Registrare i server e assegnare le autorizzazioni per la distribuzione di Azure Stack HCI, versione 23H2
Si applica a: Azure Stack HCI, versione 23H2
Questo articolo descrive come registrare i server Azure Stack HCI e quindi configurare le autorizzazioni necessarie per distribuire un cluster Azure Stack HCI versione 23H2.
Prerequisiti
Prima di iniziare, assicurarsi di aver completato i prerequisiti seguenti:
Soddisfare i prerequisiti e completare l'elenco di controllo per la distribuzione.
Preparare l'ambiente Active Directory .
Installare il sistema operativo Azure Stack HCI versione 23H2 in ogni server.
Registrare la sottoscrizione con i provider di risorse necessari. È possibile usare il portale di Azure o Azure PowerShell per la registrazione. Per registrare i provider di risorse seguenti, è necessario essere un proprietario o un collaboratore nella sottoscrizione:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Nota
Si presuppone che la persona che registra la sottoscrizione di Azure con i provider di risorse sia una persona diversa da quella che registra i server Azure Stack HCI con Arc.
Se si registrano i server come risorse Arc, assicurarsi di disporre delle autorizzazioni seguenti per il gruppo di risorse in cui è stato effettuato il provisioning dei server:
- Onboarding di Azure Connected Machine
- Amministratore delle risorse di Azure Connected Machine
Per verificare di avere questi ruoli, seguire questa procedura nella portale di Azure:
- Passare alla sottoscrizione usata per la distribuzione di Azure Stack HCI.
- Passare al gruppo di risorse in cui si prevede di registrare i server.
- Nel riquadro a sinistra passare a Controllo di accesso (IAM).
- Nel riquadro destro passare alle assegnazioni di ruolo. Verificare che siano assegnati i ruoli Di onboarding di Azure Connected Machine e Amministratore risorse di Azure Connected Machine.
Controllare i criteri di Azure. Assicurati che:
- I criteri di Azure non bloccano l'installazione delle estensioni.
- I criteri di Azure non bloccano la creazione di determinati tipi di risorse in un gruppo di risorse.
- I criteri di Azure non bloccano la distribuzione delle risorse in determinate posizioni.
Registrare i server con Azure Arc
Importante
Eseguire questi passaggi in ogni server Azure Stack HCI che si intende raggruppare.
Installare lo script di registrazione arc da PSGallery. Questo passaggio è obbligatorio solo se si usa un ISO del sistema operativo precedente a 2408. Per altre informazioni, vedere Novità della versione 2408.
#Register PSGallery as a trusted repo Register-PSRepository -Default -InstallationPolicy Trusted #Install required PowerShell modules in your node for registration Install-Module Az.Accounts -RequiredVersion 3.0.0 Install-Module Az.Resources -RequiredVersion 6.12.0 Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0 #Install Arc registration script from PSGallery Install-Module AzsHCI.ARCinstaller
Impostare i parametri. Lo script accetta i parametri seguenti:
Parametri Descrizione SubscriptionID
ID della sottoscrizione usata per registrare i server con Azure Arc. TenantID
ID tenant usato per registrare i server con Azure Arc. Passare all'ID Microsoft Entra e copiare la proprietà ID tenant. ResourceGroup
Gruppo di risorse precreato per la registrazione arc dei server. Se non esiste, viene creato un gruppo di risorse. Region
Area di Azure usata per la registrazione. Vedere le aree supportate che è possibile usare. AccountID
L'utente che registra e distribuisce il cluster. ProxyServer
Parametro facoltativo. Indirizzo del server proxy quando è necessario per la connettività in uscita. DeviceCode
Il codice del dispositivo visualizzato nella console in https://microsoft.com/devicelogin
e viene usato per accedere al dispositivo.#Define the subscription where you want to register your server as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your server as Arc device $RG = "YourResourceGroupName" #Define the region you will use to register your server as Arc device $Region = "eastus" #Define the tenant you will use to register your server as Arc device $Tenant = "YourTenantID" #Define the proxy address if your HCI deployment access internet via proxy $ProxyServer = "http://proxyaddress:port"
Connettersi all'account Azure e impostare la sottoscrizione. Sarà necessario aprire il browser nel client che si sta usando per connettersi al server e aprire questa pagina:
https://microsoft.com/devicelogin
e immettere il codice fornito nell'output dell'interfaccia della riga di comando di Azure per l'autenticazione. Ottenere il token di accesso e l'ID dell'account per la registrazione.#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id
Eseguire infine lo script di registrazione arc. L'esecuzione dello script richiede alcuni minuti.
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
Se si accede a Internet tramite un server proxy, è necessario passare il
-proxy
parametro e fornire il server proxy comehttp://<Proxy server FQDN or IP address>:Port
quando si esegue lo script.Per un elenco delle aree di Azure supportate, vedere Requisiti di Azure.
Al termine dello script in tutti i server, verificare che:
I server vengono registrati con Arc. Passare al portale di Azure e quindi passare al gruppo di risorse associato alla registrazione. I server vengono visualizzati all'interno del gruppo di risorse specificato come risorse del tipo Machine - Azure Arc .
Le estensioni obbligatorie di Azure Stack HCI vengono installate nei server. Nel gruppo di risorse selezionare il server registrato. Passare a Estensioni. Le estensioni obbligatorie sono visualizzate nel riquadro destro.
Assegnare le autorizzazioni necessarie per la distribuzione
Questa sezione descrive come assegnare le autorizzazioni di Azure per la distribuzione dal portale di Azure.
Nella portale di Azure passare alla sottoscrizione usata per registrare i server. Nel riquadro a sinistra, selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare attraverso le schede e assegnare le autorizzazioni di ruolo seguenti all'utente che distribuisce il cluster:
- Amministratore di Azure Stack HCI
- Lettore
Nel portale di Azure passare al gruppo di risorse usato per registrare i server nella sottoscrizione. Nel riquadro a sinistra, selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare attraverso le schede e assegnare le autorizzazioni seguenti all'utente che distribuisce il cluster:
- Amministratore accesso ai dati di Key Vault: questa autorizzazione è necessaria per gestire le autorizzazioni del piano dati per l'insieme di credenziali delle chiavi usato per la distribuzione.
- Key Vault Secrets Officer: questa autorizzazione è necessaria per leggere e scrivere segreti nell'insieme di credenziali delle chiavi usato per la distribuzione.
- Collaboratore key Vault: questa autorizzazione è necessaria per creare l'insieme di credenziali delle chiavi usato per la distribuzione.
- Collaboratore account di archiviazione: questa autorizzazione è necessaria per creare l'account di archiviazione usato per la distribuzione.
Nel riquadro destro passare a Assegnazioni di ruolo. Verificare che l'utente della distribuzione disponga di tutti i ruoli configurati.
Nel portale di Azure passare a Ruoli e amministratori di Microsoft Entra e assegnare l'autorizzazione di amministratore di applicazioni cloud a livello di tenant di Microsoft Entra.
Nota
L'autorizzazione Amministratore applicazione cloud è temporaneamente necessaria per creare l'entità servizio. Dopo la distribuzione, questa autorizzazione può essere rimossa.
Passaggi successivi
Dopo aver configurato il primo server nel cluster, è possibile eseguire la distribuzione usando portale di Azure: