f-426e-8b3f-7956511fd63f"

#Retrieve disconnected operations endpoints

$armMetadataEndpoint = $AdminManagementEndPointUri.ToString().TrimEnd('/') + "/metadata/endpoints?api-version=2015-01-01"

$endpoints = Invoke-RestMethod -Method Get -Uri $armMetadataEndpoint -ErrorAction Stop

$azEnvironment = Add-AzEnvironment `
-Name $applianceCloudName `
-ActiveDirectoryEndpoint ($endpoints.authentication.loginEndpoint.TrimEnd('/') + "/") `
-ActiveDirectoryServiceEndpointResourceId $endpoints.authentication.audiences[0] `
-ResourceManagerEndpoint $AdminManagementEndPointUri.ToString() `
-GalleryEndpoint $endpoints.galleryEndpoint `
-MicrosoftGraphEndpointResourceId $endpoints.graphEndpoint `
-MicrosoftGraphUrl $endpoints.graphEndpoint `
-AdTenant $DirectoryTenantId `
-GraphEndpoint $endpoints.graphEndpoint `
-GraphAudience $endpoints.graphEndpoint `
-EnableAdfsAuthentication:($endpoints.authentication.loginEndpoint.TrimEnd("/").EndsWith("/adfs",[System.StringComparison]::OrdinalIgnoreCase)) 


# Verify that you can connect to the ARM endpoint (example showing device authentication)
Connect-AzAccount -EnvironmentName $applianceCloudName -UseDeviceAuthentication

Ubicación de la suscripción para el clúster de administración dedicado

Es necesario implementar un clúster de administración totalmente dedicado. La práctica recomendada es colocar el clúster de administración en la suscripción del operador. Esto le ayudará a restringir y aislar el plano de control de las cargas de trabajo y puede restringir la creación de cargas de trabajo en el mismo clúster que otros inquilinos.

Mantener el plano de control separado de las cargas de trabajo proporciona una separación clara de los problemas.

Asegúrese de limitar el acceso a la suscripción de operador solo al personal necesario.

Registro de proveedores de recursos necesarios

Asegúrese de registrar los proveedores de recursos necesarios antes de la implementación.

Este es un ejemplo de cómo automatizar el registro de proveedores de recursos desde Azure PowerShell.

$applianceCloudName = "azure.local"
$subscriptionName = "Operator subscription"

# Connect to the ARM endpointusing device authentication
Connect-AzAccount -EnvironmentName $applianceCloudName -UseDeviceAuthentication
Write-Host "Selecting a different subscription than the operator subscription.."
$subscription = Get-AzSubscription -SubscriptionName $subscriptionName

# Set the context to that subscription
Set-AzContext -SubscriptionId $subscription.Id

Register-AzResourceProvider -ProviderNamespace  "Microsoft.EdgeArtifact"
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
# Not required on disconnected operations
# Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
# Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
# Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"

Espere hasta que todos los proveedores de recursos estén en el estado Registrado.

Para enumerar todos los proveedores de recursos y sus estados, ejecute el siguiente comando.

Get-AzResourceProvider | Format-Table

Nota:

Para registrar o ver los estados del proveedor de recursos en el portal local, vaya a su suscripción, expanda Configuración y seleccione Proveedores de recursos.

Implementación de Azure Local para formar el clúster de administración

Ahora tiene un plano de control implementado y configurado, una suscripción y un grupo de recursos creados para la implementación de Azure Local, y (opcionalmente) un SPN creado para usarlo para la automatización de la implementación.

Compruebe la implementación antes de crear recursos de Azure locales.

  1. Inicie sesión con el operador raíz que definió durante la implementación o use una cuenta de propietario de la suscripción.
  2. Desde un cliente con acceso de red a su IP de Ingreso, abra el navegador y vaya a . Reemplace con su nombre de dominio.
    • Se le redirigirá al proveedor de identidad para iniciar sesión.
  3. Inicie sesión en el proveedor de identidades con las credenciales que configuró durante la implementación.
    • Debería ver el portal de Azure en ejecución en su red.
  4. Compruebe que existe una suscripción para la infraestructura de Azure Local (por ejemplo, suscripción de operador).
  5. Compruebe que los proveedores de recursos necesarios están registrados en la suscripción.
  6. Compruebe que existe un grupo de recursos para su infraestructura local de Azure (por ejemplo, azurelocal-disconnected-operations).

