Déployer un modèle de déploiement Azure Stack HCI version 23H2 via Azure Resource Manager modèle de déploiement

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment utiliser un modèle AZURE Resource Manager (modèle ARM) dans le Portail Azure pour déployer un modèle Azure Stack HCI dans votre environnement. L’article contient également les conditions préalables et les étapes de préparation requises pour commencer le déploiement.

Important

Le déploiement de modèles ARM de systèmes Azure Stack HCI version 23H2 est destiné aux déploiements à grande échelle. Le public prévu pour ce déploiement est les administrateurs informatiques qui ont de l’expérience de déploiement de clusters Azure Stack HCI. Nous vous recommandons de déployer d’abord un système version 23H2 via le Portail Azure, puis d’effectuer les déploiements suivants via le modèle ARM.

Prérequis

Étape 1 : Préparer les ressources Azure

Procédez comme suit pour préparer les ressources Azure dont vous avez besoin pour le déploiement :

Créer un principal de service et une clé secrète client

Pour authentifier votre cluster, vous devez créer un principal de service et une clé secrète client correspondante. Vous devez également attribuer le rôle de déploiement Azure Resource Bridge au principal de service.

Créer un principal du service

Suivez les étapes décrites dans Créer une application Microsoft Entra et un principal de service pouvant accéder aux ressources via Portail Azure pour créer le principal de service et attribuer les rôles. Vous pouvez également utiliser la procédure PowerShell pour créer un principal de service Azure avec Azure PowerShell.

Les étapes sont également résumées ici :

  1. Connectez-vous au centre d'administration Microsoft Entra en tant qu’administrateur d’application cloud. Accédez à Applications > d’identité > inscriptions d'applications sélectionnez Nouvelle inscription.

  2. Fournissez un Nom pour l’application, sélectionnez un type de compte pris en charge , puis inscrivez-vous.

    Capture d’écran montrant Inscrire une application pour la création d’un principal de service.

  3. Une fois le principal de service créé, accédez à la page Vue d’ensemble . Copiez l’ID d’application (client) pour ce principal de service. Vous encodez et utilisez cette valeur ultérieurement.

    Capture d’écran montrant l’ID d’application (client) pour le principal de service créé.

Créer une clé secrète client

  1. Accédez au principal de service que vous avez créé et accédez à Certificats & secrets > client.

  2. Sélectionnez + Nouvelle clé secrète client.

    Capture d’écran montrant la création d’une clé secrète client.

  3. Ajoutez une description pour la clé secrète client et indiquez un délai d’expiration. Sélectionnez Ajouter.

    Capture d’écran montrant le panneau Ajouter une clé secrète client.

  4. Copiez la valeur de la clé secrète client pendant l’encodage et utilisez-la ultérieurement.

    Notes

    Pour l’ID client de l’application, vous aurez besoin de sa valeur secrète. Les valeurs de clé secrète client ne peuvent pas être consultées, sauf immédiatement après leur création. Veillez à enregistrer cette valeur lors de sa création avant de quitter la page.

    Capture d’écran montrant la valeur de la clé secrète client.

Créer un compte de stockage témoin cloud

Tout d’abord, créez un compte de stockage pour servir de témoin cloud. Vous devez ensuite obtenir la clé d’accès pour ce compte de stockage, puis l’utiliser dans un format encodé avec le modèle de déploiement ARM.

Procédez comme suit pour obtenir et encoder la clé d’accès pour le modèle de déploiement ARM :

  1. Dans le Portail Azure, créez un compte de stockage dans le même groupe de ressources que vous utiliseriez pour le déploiement.

    Capture d’écran montrant la création d’un compte de stockage pour le témoin cloud.

  2. Une fois le compte de stockage créé, vérifiez que vous pouvez le voir dans le groupe de ressources.

    Capture d’écran montrant le compte de stockage pour le témoin cloud dans le groupe de ressources de déploiement.

  3. Accédez au compte de stockage que vous avez créé, puis accédez à Clés d’accès.

  4. Pour key1, Clé, sélectionnez Afficher. Sélectionnez le bouton Copier dans le Presse-papiers à droite du champ Clé .

    Capture d’écran montrant les clés d’accès pour le compte de stockage témoin cloud.

    Après avoir copié la clé, sélectionnez Masquer.

