Daftarkan komputer Anda dan tetapkan izin untuk penyebaran Azure Local versi 23H2

Berlaku untuk: Azure Local 2311.2 dan yang lebih baru

Artikel ini menjelaskan cara mendaftarkan komputer Lokal Azure Anda lalu menyiapkan izin yang diperlukan untuk menyebarkan Azure Local, versi 23H2.

Prasyarat

Sebelum memulai, pastikan Anda telah menyelesaikan prasyarat berikut:

• Penuhi prasyarat dan daftar periksa penyebaran lengkap.

• Siapkan lingkungan Direktori Aktif Anda.

• Instal sistem operasi Azure Stack HCI, versi 23H2 pada setiap komputer.

• Daftarkan langganan Anda dengan penyedia sumber daya (RPs) yang diperlukan. Anda dapat menggunakan portal Azure atau Azure PowerShell untuk mendaftar. Anda harus menjadi pemilik atau kontributor pada langganan Anda untuk mendaftarkan RPs sumber daya berikut:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Catatan

  Asumsinya adalah bahwa orang yang mendaftarkan langganan Azure dengan penyedia sumber daya adalah orang yang berbeda dari yang mendaftarkan komputer Lokal Azure dengan Arc.

• Jika Anda mendaftarkan komputer sebagai sumber daya Arc, pastikan Anda memiliki izin berikut pada grup sumber daya tempat komputer disediakan:

  • Onboarding Mesin yang Tersambung Azure
  • Administrator Sumber Daya Mesin yang Terhubung Azure

  Untuk memverifikasi bahwa Anda memiliki peran ini, ikuti langkah-langkah ini di portal Azure:

  1. Buka langganan yang Anda gunakan untuk penyebaran Azure Local.
  2. Buka grup sumber daya tempat Anda berencana mendaftarkan komputer.
  3. Di panel kiri, buka Kontrol Akses (IAM).
  4. Di panel kanan, buka Penetapan peran. Verifikasi bahwa Anda memiliki peran Azure Connected Machine Onboarding dan Azure Connected Machine Resource Administrator yang ditetapkan.

• Periksa kebijakan Azure Anda. Pastikan:

  • Kebijakan Azure tidak memblokir penginstalan ekstensi.
  • Kebijakan Azure tidak memblokir pembuatan jenis sumber daya tertentu dalam grup sumber daya.
  • Kebijakan Azure tidak memblokir penyebaran sumber daya di lokasi tertentu.

Mendaftarkan komputer dengan Azure Arc

Penting

Jalankan langkah-langkah ini sebagai administrator lokal di setiap komputer Azure Local yang ingin Anda klusterkan.

1. Atur parameter. Skrip mengambil parameter berikut:

   Parameter	Deskripsi
   SubscriptionID	ID langganan yang digunakan untuk mendaftarkan komputer Anda dengan Azure Arc.
   TenantID	ID penyewa yang digunakan untuk mendaftarkan komputer Anda dengan Azure Arc. Buka ID Microsoft Entra Anda dan salin properti ID penyewa.
   ResourceGroup	Grup sumber daya dibuat sebelumnya untuk pendaftaran Arc komputer. Grup sumber daya dibuat jika tidak ada.
   Region	Wilayah Azure digunakan untuk pendaftaran. Lihat Wilayah yang didukung yang dapat digunakan.
   AccountID	Pengguna yang mendaftar dan menyebarkan instans.
   ProxyServer	Parameter opsional. Alamat Server Proksi saat diperlukan untuk konektivitas keluar.
   DeviceCode	Kode perangkat yang ditampilkan di konsol di https://microsoft.com/devicelogin dan digunakan untuk masuk ke perangkat.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Hasil

   Berikut adalah contoh output parameter:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Sambungkan ke akun Azure Anda dan atur langganan. Anda harus membuka browser pada klien yang Anda gunakan untuk menyambungkan ke komputer dan membuka halaman ini: https://microsoft.com/devicelogin dan memasukkan kode yang disediakan dalam output Azure CLI untuk mengautentikasi. Dapatkan token akses dan ID akun untuk pendaftaran.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Hasil

   Berikut adalah contoh output pengaturan langganan dan autentikasi:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Akhirnya jalankan skrip pendaftaran Arc. Skrip ini membutuhkan waktu beberapa menit untuk dijalankan.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Jika Anda mengakses internet melalui server proksi, Anda perlu meneruskan -proxy parameter dan menyediakan server proksi seperti http://<Proxy server FQDN or IP address>:Port saat menjalankan skrip.

   Untuk daftar wilayah Azure yang didukung, lihat Persyaratan Azure.

   Hasil

   Berikut adalah contoh output dari pendaftaran komputer Anda yang berhasil:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Setelah skrip berhasil diselesaikan pada semua komputer, verifikasi bahwa:

   1. Mesin Anda terdaftar di Arc. Buka portal Azure lalu buka grup sumber daya yang terkait dengan pendaftaran. Komputer muncul dalam grup sumber daya yang ditentukan sebagai Mesin - Sumber daya jenis Azure Arc .

      

   2. Ekstensi Azure Local wajib diinstal pada komputer Anda. Dari grup sumber daya, pilih komputer terdaftar. Buka Ekstensi. Ekstensi wajib muncul di panel kanan.

      

Menetapkan izin yang diperlukan untuk penyebaran

Bagian ini menjelaskan cara menetapkan izin Azure untuk penyebaran dari portal Azure.

1. Di portal Azure, buka langganan yang digunakan untuk mendaftarkan komputer. Di panel kiri, pilih Kontrol akses (IAM). Di panel kanan, pilih + Tambahkan dan dari daftar dropdown, pilih Tambahkan penetapan peran.

   

2. Buka tab dan tetapkan izin peran berikut kepada pengguna yang menyebarkan instans:

   • Azure Stack HCI Administrator
   • Pembaca

3. Di portal Azure, buka grup sumber daya yang digunakan untuk mendaftarkan komputer pada langganan Anda. Di panel kiri, pilih Kontrol akses (IAM). Di panel kanan, pilih + Tambahkan dan dari daftar dropdown, pilih Tambahkan penetapan peran.

   

4. Buka tab dan tetapkan izin berikut kepada pengguna yang menyebarkan instans:

   • Administrator Akses Data Key Vault: Izin ini diperlukan untuk mengelola izin sarana data ke brankas kunci yang digunakan untuk penyebaran.
   • Petugas Rahasia Key Vault: Izin ini diperlukan untuk membaca dan menulis rahasia di brankas kunci yang digunakan untuk penyebaran.
   • Kontributor Key Vault: Izin ini diperlukan untuk membuat brankas kunci yang digunakan untuk penyebaran.
   • Kontributor Akun Penyimpanan: Izin ini diperlukan untuk membuat akun penyimpanan yang digunakan untuk penyebaran.

5. Di panel kanan, buka Penetapan peran. Verifikasi bahwa pengguna penyebaran memiliki semua peran yang dikonfigurasi.

6. Di portal Azure buka Peran dan Administrator Microsoft Entra dan tetapkan izin peran Administrator Aplikasi Cloud di tingkat penyewa Microsoft Entra.

   

   Catatan

   Izin Administrator Aplikasi Cloud untuk sementara diperlukan untuk membuat perwakilan layanan. Setelah penyebaran, izin ini dapat dihapus.

Langkah berikutnya

Setelah menyiapkan komputer pertama dalam instans, Anda siap untuk menyebarkan menggunakan portal Azure:

• Sebarkan menggunakan portal Azure.