Gérer l’inscription de cluster Azure Stack HCI

S’applique à : Azure Stack HCI, versions 22H2 et 21H2

En fonction de la configuration et des exigences de votre cluster, vous devrez peut-être effectuer des étapes supplémentaires après l’inscription de votre cluster auprès d’Azure. Cet article explique comment gérer l’inscription de votre cluster à l’aide de Windows Admin Center, De PowerShell ou du Portail Azure. Il fournit également des réponses aux questions fréquemment posées sur l’inscription du cluster.

Lorsque vous inscrivez votre cluster auprès d’Azure, une ressource Azure Resource Manager est créée pour représenter le cluster Azure Stack HCI local. À compter d’Azure Stack HCI, version 21H2, l’inscription d’un cluster crée automatiquement un Arc Azure Arc de la ressource de serveur pour chaque serveur du cluster Azure Stack HCI. Cette intégration Azure Arc étend le plan de gestion Azure à Azure Stack HCI. L’intégration d’Azure Arc permet la synchronisation périodique des informations entre la ressource Azure et les clusters locaux.

Afficher l’inscription et les serveurs avec Arc status

Windows Admin Center

Lorsque vous vous connectez à un cluster à l’aide de Windows Admin Center, vous voyez le tableau de bord, qui affiche l’inscription Azure Stack HCI et les serveurs avec Arc status.

• Pour l’inscription Azure Stack HCI, Connecté signifie que le cluster est déjà inscrit auprès d’Azure et qu’il a été correctement synchronisé avec le cloud au cours du dernier jour.

• Pour les serveurs avec Arc, Connected signifie que tous les serveurs physiques sont compatibles avec Arc et peuvent être gérés à partir du Portail Azure.

  

Vous pouvez obtenir plus d’informations en sélectionnant Azure Arc dans le menu Outils à gauche.

Notes

Le tableau de bord Azure Arc est actuellement en préversion publique.

Dans la page Vue d’ensemble, vous trouverez des informations status générales sur l’inscription Azure Stack HCI et les serveurs avec Arc. Vous pouvez cliquer sur l’une ou l’autre vignette pour être dirigé vers les pages individuelles.

Dans la page d’inscription Azure Stack HCI, vous pouvez afficher le système Azure Stack HCI et le serveur status. Cela inclut la connexion Azure status et la dernière synchronisation Azure. Vous trouverez des liens utiles vers la documentation de résolution des problèmes et les extensions de cluster. Vous pouvez annuler l’inscription si nécessaire.

Si votre cluster est inscrit auprès d’Azure, mais que les serveurs physiques ne sont pas encore compatibles avec Arc, vous pouvez le faire à partir de la page Serveurs avec Arc . Si les serveurs physiques sont compatibles avec Arc, vous pouvez afficher le status Azure Arc et l’ID de version pour chaque serveur. Vous trouverez également des liens utiles vers des informations de résolution des problèmes.

PowerShell

Utilisez l’applet Get-AzureStackHCI de commande PowerShell pour afficher les propriétés status d’inscription, status de cluster et status de connexion.

Par exemple, après avoir installé le système d’exploitation Azure Stack HCI, mais avant de créer ou de joindre un cluster, la propriété ClusterStatus affiche un état NotYet :

Une fois le cluster créé, seul RegistrationStatus indique l’état NotYet :

Vous devez inscrire un cluster Azure Stack HCI dans un délai de 30 jours après l’installation, comme défini dans les Conditions des Services en Ligne Azure. Si vous n’avez pas créé ou joint un cluster après 30 jours, ClusterStatus affiche OutOfPolicy. Si vous n’avez pas inscrit le cluster après 30 jours, RegistrationStatus affiche OutOfPolicy.

Une fois le cluster inscrit, vous pouvez voir ConnectionStatus et l’heure LastConnected. L’heure LastConnected fait généralement partie du dernier jour sauf si le cluster a été temporairement déconnecté d’Internet. Un cluster Azure Stack HCI peut fonctionner entièrement hors connexion pendant 30 jours consécutifs.

Si vous dépassez la période maximale d’opérations hors connexion, ConnectionStatus affiche OutOfPolicy.

