Inscrire vos serveurs et attribuer des autorisations pour le déploiement d’Azure Stack HCI, version 23H2

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment inscrire vos serveurs Azure Stack HCI, puis configurer les autorisations nécessaires pour déployer un cluster Azure Stack HCI version 23H2.

Prérequis

Avant de commencer, vérifiez que vous avez rempli les conditions préalables suivantes :

• Remplissez les conditions préalables et complétez la liste de contrôle de déploiement.

• Préparez votre environnement Active Directory .

• Installez le système d’exploitation Azure Stack HCI version 23H2 sur chaque serveur.

• Inscrivez votre abonnement auprès des fournisseurs de ressources (RP) requis. Vous pouvez utiliser le Portail Azure ou le Azure PowerShell pour vous inscrire. Vous devez être propriétaire ou contributeur de votre abonnement pour inscrire les fournisseurs de ressources suivants :

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Notes

  L’hypothèse est que la personne qui inscrit l’abonnement Azure auprès des fournisseurs de ressources est une personne différente de celle qui inscrit les serveurs Azure Stack HCI auprès d’Arc.

• Si vous inscrivez les serveurs en tant que ressources Arc, vérifiez que vous disposez des autorisations suivantes sur le groupe de ressources où les serveurs ont été provisionnés :

  • Intégration de machine connectée à Azure
  • Administrateur des ressources de la machine connectée à Azure

  Pour vérifier que vous disposez de ces rôles, procédez comme suit dans le Portail Azure :

  1. Accédez à l’abonnement que vous utilisez pour le déploiement Azure Stack HCI.
  2. Accédez au groupe de ressources dans lequel vous envisagez d’inscrire les serveurs.
  3. Dans le volet gauche, accédez à Access Control (IAM).
  4. Dans le volet droit, accédez à Attributions de rôles. Vérifiez que vous avez attribué les rôles Azure Connected Machine Onboarding et Azure Connected Machine Resource Administrator .

Inscrire des serveurs auprès d’Azure Arc

Important

Exécutez ces étapes sur chaque serveur Azure Stack HCI que vous envisagez de mettre en cluster.

1. Installez le script d’inscription Arc à partir de PSGallery.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   Sortie

   Voici un exemple de sortie de l’installation :

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. Définissez les paramètres. Le script prend les paramètres suivants :

   Paramètres	Description
   SubscriptionID	ID de l’abonnement utilisé pour inscrire vos serveurs auprès d’Azure Arc.
   TenantID	ID de locataire utilisé pour inscrire vos serveurs auprès d’Azure Arc. Accédez à votre Microsoft Entra ID et copiez la propriété ID de locataire.
   ResourceGroup	Groupe de ressources précréé pour l’inscription Arc des serveurs. Un groupe de ressources est créé s’il n’en existe pas.
   Region	Région Azure utilisée pour l’inscription. Consultez les régions prises en charge qui peuvent être utilisées.
   AccountID	Utilisateur qui inscrit et déploie le cluster.
   DeviceCode	Le code de l’appareil affiché dans la console à https://microsoft.com/devicelogin l’adresse et est utilisé pour se connecter à l’appareil.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   Sortie

   Voici un exemple de sortie des paramètres :

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. Connectez-vous à votre compte Azure et définissez l’abonnement. Vous devez ouvrir le navigateur sur le client que vous utilisez pour vous connecter au serveur, ouvrir cette page et https://microsoft.com/devicelogin entrer le code fourni dans la sortie Azure CLI pour vous authentifier. Obtenez le jeton d’accès et l’ID de compte pour l’inscription.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Sortie

   Voici un exemple de sortie de définition de l’abonnement et de l’authentification :

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Enfin, exécutez le script d’inscription Arc. L’exécution du script prend quelques minutes.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   Si vous accédez à Internet via un serveur proxy, vous devez passer le paramètre et fournir le -proxy serveur proxy comme http://<Proxy server FQDN or IP address>:Port lors de l’exécution du script.

   Sortie

   Voici un exemple de sortie d’une inscription réussie de vos serveurs :

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. Une fois le script terminé sur tous les serveurs, vérifiez que :

   1. Vos serveurs sont inscrits auprès d’Arc. Accédez au Portail Azure, puis accédez au groupe de ressources associé à l’inscription. Les serveurs apparaissent dans le groupe de ressources spécifié en tant que ressources de type Machine - Azure Arc .

      

   2. Les extensions Azure Stack HCI obligatoires sont installées sur vos serveurs. Dans le groupe de ressources, sélectionnez le serveur inscrit. Accédez aux extensions. Les extensions obligatoires s’affichent dans le volet droit.

      

Attribuer les autorisations requises pour le déploiement

Cette section explique comment attribuer des autorisations Azure pour le déploiement à partir du Portail Azure.

1. Dans le Portail Azure, accédez à l’abonnement utilisé pour inscrire les serveurs. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et, dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

   

2. Parcourez les onglets et attribuez les autorisations de rôle suivantes à l’utilisateur qui déploie le cluster :

   • Administrateur Azure Stack HCI
   • Administrateur d’application cloud
   • Lecteur

   Notes

   L’autorisation Administrateur d’application cloud est temporairement nécessaire pour créer le principal de service. Après le déploiement, cette autorisation peut être supprimée.

3. Dans le Portail Azure, accédez au groupe de ressources utilisé pour inscrire les serveurs sur votre abonnement. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et, dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

   

4. Parcourez les onglets et attribuez les autorisations suivantes à l’utilisateur qui déploie le cluster :

   • administrateur d’accès aux données Key Vault : cette autorisation est requise pour gérer les autorisations de plan de données sur le coffre de clés utilisé pour le déploiement.
   • Key Vault Secrets Officer : cette autorisation est requise pour lire et écrire des secrets dans le coffre de clés utilisé pour le déploiement.
   • Key Vault Contributeur : cette autorisation est requise pour créer le coffre de clés utilisé pour le déploiement.
   • Contributeur de compte de stockage : cette autorisation est requise pour créer le compte de stockage utilisé pour le déploiement.

5. Dans le volet droit, accédez à Attributions de rôles. Vérifiez que l’utilisateur de déploiement dispose de tous les rôles configurés.

Étapes suivantes

Après avoir configuré le premier serveur de votre cluster, vous êtes prêt à déployer à l’aide de Portail Azure :

• Déployez à l’aide de Portail Azure.