Inicialización de cada nodo de Azure Local

Para inicializar cada nodo, ejecute este script de PowerShell. Modifique las variables necesarias para que coincidan con los detalles del entorno:

  1. Inicialice cada nodo Azure Local.

    $resourcegroup = 'azurelocal-management-cluster' 
$applianceCloudName = "azure.local"
$applianceConfigBasePath = "C:\AzureLocalDisconnectedOperations\"
$applianceFQDN = "autonomous.cloud.private"
$subscriptionName = "Operator subscription"

Connect-AzAccount -EnvironmentName $applianceCloudName -UseDeviceAuthentication
Write-Host "Ensuring you are using operator subscription for the management cluster.."
$subscription = Get-AzSubscription -SubscriptionName $subscriptionName

# Set the context to that subscription
Set-AzContext -SubscriptionId $subscription.Id

$armTokenResponse = Get-AzAccessToken -ResourceUrl "https://armmanagement.$($applianceFQDN)"

# $ArmAccessToken = $armTokenResponse.Token
# Convert token to string for use in initialization
# Workaround needed for Az.Accounts 5.0.4
$ArmAccessToken = [System.Net.NetworkCredential]::new("", $armTokenResponse.Token).Password

# Bootstrap each node
Invoke-AzStackHciArcInitialization -SubscriptionID $subscription.Id -TenantID $subscription.TenantId -ResourceGroup $resourceGroup -Cloud $applianceCloudName -Region "Autonomous" -CloudFqdn $applianceFQDN -ArmAccessToken $ArmAccessToken

Nota:

Asegúrese de ejecutar la inicialización en la primera máquina antes de pasar a otros nodos.

Los nodos aparecen en el portal local poco después de ejecutar los pasos y las extensiones aparecen en los nodos unos minutos después de la instalación.

También puede usar la aplicación Configurator para inicializar cada nodo.

Creación previa de Azure Key Vault

Cree el Azure Key Vault antes de implementar Azure Local para evitar retrasos prolongados en la implementación causados por un problema conocido.

Para obtener un ejemplo de código, consulte Problemas conocidos.

Después de crear el Key Vault, espere 5 minutos antes de continuar con el siguiente paso de implementación del portal.

Implementación del clúster de administración (primera instancia de Azure Local)

Con el plano de control implementado y configurado, puede completar el clúster de administración mediante la implementación de Azure Local mediante el plano de control local.

Siga estos pasos para crear una instancia de Azure Local (clúster):

  1. Acceda al portal local desde un explorador que prefiera.
  2. Navegue a . Por ejemplo: .
  3. Seleccione los nodos y complete los pasos de implementación descritos en Deploy Azure Local mediante el portal de Azure.

Nota:

Si crea Azure Key Vault durante la implementación, espere unos 5 minutos para que los permisos de RBAC surtan efecto.

Si ve un error de validación, se trata de un problema conocido. Todavía es posible que los permisos se propaguen. Espere un poco, actualice el explorador y vuelva a implementar el clúster.

Tareas después de implementar operaciones desconectadas

Realice las siguientes tareas después de implementar Azure Local con operaciones desconectadas:

  1. Realice una copia de seguridad de las claves de BitLocker (no omita este paso). Durante la implementación, el dispositivo se cifra. Sin las claves de recuperación de los volúmenes, no se puede recuperar ni restaurar el dispositivo. Para obtener más información, consulte Introducción de controles de seguridad con operaciones desconectadas en Azure Local.
  2. Asigne operadores adicionales. Para asignar uno o varios operadores, vaya a Suscripciones de operador. Asigne el rol de colaborador en el nivel de suscripción.
  3. Exporte los certificados del servicio de protección de host y realice una copia de seguridad de la carpeta a la que los exporte en un recurso compartido o unidad externo.
  4. Registro del clúster de administración
  5. Bloquee el clúster de administración. Restringir que los operadores desplieguen cargas de trabajo en el clúster de administración. Limite el acceso del operador a algunas selecciones y aplique esta restricción mediante Azure Policy para bloquear las cargas de trabajo en el recurso del clúster.
  6. Limpie los discos. Si se usaron discos de datos durante el proceso de arranque, asegúrese de que se quitan.

Nota:

No omita estos pasos. Considere esto como una lista de comprobación de finalización de la implementación. Estos pasos son críticos para poder recuperarse en caso de desastres, recibir soporte técnico y mantenerse conforme.