Notes

La configuration du microprogramme BIOS\UEFI doit être identique sur le matériel de chaque nœud de cluster HCI. Tous les nœuds avec des configurations BIOS différentes par rapport à la majorité peuvent afficher ConnectionStatus comme OutOfPolicy.

Azure portal

Pour afficher les status du cluster et des ressources Arc, accédez au groupe de ressources utilisé lors de l’inscription dans le Portail Azure :

Activer l’intégration d’Azure Arc

À compter d’Azure Stack HCI, version 21H2, les clusters sont automatiquement compatibles avec Arc lors de l’inscription. L’intégration d’Azure Arc n’est pas disponible sur Azure Stack HCI, version 20H2.

Vous devez activer manuellement l’intégration d’Azure Arc dans les scénarios suivants :

• Vous avez mis à jour vos serveurs de cluster d’Azure Stack HCI, version 20H2 (qui n’étaient pas précédemment compatibles avec Arc manuellement) vers la version 21H2.
• Si vous avez précédemment rendu vos clusters 20H2 compatibles avec Arc et que l’activation d’Arc échoue toujours après la mise à niveau vers 21H2, consultez ces instructions pour résoudre le problème.
• Vous avez précédemment désactivé l’activation d’Arc, et vous avez maintenant l’intention de rendre votre cluster Azure Stack HCI 21H2 (ou version plus récente) compatible avec Arc.

Pour activer l’intégration d’Azure Arc, procédez comme suit :

1. Installez la dernière version du module Az.Resources sur votre PC de gestion :

   Install-Module -Name Az.Resources
   

2. Installez la dernière version du module Az.StackHCI sur votre PC de gestion :

   Install-Module -Name Az.StackHCI
   

3. Réexécutez l’applet de commande Register-AzStackHCI et spécifiez votre ID d’abonnement Azure, qui doit être le même ID que celui avec lequel le cluster a été inscrit à l’origine. Le paramètre -ComputerName peut être le nom de n’importe quel serveur du cluster. Cette étape active l’intégration d’Azure Arc sur chaque serveur du cluster. Elle n’affecte pas l’inscription actuelle de votre cluster auprès d’Azure, et vous n’avez pas besoin d’annuler l’inscription du cluster au préalable :

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
   

   Important

   Si le cluster a été inscrit à l’origine à l’aide d’un paramètre -Region, -ResourceName ou -ResourceGroupName différent des paramètres par défaut, vous devez spécifier ici ces mêmes paramètres et valeurs. Ces valeurs s’affichent lors de l’exécution de Get-AzureStackHCI.

Pour les échecs lors de l’activation d’Arc, consultez les conseils ici pour la résolution des problèmes.

Mettre à niveau l’agent Arc sur les serveurs de cluster

À compter d’Azure Stack HCI, version 21H2, pour mettre à jour automatiquement l’agent Arc lorsqu’une nouvelle version est disponible, assurez-vous que les serveurs de cluster sont configurés avec Microsoft Update. Pour plus d’informations, consultez Configuration de Microsoft Update.

Procédez comme suit pour mettre à niveau l’agent Arc sur les serveurs de cluster :

1. Dans l’outil de configuration de serveur (SConfig.exe), sélectionnez l’option d’installation des mises à jour (option 6) :

   

2. Sélectionnez l’option pour Toutes les mises à jour qualité (option 1).

3. Vous pouvez choisir de mettre à jour uniquement l’agent Arc ou d’installer toutes les mises à jour disponibles :

   

4. Dans PowerShell, exécutez azcmagent version sur chacun des nœuds pour vérifier la version de l’agent Arc.

Désinscrire Azure Stack HCI

Vous pouvez annuler l’inscription d’Azure Stack HCI à l’aide de Windows Admin Center ou de PowerShell.

Le processus de désinscription nettoie automatiquement la ressource Azure qui représente le cluster, le groupe de ressources Azure (si le groupe a été créé lors de l’inscription et ne contient pas d’autres ressources) et l’identité de l’application Microsoft Entra. Ce nettoyage arrête l’analyse, le support et la fonction de facturation d’Azure Arc.