Encoder les valeurs des paramètres

  1. Sur un ordinateur de gestion, exécutez PowerShell en tant qu’administrateur. Encodez la chaîne de valeur de clé copiée avec le script suivant :

    $secret="<Key value string coped earlier>" 
    [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($secret))
    

    La sortie encodée ressemble à ceci et est basée sur la valeur secrète du compte de stockage témoin cloud pour votre environnement :

    ZXhhbXBsZXNlY3JldGtleXZhbHVldGhhdHdpbGxiZWxvbmdlcnRoYW50aGlzYW5kb3V0cHV0d2lsbGxvb2tkaWZmZXJlbnQ= 
    
  2. La valeur de sortie encodée que vous générez correspond à ce que le modèle de déploiement ARM attend. Notez cette valeur et le nom du compte de stockage. Vous utiliserez ces valeurs plus tard dans le processus de déploiement.

En plus de la clé d’accès du témoin de stockage, vous devez également encoder de la même façon les valeurs pour les paramètres suivants.

Paramètre Description
localaccountname, localaccountpassword Nom d’utilisateur et mot de passe de l’administrateur local pour tous les serveurs de votre cluster. Les informations d’identification sont identiques pour tous les serveurs de votre système.
domainaccountname, omainaccountpassword Le nouveau nom d’utilisateur et le mot de passe qui ont été créés avec les autorisations appropriées pour le déploiement pendant l’étape de préparation Active Directory pour l’objet AzureStackLCMUserCredential . Ce compte est identique au compte d’utilisateur utilisé par le déploiement Azure Stack HCI.
Pour plus d’informations, consultez Préparer Active Directory pour obtenir ces informations d’identification.
clientId, clientSecretValue L’ID d’application (client) du SPN que vous avez créé comme prérequis à ce déploiement et la valeur de clé secrète client correspondante pour l’ID d’application.

Exécutez le script PowerShell utilisé à l’étape précédente pour encoder ces valeurs :

  • Mot de passe du compte local. Cela correspond au localAdminSecretValue dans les paramètres JSON. Encoder localaccountname:localacountpassword pour obtenir cette valeur pour le modèle.
  • Mot de passe du compte de domaine. Cela correspond au domainAdminSecretValue dans les paramètres JSON. Encoder domainaccountname:domainaccountpassword pour obtenir cette valeur pour le modèle.
  • Valeur secrète de l’ID client de l’application. Cela correspond au arbDeploymentSpnValue dans les paramètres JSON. Encoder clientId:clientSecretValue pour obtenir cette valeur pour le modèle.

Étape 2 : Attribuer des autorisations de ressource

Vous devez créer et affecter les autorisations de ressource nécessaires avant d’utiliser le modèle de déploiement.

Vérifier l’accès au groupe de ressources

Vérifiez l’accès au groupe de ressources pour vos serveurs Azure Stack HCI inscrits comme suit :

  1. Dans Portail Azure, accédez au groupe de ressources approprié.

  2. Sélectionnez Contrôle d’accès (IAM) sur le côté gauche de l’écran, puis sélectionnez Vérifier l’accès.

    Capture d’écran montrant case activée accès dans le contrôle d’accès pour le groupe de ressources.

  3. Dans Vérifier l’accès, entrez ou sélectionnez les éléments suivants :

    1. Sélectionnez Identité managée.

    2. Sélectionnez l’abonnement approprié dans la liste déroulante.

    3. Sélectionnez Toutes les identités managées affectées par le système.

    4. Filtrez la liste en tapant le préfixe et le nom du ou des serveurs inscrits pour ce déploiement. Sélectionnez l’un des serveurs de votre cluster Azure Stack HCI.

    5. Sous Attributions de rôles actuelles, vérifiez que les rôles suivants sont activés sur le serveur sélectionné :

      • Azure Connected Machine Resource Manager.

      • Rôle de Gestion des appareils Azure Stack HCI.

      • Lecteur.

      Capture d’écran montrant les rôles de serveur activés sur le premier serveur.

    6. Sélectionnez le X en haut à droite pour revenir à l’écran de sélection du serveur.

  4. Sélectionnez un autre serveur dans votre cluster Azure Stack HCI. Vérifiez que le serveur sélectionné a les mêmes rôles activés que vous avez vérifié sur le serveur précédent.

    Capture d’écran montrant les rôles de serveur activés sur le deuxième serveur.

