Registrare i server e assegnare le autorizzazioni per la distribuzione di Azure Stack HCI, versione 23H2

Articolo
07/24/2024

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come registrare i server Azure Stack HCI e quindi configurare le autorizzazioni necessarie per distribuire un cluster Azure Stack HCI versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di aver completato i prerequisiti seguenti:

Soddisfare i prerequisiti e completare l'elenco di controllo per la distribuzione.
Preparare l'ambiente Active Directory .
Installare il sistema operativo Azure Stack HCI versione 23H2 in ogni server.
Registrare la sottoscrizione con i provider di risorse necessari. È possibile usare il portale di Azure o Azure PowerShell per la registrazione. Per registrare i provider di risorse seguenti, è necessario essere un proprietario o un collaboratore nella sottoscrizione:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Nota

Si presuppone che la persona che registra la sottoscrizione di Azure con i provider di risorse sia una persona diversa da quella che registra i server Azure Stack HCI con Arc.
Se si registrano i server come risorse Arc, assicurarsi di disporre delle autorizzazioni seguenti per il gruppo di risorse in cui è stato effettuato il provisioning dei server:
- Onboarding di Azure Connected Machine
- Amministratore delle risorse di Azure Connected Machine
Per verificare di avere questi ruoli, seguire questa procedura nella portale di Azure:
1. Passare alla sottoscrizione usata per la distribuzione di Azure Stack HCI.
2. Passare al gruppo di risorse in cui si prevede di registrare i server.
3. Nel riquadro a sinistra passare a Controllo di accesso (IAM).
4. Nel riquadro destro passare alle assegnazioni di ruolo. Verificare che siano assegnati i ruoli Di onboarding di Azure Connected Machine e Amministratore risorse di Azure Connected Machine.
Controllare i criteri di Azure. Assicurati che:
- I criteri di Azure non bloccano l'installazione delle estensioni.
- I criteri di Azure non bloccano la creazione di determinati tipi di risorse in un gruppo di risorse.
- I criteri di Azure non bloccano la distribuzione delle risorse in determinate posizioni.

Registrare i server con Azure Arc

Importante

Eseguire questi passaggi in ogni server Azure Stack HCI che si intende raggruppare.

Installare lo script di registrazione arc da PSGallery.

PowerShell
Output

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -RequiredVersion 2.13.2
Install-Module Az.Resources -RequiredVersion 6.12.0
Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2


#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

Ecco un output di esempio dell'installazione:

PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 2.13.2
PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2
PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

Impostare i parametri. Lo script accetta i parametri seguenti:

Parametri	Descrizione
`SubscriptionID`	ID della sottoscrizione usata per registrare i server con Azure Arc.
`TenantID`	ID tenant usato per registrare i server con Azure Arc. Passare all'ID Microsoft Entra e copiare la proprietà ID tenant.
`ResourceGroup`	Gruppo di risorse precreato per la registrazione arc dei server. Se non esiste, viene creato un gruppo di risorse.
`Region`	Area di Azure usata per la registrazione. Vedere le aree supportate che è possibile usare.
`AccountID`	L'utente che registra e distribuisce il cluster.
`ProxyServer`	Parametro facoltativo. Indirizzo del server proxy quando è necessario per la connettività in uscita.
`DeviceCode`	Il codice del dispositivo visualizzato nella console in `https://microsoft.com/devicelogin` e viene usato per accedere al dispositivo.

PowerShell
Output

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your HCI deployment access internet via proxy
$ProxyServer = "http://proxyaddress:port"

Ecco un output di esempio dei parametri:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Connettersi all'account Azure e impostare la sottoscrizione. Sarà necessario aprire il browser nel client che si sta usando per connettersi al server e aprire questa pagina: https://microsoft.com/devicelogin e immettere il codice fornito nell'output dell'interfaccia della riga di comando di Azure per l'autenticazione. Ottenere il token di accesso e l'ID dell'account per la registrazione.

PowerShell
Output

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Ecco un output di esempio dell'impostazione della sottoscrizione e dell'autenticazione:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Eseguire infine lo script di registrazione arc. L'esecuzione dello script richiede alcuni minuti.

PowerShell
Output

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer

Se si accede a Internet tramite un server proxy, è necessario passare il -proxy parametro e fornire il server proxy come http://<Proxy server FQDN or IP address>:Port quando si esegue lo script.

Per un elenco delle aree di Azure supportate, vedere Requisiti di Azure.

Di seguito è riportato un output di esempio di una registrazione corretta dei server:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Starting AzStackHci ArcIntegration Initialization
Constructing node config using ARM Access Token
Waiting for bootstrap to complete: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: Succeeded

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
Version Response
------- --------
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
Arc boostrap support log collection completed successfully.

PS C:\Users\Administrator>

Al termine dello script in tutti i server, verificare che:
1. I server vengono registrati con Arc. Passare al portale di Azure e quindi passare al gruppo di risorse associato alla registrazione. I server vengono visualizzati all'interno del gruppo di risorse specificato come risorse del tipo Machine - Azure Arc .
2. Le estensioni obbligatorie di Azure Stack HCI vengono installate nei server. Nel gruppo di risorse selezionare il server registrato. Passare a Estensioni. Le estensioni obbligatorie sono visualizzate nel riquadro destro.

Assegnare le autorizzazioni necessarie per la distribuzione

Questa sezione descrive come assegnare le autorizzazioni di Azure per la distribuzione dal portale di Azure.

Nella portale di Azure passare alla sottoscrizione usata per registrare i server. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare attraverso le schede e assegnare le autorizzazioni di ruolo seguenti all'utente che distribuisce il cluster:
- Amministratore di Azure Stack HCI
- Lettore
Nel portale di Azure passare al gruppo di risorse usato per registrare i server nella sottoscrizione. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare attraverso le schede e assegnare le autorizzazioni seguenti all'utente che distribuisce il cluster:
- Amministratore accesso ai dati di Key Vault: questa autorizzazione è necessaria per gestire le autorizzazioni del piano dati per l'insieme di credenziali delle chiavi usato per la distribuzione.
- Key Vault Secrets Officer: questa autorizzazione è necessaria per leggere e scrivere segreti nell'insieme di credenziali delle chiavi usato per la distribuzione.
- Collaboratore key Vault: questa autorizzazione è necessaria per creare l'insieme di credenziali delle chiavi usato per la distribuzione.
- Collaboratore account di archiviazione: questa autorizzazione è necessaria per creare l'account di archiviazione usato per la distribuzione.
Nel riquadro destro passare a Assegnazioni di ruolo. Verificare che l'utente della distribuzione disponga di tutti i ruoli configurati.
Nel portale di Azure passare a Ruoli e amministratori di Microsoft Entra e assegnare l'autorizzazione di amministratore di applicazioni cloud a livello di tenant di Microsoft Entra.

Nota

L'autorizzazione Amministratore applicazione cloud è temporaneamente necessaria per creare l'entità servizio. Dopo la distribuzione, questa autorizzazione può essere rimossa.

Passaggi successivi

Dopo aver configurato il primo server nel cluster, è possibile eseguire la distribuzione usando portale di Azure:

Eseguire la distribuzione con portale di Azure.

Condividi tramite