Windows Admin Center

Procédez comme suit pour annuler l’inscription de votre cluster Azure Stack HCI via Windows Admin Center :

1. Connectez-vous au cluster à l’aide de Windows Admin Center.

2. Sélectionnez Azure Arc dans le menu de gauche.

3. Sélectionnez Inscription Azure Stack HCI, sélectionnez le bouton Annuler l’inscription , puis à nouveau Annuler l’inscription .

Notes

Si votre passerelle Windows Admin Center est inscrite auprès d’un ID de locataire Microsoft Entra différent qui a été utilisé pour inscrire initialement le cluster, vous pouvez rencontrer des problèmes lorsque vous essayez de désinscrire le cluster à l’aide de Windows Admin Center. Si cela se produit, vous pouvez utiliser les instructions PowerShell de la section suivante.

PowerShell

Vous pouvez utiliser l’applet de Unregister-AzStackHCI commande pour annuler l’inscription d’un cluster Azure Stack HCI auprès de PowerShell.

Vous devrez peut-être installer la dernière version du module Az.StackHCI. Si vous voyez une invite affichant Voulez-vous vraiment installer les modules à partir de PSGallery ?, répondez Oui :

Install-Module -Name Az.StackHCI

Effectuer une désinscription à partir d’un nœud de cluster

Utilisez avec Unregister-AzStackHCI les subscriptionID paramètres et TenantID pour annuler l’inscription d’un cluster directement à partir d’un nœud de cluster :

Unregister-AzStackHCI -SubscriptionId "<subscription ID GUID>" -TenantID "<tenant_id>"

Effectuer une désinscription à partir d’un PC de gestion

Utilisez l’applet Unregister-AzStackHCI de commande avec les subscriptionIDparamètres et TenantIDComputerName pour annuler l’inscription d’un cluster à partir d’un PC de gestion :

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "<subscription_ID>" -TenantId "<tenant_id>"

Si le PC de gestion dispose d’une interface graphique graphique, vous obtenez une invite de connexion, dans laquelle vous fournissez les informations d’identification pour accéder au nœud de cluster. Si le PC de gestion n’a pas d’interface graphique graphique, utilisez le -credentials <credentials to log in to cluster nodes> paramètre dans l’applet de Unregister-AzStackHCI commande .

Important

Si vous désinscrivez le cluster Azure Stack HCI dans la région Azure Chine, exécutez l’applet de commande Unregister-AzStackHCI avec les paramètres supplémentaires suivants :

-EnvironmentName AzureChinaCloud -Region "ChinaEast2"

Si vous vous inscrivez dans Azure Government, utilisez ces paramètres supplémentaires :

-EnvironmentName AzureUSGovernment -Region "USGovVirginia"

Si vous fournissez le paramètre -SubscriptionId, assurez-vous qu’il s’agit du bon. Il est recommandé de laisser le script d’annulation de l’inscription déterminer automatiquement l’abonnement.

Azure portal

Utilisez Windows Admin Center ou PowerShell pour annuler l’inscription de votre cluster.

Effectuer un nettoyage après une désinscription incorrecte de cluster

Si un utilisateur détruit un cluster Azure Stack HCI sans le désinscrire, par exemple en recréant une image des serveurs hôtes ou en supprimant des nœuds de clusters virtuels, les artefacts seront conservés dans Azure. Ces artefacts ne seront pas facturés et n’utiliseront pas de ressources, cependant, ils peuvent encombrer le Portail Azure. Pour les nettoyer, vous pouvez les supprimer manuellement.

Pour supprimer la ressource Azure Stack HCI, accédez à la ressource dans le Portail Azure et sélectionnez Supprimer dans la barre d’action. Vous pouvez obtenir les détails de la ressource en exécutant l’applet de Get-AzureStackHCI commande .

Azure Stack HCI crée deux applications Microsoft Entra dans le cadre de l’inscription : resourceName et resourceName.arc. Pour les supprimer, accédez à Microsoft Entra ID>Inscriptions d’applications>toutes les applications. Sélectionnez Supprimer, puis confirmez.