Ajouter l’accès au groupe de ressources

Ajoutez l’accès au groupe de ressources pour vos serveurs Azure Stack HCI inscrits comme suit :

  1. Accédez au groupe de ressources approprié pour votre environnement Azure Stack HCI.

  2. Sélectionnez Contrôle d’accès (IAM) sur le côté gauche de l’écran.

  3. Sélectionnez + Ajouter, puis Ajouter une attribution de rôle.

    Capture d’écran montrant Ajouter un flux d’attribution de rôle pour accéder au groupe de ressources.

  4. Recherchez et sélectionnez Azure Connected Machine Resource Manager. Sélectionnez Suivant.

    Capture d’écran montrant l’Resource Manager Azure Connected Machine pour le groupe de ressources.

  5. Laissez la sélection sur Utilisateur, groupe ou principal de service. Sélectionnez + Sélectionner des membres.

    Capture d’écran montrant la sélection membres.

  6. Filtrez la liste en tapant Microsoft.AzureStackHCI Resource Provider. Sélectionnez l’option Fournisseur de ressources Microsoft.AzureStackHCI .

  7. Sélectionnez Sélectionner.

    Capture d’écran montrant Sélectionner des membres.

  8. Sélectionnez Vérifier + affecter, puis sélectionnez-le à nouveau.

    Capture d’écran montrant Révision + affectation.

  9. Une fois l’attribution de rôle ajoutée, vous pouvez la voir dans le journal d’activité notifications :

    Capture d’écran montrant une notification pour les attributions de rôles.

Ajouter l’utilisateur Key Vault Secrets

  1. Accédez au groupe de ressources approprié pour l’environnement Azure Stack HCI.

  2. Sélectionnez Contrôle d’accès (IAM) sur le côté gauche de l’écran.

  3. Dans le volet droit, sélectionnez + Ajouter , puis Ajouter une attribution de rôle.

    Capture d’écran montrant Ajouter une attribution de rôle.

  4. Recherchez et sélectionnez Key Vault Secrets Utilisateur, puis sélectionnez Suivant.

    Capture d’écran montrant Key Vault’utilisateur Secrets.

  5. Sélectionnez Identité managée.

  6. Sélectionnez + Sélectionner des membres et entrez les éléments suivants :

    1. Sélectionnez l’abonnement approprié.

    2. Sélectionnez Toutes les identités managées affectées par le système.

    3. Filtrez la liste en tapant le préfixe et le nom des serveurs inscrits pour votre déploiement.

    4. Sélectionnez les deux serveurs pour votre environnement, puis sélectionnez Sélectionner.

    Capture d’écran montrant la sélection d’identité managée.

  7. Sélectionnez Vérifier + affecter, puis sélectionnez-le à nouveau.

    Capture d’écran montrant l’option Vérifier + affecter sélectionnée.

  8. Une fois que les rôles sont attribués en tant qu’utilisateur Key Vault secrets, vous pouvez les voir dans le journal d’activité notifications.

    Capture d’écran montrant la notification pour l’attribution du rôle utilisateur Key Vault Secrets.

Vérifier les nouvelles attributions de rôles

Vérifiez éventuellement les attributions de rôle que vous avez créées.

  1. Sélectionnez Access Control (IAM) Vérifier l’accès pour vérifier les attributions de rôle que vous avez créées.

  2. Accédez à Azure Connected Machine Resource Manager > Fournisseur de ressources Microsoft.AzureStackHCI pour le groupe de ressources approprié pour votre environnement.

  3. Accédez à Key Vault Utilisateur secrets pour obtenir le groupe de ressources approprié pour le premier serveur de votre environnement.

  4. Accédez à Key Vault’utilisateur secrets pour le groupe de ressources approprié pour le deuxième serveur de votre environnement.

Étape 3 : Déployer à l’aide d’un modèle ARM

Une fois toutes les conditions préalables et les étapes de préparation terminées, vous êtes prêt à déployer à l’aide d’un modèle de déploiement ARM connu et testé et d’un fichier JSON de paramètres correspondant. Utilisez les paramètres contenus dans le fichier JSON pour remplir toutes les valeurs, y compris les valeurs encodées générées précédemment.

Important

Dans cette version, assurez-vous que tous les paramètres contenus dans la valeur JSON sont remplis, y compris ceux qui ont une valeur null. S’il existe des valeurs null, celles-ci doivent être remplies ou la validation échoue.

