Registro de los servidores y asignación de permisos para la implementación de Azure Stack HCI, versión 23H2

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo registrar los servidores de Azure Stack HCI y, a continuación, configurar los permisos necesarios para implementar un clúster de Azure Stack HCI, versión 23H2.

Requisitos previos

Antes de comenzar, asegúrese de que ha completado los siguientes requisitos previos:

• Cumpla los requisitos previos y complete la lista de comprobación de implementación.

• Prepare el entorno de Active Directory .

• Instale el sistema operativo Azure Stack HCI, versión 23H2 , en cada servidor.

• Registre la suscripción con los proveedores de recursos necesarios (CSP). Puede usar el Azure Portal o el Azure PowerShell para registrarse. Debe ser propietario o colaborador de la suscripción para registrar los siguientes RP de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota

  La suposición es que la persona que registra la suscripción de Azure con los proveedores de recursos es una persona diferente a la que registra los servidores de Azure Stack HCI con Arc.

• Si va a registrar los servidores como recursos de Arc, asegúrese de que tiene los siguientes permisos en el grupo de recursos donde se aprovisionaron los servidores:

  • Incorporación de Azure Connected Machine
  • Administrador de recursos de Azure Connected Machine

  Para comprobar que tiene estos roles, siga estos pasos en el Azure Portal:

  1. Vaya a la suscripción que usa para la implementación de Azure Stack HCI.
  2. Vaya al grupo de recursos donde planea registrar los servidores.
  3. En el panel izquierdo, vaya a Access Control (IAM).
  4. En el panel derecho, vaya a Asignaciones de roles. Compruebe que tiene asignados los roles Azure Connected Machine Onboarding y Administrador de recursos de Azure Connected Machine .

Registro de servidores con Azure Arc

Importante

Ejecute estos pasos en todos los servidores de Azure Stack HCI que quiera agrupar.

1. Instale el script de registro de Arc desde PSGallery.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   Salida

   Esta es una salida de ejemplo de la instalación:

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. Establezca los parámetros. El script toma los parámetros siguientes:

   Parámetros	Descripción
   SubscriptionID	Identificador de la suscripción que se usa para registrar los servidores con Azure Arc.
   TenantID	Identificador de inquilino que se usa para registrar los servidores con Azure Arc. Vaya a la Microsoft Entra ID y copie la propiedad id. de inquilino.
   ResourceGroup	El grupo de recursos creado previamente para el registro de Arc de los servidores. Si no existe, se crea un grupo de recursos.
   Region	Región de Azure que se usa para el registro. Consulte las regiones admitidas que se pueden usar.
   AccountID	El usuario que registra e implementa el clúster.
   DeviceCode	El código del dispositivo que se muestra en la consola https://microsoft.com/devicelogin en y se usa para iniciar sesión en el dispositivo.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   Salida

   Esta es una salida de ejemplo de los parámetros:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. Conéctese a su cuenta de Azure y establezca la suscripción. Deberá abrir el explorador en el cliente que usa para conectarse al servidor y abrir esta página: https://microsoft.com/devicelogin y escribir el código proporcionado en la salida de la CLI de Azure para autenticarse. Obtenga el token de acceso y el identificador de cuenta del registro.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Salida

   Esta es una salida de ejemplo de configuración de la suscripción y la autenticación:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Por último, ejecute el script de registro de Arc. El script tarda unos minutos en ejecutarse.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   Si accede a Internet a través de un servidor proxy, debe pasar el parámetro y proporcionar el -proxy servidor proxy como http://<Proxy server FQDN or IP address>:Port al ejecutar el script.

   Salida

   Esta es una salida de ejemplo de un registro correcto de los servidores:

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. Una vez que el script se complete correctamente en todos los servidores, compruebe que:

   1. Los servidores se registran con Arc. Vaya al Azure Portal y, a continuación, vaya al grupo de recursos asociado al registro. Los servidores aparecen dentro del grupo de recursos especificado como Recursos de tipo Machine - Azure Arc .

      

   2. Las extensiones obligatorias de Azure Stack HCI se instalan en los servidores. En el grupo de recursos, seleccione el servidor registrado. Vaya a extensiones. Las extensiones obligatorias se muestran en el panel derecho.

      

Asignación de permisos necesarios para la implementación

En esta sección se describe cómo asignar permisos de Azure para la implementación desde el Azure Portal.

1. En el Azure Portal, vaya a la suscripción usada para registrar los servidores. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

2. Recorra las pestañas y asigne los siguientes permisos de rol al usuario que implementa el clúster:

   • Administrador de Azure Stack HCI
   • Administrador de aplicaciones en la nube
   • Lector

   Nota

   El permiso Administrador de aplicaciones en la nube es necesario temporalmente para crear la entidad de servicio. Después de la implementación, este permiso se puede quitar.

3. En el Azure Portal, vaya al grupo de recursos que se usa para registrar los servidores de la suscripción. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

4. Recorra las pestañas y asigne los permisos siguientes al usuario que implementa el clúster:

   • Key Vault administrador de acceso a datos: este permiso es necesario para administrar los permisos del plano de datos en el almacén de claves que se usa para la implementación.
   • Key Vault Oficial de secretos: este permiso es necesario para leer y escribir secretos en el almacén de claves que se usa para la implementación.
   • Key Vault Colaborador: este permiso es necesario para crear el almacén de claves que se usa para la implementación.
   • Colaborador de la cuenta de almacenamiento: este permiso es necesario para crear la cuenta de almacenamiento que se usa para la implementación.

5. En el panel derecho, vaya a Asignaciones de roles. Compruebe que el usuario de implementación tiene todos los roles configurados.

Pasos siguientes

Después de configurar el primer servidor del clúster, está listo para implementarlo mediante Azure Portal:

• Implemente con Azure Portal.