Vous pouvez également supprimer la ressource Azure Stack HCI à l’aide de PowerShell :

Remove-AzResource -ResourceId "<resource_name>"

Vous devrez peut-être installer le module Az.Resources :

Install-Module -Name Az.Resources

Si le groupe de ressources a été créé lors de l’inscription et ne contient pas d’autres ressources, vous pouvez également le supprimer :

Remove-AzResourceGroup -Name "<resourceGroupName>"

Dépannage

Pour plus d’informations sur les erreurs courantes et les étapes d’atténuation pour les résoudre, consultez Résoudre les problèmes d’inscription Azure Stack HCI.

FAQ

Trouvez des réponses à certaines questions fréquemment posées :

Comment utiliser un rôle d’autorisations personnalisées plus restreint ?

Vous pouvez réduire davantage les autorisations requises pour effectuer l’inscription Azure Stack HCI, comme décrit dans Attribuer des autorisations Azure à l’aide de PowerShell, à condition que certaines des opérations décrites ci-dessous soient déjà effectuées hors bande par un utilisateur disposant de rôles d’administrateur contributeur et d’accès utilisateur.

1. Inscrivez les fournisseurs de ressources requis. Connectez-vous à l’abonnement que vous allez utiliser pour inscrire le cluster. Sous Paramètres >, sélectionnez les fournisseurs de ressources suivants, puis inscrivez-vous :

   • Microsoft.AzureStackHCI
   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity

2. Créez les groupes de ressources. Assurez-vous que les groupes de ressources dans lesquels les ressources Azure Stack HCI seront projetées sont précréés par un utilisateur privilégié. Pour plus d’informations, consultez la section Conditions préalables .

   Une fois ces deux prérequis configurés, créez un rôle personnalisé et utilisez-le pour l’inscription, comme décrit ci-dessous. Tout d’abord, créez un fichier JSON appelé customHCIRole.json avec le contenu suivant. Veillez à remplacer <subscriptionID> par votre ID d’abonnement Azure. Pour obtenir votre ID d’abonnement, accédez à la Portail Azure, accédez à Abonnements, puis copiez/collez votre ID dans la liste :

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/read"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
         "/subscriptions/<subscriptionId>"
      ]
   }
   

3. Créez le rôle personnalisé :

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

4. Affectez le rôle personnalisé à l’utilisateur :

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

   Vous pouvez maintenant inscrire le cluster à l’aide de Register-AzStackHCI.

   Si vous devez annuler l’inscription de ce cluster, ajoutez l’autorisation Microsoft.Resources/subscriptions/resourceGroups/delete au fichier JSON lors de la création du rôle personnalisé.

Comment faire inscrire un cluster à l’aide d’ArmAccessToken/SPN ?

Avant l’inscription, assurez-vous que les conditions préalables sont remplies .

Notes

Ces informations d’identification SPN sont utilisées pour l’intégration initiale à Azure Stack HCI. Azure Stack HCI crée toujours des informations d’identification SPN distinctes pour l’intégration d’Arc. Pour utiliser un SPN personnalisé pour l’intégration d’Arc, consultez Comment faire inscrire un cluster à l’aide du SPN pour l’intégration d’Arc ?.

1. Exécutez « Connect-AzAccount » pour vous connecter à Azure. Pour utiliser le SPN pour vous connecter, vous pouvez utiliser :

   • Authentification basée sur le code de l’appareil. Utilisez -DeviceCode dans l’applet de commande .
   • Authentification basée sur un certificat. Consultez cet article pour configurer le SPN pour l’authentification basée sur les certificats. Utilisez ensuite les paramètres appropriés dans l’applet de Connect-AzAccount commande qui acceptent les informations de certificat. Le SPN que vous utilisez doit avoir toutes les autorisations requises sur les abonnements , comme indiqué ici.

2. Affectez $token = Get-AzAccessToken.

3. Utilisez Register-AzStackHCI avec les TenantIdparamètres , SubscriptionId, ArmAccessTokenet AccountId comme suit :

   Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
   

Comment faire inscrire un cluster à l’aide du SPN pour l’intégration d’Arc ?