Apéndice

Bloqueo del clúster de administración (mediante Azure Policy)

$operatorSubscriptionId = ''
$resourceGroup = ''
$customLocationId = 'my-cluster'
cd "$applianceConfigBasePath\OperationsModule\AzureLocalOrchestration" 
.\Set-MgmtClusterDenyPolicy.ps1 `
        -SubscriptionId "$operatorSubscriptionId" `
        -MgmtClusterCustomLocationId "/subscriptions/$($subscriptionId)/resourceGroups/$($resourceGroup)/providers/Microsoft.ExtendedLocation/customLocations/$($customLocationId)"

Limpieza de discos de datos usados para el arranque

# ===============================
# Remove CSV and Return Space to Pool
# ===============================

$CsvName="Cluster Virtual Disk (InfraLocal_1)"
$VirtualDiskName ="InfraLocal_1"

Write-Host "Starting CSV removal process..." -ForegroundColor Cyan

# --- Validate CSV exists ---
$csv = Get-ClusterSharedVolume -Name $CsvName -ErrorAction Stop
Write-Host "Found CSV: $($csv.Name)"

# --- Remove CSV ---
$csv = remove-ClusterSharedVolume -Name $CsvName -ErrorAction Stop
Write-Host "Removed CSV: $($csv.Name)"

# --- Take Cluster Resources offline ---
Write-Host "Taking CSV resource offline..." -ForegroundColor Yellow
Stop-ClusterResource -Name $csv.name -Wait 120

# --- Remove Cluster Resources offline ---
Write-Host "Taking CSV resource offline..." -ForegroundColor Yellow
remove-ClusterResource -Name $csv.name

# --- Remove virtual disk and return space to pool ---
Write-Host "Remoing virtual disk..." -ForegroundColor Yellow
remove-virtualdisk -FriendlyName $VirtualDiskName

Solución de problemas y reconfiguración mediante el punto de conexión de administración

Para usar el punto de conexión de administración para solucionar problemas y reconfigurar, necesita la dirección IP de administración que se usa durante la implementación, junto con el certificado de cliente y la contraseña usados para proteger el punto de conexión.

Desde un cliente con acceso de red al punto de conexión de administración, importe OperationsModule y establezca el contexto (modifique el script para que coincida con la configuración):

Import-Module "$applianceConfigBasePath\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -Force

$password = ConvertTo-SecureString 'RETRACTED' -AsPlainText -Force  
$context = Set-DisconnectedOperationsClientContext -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" -ManagementEndpointClientCertificatePassword $password -ManagementEndpointIpAddress "169.254.53.25"

Después de establecer el contexto, puede usar todos los cmdlets de administración proporcionados por el módulo Operations, como restablecer la configuración de identidad, comprobar el estado de salud, etc.

Para obtener una lista completa de los cmdlets proporcionados, use PowerShell . Para obtener detalles sobre cada cmdlet, use el comando .

Solución de problemas de implementaciones

Sistema no configurado

Después de instalar el dispositivo, es posible que vea esta pantalla durante un tiempo. Deje que la configuración se ejecute durante 2 a 3 horas. Después de esperar las 2 a 3 horas, la pantalla desaparece y verá el portal de Azure normal. Si la pantalla no desaparece y no puede acceder al portal de Azure local, solucione el problema.

Captura de pantalla que muestra la página no configurada del sistema.

  • Para buscar registros desde OperationsModule en la primera máquina, vaya a .

  • Para ver el estado de salud del dispositivo, use el cmdlet del punto de conexión de administración . Si ve esta pantalla y el cmdlet no notifica ningún error y todos los servicios informan un estado de 100, abra un ticket de soporte técnico desde el portal de Azure.

La instalación de Appliance falla

Actualice la configuración del dispositivo y vuelva a ejecutar la instalación después del error.

Por ejemplo:

  • Si la dirección IP ya está en uso, modifique el objeto de configuración.

    Este es un ejemplo para modificar la dirección IP de entrada

    # Set a new IP address
$ingressNetworkConfiguration.IngressIpAddress = '192.168.0.115'

  • Si se produce un error durante la instalación, actualice y vuelva a ejecutar como se describe en Instalación y configuración del dispositivo.

  • Si la implementación del dispositivo se realizó correctamente y está actualizando la configuración de red, consulte el documento para ver los ajustes que puede actualizar después de la implementación.

Pasos siguientes

Esta característica solo está disponible en Azure Local 2602 o posterior.

  • Last updated on