  1. Dans Portail Azure, accédez à Accueil et sélectionnez + Créer une ressource.

  2. Sélectionnez Créer sous Déploiement de modèle (déployer à l’aide de modèles personnalisés).

    Capture d’écran montrant le déploiement du modèle (déploiement à l’aide d’un modèle personnalisé).

  3. En bas de la page, recherchez Démarrer avec un modèle de démarrage rapide ou une section spec de modèle . Sélectionnez l’option modèle de démarrage rapide .

    Capture d’écran montrant le modèle de démarrage rapide sélectionné.

  4. Utilisez le champ Modèle de démarrage rapide (exclusion de responsabilité) pour filtrer le modèle approprié. Tapez azurestackhci/create-cluster pour le filtre.

  5. Lorsque vous avez terminé, sélectionnez modèle.

    Capture d’écran montrant le modèle sélectionné.

  6. Sous l’onglet Informations de base , vous voyez la page Déploiement personnalisé . Vous pouvez sélectionner les différents paramètres dans la liste déroulante ou sélectionner Modifier les paramètres.

    Capture d’écran montrant la page Déploiement personnalisé sous l’onglet Informations de base.

  7. Modifiez des paramètres tels que l’intention réseau ou l’intention réseau de stockage. Une fois les paramètres renseignés, enregistrez le fichier de paramètres.

    Capture d’écran montrant les paramètres remplis pour le modèle.

    Conseil

    Téléchargez un exemple de fichier de paramètres pour comprendre le format dans lequel vous devez fournir les entrées.

  8. Sélectionnez le groupe de ressources approprié pour votre environnement.

  9. Faites défiler jusqu’au bas et vérifiez que Mode de déploiement = Valider.

  10. Sélectionnez Revoir + créer.

    Capture d’écran montrant l’option Vérifier + Créer sélectionnée sous l’onglet De base.

  11. Sous l’onglet Vérifier + créer, sélectionnez Créer. Cela crée les ressources requises restantes et valide le déploiement. La validation prend environ 10 minutes.

    Capture d’écran montrant Créer sélectionné sous l’onglet Vérifier + Créer.

  12. Une fois la validation terminée, sélectionnez Redéployer.

    Capture d’écran montrant le redéploiement sélectionné.

  13. Dans l’écran Déploiement personnalisé , sélectionnez Modifier les paramètres. Chargez les paramètres précédemment enregistrés et sélectionnez Enregistrer.

  14. En bas de l’espace de travail, modifiez la valeur finale dans le JSON de Valider à Déployer, où Mode de déploiement = Déployer.

    Capture d’écran montrant déployer sélectionné pour le mode de déploiement.

  15. Vérifiez que tous les champs du modèle de déploiement ARM ont été renseignés par le JSON Paramètres.

  16. Sélectionnez le groupe de ressources approprié pour votre environnement.

  17. Faites défiler jusqu’au bas et vérifiez que Mode de déploiement = Déployer.

  18. Sélectionnez Revoir + créer.

  19. Sélectionnez Create (Créer). Cela commence le déploiement, à l’aide des ressources requises existantes qui ont été créées lors de l’étape Valider .

    L’écran Déploiement effectue des cycles sur la ressource de cluster pendant le déploiement.

    Une fois le déploiement lancé, il y a une exécution limitée du vérificateur d’environnement, une exécution complète du vérificateur d’environnement et le déploiement cloud démarre. Après quelques minutes, vous pouvez surveiller le déploiement dans le portail.

    Capture d’écran montrant le status de validation du vérificateur d’environnement.

  20. Dans une nouvelle fenêtre de navigateur, accédez au groupe de ressources de votre environnement. Sélectionnez la ressource de cluster.

  21. Sélectionnez Déploiements.

  22. Actualisez et watch la progression du déploiement à partir du premier serveur (également appelé serveur initial et est le premier serveur sur lequel vous avez déployé le cluster). Le déploiement prend entre 2,5 et 3 heures. Plusieurs étapes prennent 40 à 50 minutes ou plus.

    Notes

    Si vous case activée de nouveau sur le déploiement du modèle, vous verrez qu’il finit par expirer. Il s’agit d’un problème connu. La surveillance des déploiements est donc la meilleure façon de surveiller la progression du déploiement.

  23. L’étape du déploiement qui prend le plus de temps est Déployer Moc et ARB Stack. Cette étape prend 40 à 45 minutes.

    Une fois l’opération terminée, la tâche située en haut se met à jour avec status et l’heure de fin.

Étapes suivantes

En savoir plus :