Les instructions suivantes concernent l’utilisateur qui exécute la cmdlet d’inscription et ne peut pas obtenir l’autorisation Microsoft.Authorization/roleAssignments/write. Dans ce cas, il peut utiliser le SPN précréé avec les rôles d’intégration Arc (Intégration Azure Connected Machine et Administrateur de ressources Azure Connected Machine) attribués au SPN, et spécifier les informations d’identification à la cmdlet d’inscription à l’aide de l’option -ArcSpnCredential.

Notes

Azure Stack HCI ne met pas à jour les informations d’identification du SPN créé de cette façon. Lorsque les informations d’identification SPN expirent bientôt, vous devez régénérer les informations d’identification et exécuter le flux « réparer l’inscription » pour mettre à jour les informations d’identification SPN sur le cluster.

Notes

Utilisez le module PowerShell version 1.4.1 ou antérieure pour utiliser les informations d’identification SPN pour l’intégration à Arc si vous ne pouvez pas attribuer l’autorisation Microsoft.Authorization/roleAssignments/write au rôle d’inscription.

Avant l’inscription, assurez-vous que les conditions préalables et les vérifications préalables sont remplies. L’utilisateur qui inscrit le cluster a soit le rôle « contributeur » attribué pour l’abonnement utilisé pour l’inscription du cluster, soit la liste d’autorisations suivante si un rôle personnalisé est attribué :

• "Microsoft.Resources/subscriptions/resourceGroups/read",
• « Microsoft.Resources/subscriptions/resourceGroups/write »,
• « Microsoft.AzureStackHCI/register/action »
• « Microsoft.AzureStackHCI/Unregister/Action »
• « Microsoft.AzureStackHCI/clusters/* »
• « Microsoft.Authorization/roleAssignments/read »,
• « Microsoft.HybridCompute/register/action »
• « Microsoft.GuestConfiguration/register/action »
• « Microsoft.HybridConnectivity/register/action »

Pour annuler l’inscription, vérifiez que vous disposez également de l’autorisation Microsoft.Resources/subscriptions/resourceGroups/delete .

Pour inscrire le cluster et activer Arc pour les serveurs, exécutez les commandes PowerShell suivantes après les mettre à jour avec vos informations d’environnement. Les commandes suivantes nécessitent Az.Resources (version minimale 5.6.0) et Az.Accounts (version minimale 2.7.6). Vous pouvez utiliser l’applet de commande get-installedModule <module name> pour vérifier la version installée d’un module PowerShell.

#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process

#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"

#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId  $app.AppId -Role "Reader" 

#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"

#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null

# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force  

# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null

# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred

Le déplacement de ressources est-il pris en charge pour les ressources Azure Stack HCI ?

Nous ne prenons pas en charge le déplacement de ressources pour les ressources Azure Stack HCI. Pour modifier l’emplacement des ressources, vous devez d’abord désinscrire le cluster, puis le réinscrire au nouvel emplacement en passant les paramètres appropriés dans l’applet de commande Register-AzStackHCI .

Quelles sont certaines des applets de commande Arc les plus couramment utilisées ?

• Pour connaître les applets de commande du module PowerShell Az.StackHCI, consultez la documentation sur HCI PowerShell.
• Get-AzureStackHCI : retourne les informations de connexion de nœud et de stratégie actuelles pour Azure Stack HCI.
• Get-AzureStackHCIArcIntegration : retourne l’état de l’intégration d’Arc de nœud.
• Sync-AzureStackHCI :
  • Effectue la facturation, les licences et la synchronisation de recensement avec Azure.
  • Le système exécute automatiquement cette applet de commande toutes les 12 heures.
  • Vous ne devez utiliser cette applet de commande que lorsque la connexion Internet d’un cluster n’a pas été disponible pendant une période prolongée.
  • N’exécutez pas cette applet de commande immédiatement après le redémarrage du serveur ; laissez la synchronisation automatique se produire. Sinon, il peut entraîner un mauvais état.

Étapes suivantes

Pour plus d’informations, voir aussi :

• Gérer le cluster à l’aide de Windows Admin Center dans Azure
• Gérer des clusters avec PowerShell