Registrare i server e assegnare le autorizzazioni per la distribuzione di Azure Stack HCI, versione 23H2

Articolo
04/22/2024

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come registrare i server HCI di Azure Stack e quindi configurare le autorizzazioni necessarie per distribuire un cluster Azure Stack HCI versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di aver completato i prerequisiti seguenti:

Soddisfare i prerequisiti e completare l'elenco di controllo di distribuzione.
Preparare l'ambiente Active Directory .
Installare il sistema operativo Azure Stack HCI versione 23H2 in ogni server.
Registrare la sottoscrizione con i provider di risorse necessari . È possibile usare il portale di Azure o il Azure PowerShell per registrare. È necessario essere un proprietario o collaboratore nella sottoscrizione per registrare gli indirizzi IP di risorsa seguenti:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Nota

Il presupposto è che la persona che registra la sottoscrizione di Azure con i provider di risorse è una persona diversa da quella che sta registrando i server HCI di Azure Stack con Arc.
Se si registrano i server come risorse Arc, assicurarsi di disporre delle autorizzazioni seguenti nel gruppo di risorse in cui sono stati sottoposti il provisioning dei server:
- Onboarding di Azure Connected Machine
- Amministratore delle risorse di Azure Connected Machine
Per verificare che siano presenti questi ruoli, seguire questa procedura nella portale di Azure:
1. Passare alla sottoscrizione usata per la distribuzione di Azure Stack HCI.
2. Passare al gruppo di risorse in cui si prevede di registrare i server.
3. Nel riquadro sinistro passare a Controllo di accesso (IAM).
4. Nel riquadro destro passare alle assegnazioni di ruolo. Verificare che siano assegnati i ruoli Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator .

Registrare i server con Azure Arc

Importante

Eseguire questi passaggi in ogni server HCI di Azure Stack che si intende eseguire nel cluster.

Installare lo script di registrazione Arc da PSGallery.

PowerShell
Output

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Ecco un output di esempio dell'installazione:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Impostare i parametri. Lo script accetta i parametri seguenti:

Parametri	Descrizione
`SubscriptionID`	ID della sottoscrizione usata per registrare i server con Azure Arc.
`TenantID`	ID tenant usato per registrare i server con Azure Arc. Passare alla Microsoft Entra ID e copiare la proprietà ID tenant.
`ResourceGroup`	Gruppo di risorse precreato per la registrazione arc dei server. Se non esiste un gruppo di risorse, viene creato un gruppo di risorse.
`Region`	Area di Azure usata per la registrazione. Vedere le aree supportate che possono essere usate.
`AccountID`	Utente che registra e distribuisce il cluster.
`DeviceCode`	Il codice del dispositivo visualizzato nella console in `https://microsoft.com/devicelogin` e viene usato per accedere al dispositivo.

PowerShell
Output

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Ecco un output di esempio dei parametri:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Connettersi all'account Azure e impostare la sottoscrizione. È necessario aprire il browser nel client che si sta usando per connettersi al server e aprire questa pagina: https://microsoft.com/devicelogin e immettere il codice specificato nell'output dell'interfaccia della riga di comando di Azure per l'autenticazione. Ottenere il token di accesso e l'ID dell'account per la registrazione.

PowerShell
Output

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Ecco un output di esempio dell'impostazione della sottoscrizione e dell'autenticazione:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Eseguire infine lo script di registrazione Arc. L'esecuzione dello script richiede alcuni minuti.

PowerShell
Output

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Se si accede a Internet tramite un server proxy, è necessario passare il parametro e fornire il -proxy server proxy come http://<Proxy server FQDN or IP address>:Port quando si esegue lo script.

Ecco un output di esempio di una registrazione riuscita dei server:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Al termine dello script in tutti i server, verificare che:
1. I server vengono registrati con Arc. Passare alla portale di Azure e quindi passare al gruppo di risorse associato alla registrazione. I server vengono visualizzati all'interno del gruppo di risorse specificato come Risorse di tipo Machine - Azure Arc .
2. Le estensioni di Azure Stack HCI obbligatorie vengono installate nei server. Nel gruppo di risorse selezionare il server registrato. Passare alle estensioni. Le estensioni obbligatorie sono visualizzate nel riquadro destro.

Assegnare le autorizzazioni necessarie per la distribuzione

Questa sezione descrive come assegnare le autorizzazioni di Azure per la distribuzione dalla portale di Azure.

Nella portale di Azure passare alla sottoscrizione usata per registrare i server. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e dall'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare le schede e assegnare le autorizzazioni di ruolo seguenti all'utente che distribuisce il cluster:
- Amministratore di Azure Stack HCI
- Amministratore di applicazioni cloud
- Lettore
Nota

L'autorizzazione Amministratore applicazione cloud è temporaneamente necessaria per creare l'entità servizio. Dopo la distribuzione, questa autorizzazione può essere rimossa.
Nella portale di Azure passare al gruppo di risorse usato per registrare i server nella sottoscrizione. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e dall'elenco a discesa selezionare Aggiungi assegnazione di ruolo.
Passare le schede e assegnare le autorizzazioni seguenti all'utente che distribuisce il cluster:
- Key Vault Amministratore accesso dati: questa autorizzazione è necessaria per gestire le autorizzazioni del piano dati per l'insieme di credenziali delle chiavi usato per la distribuzione.
- Key Vault Secret Officer: questa autorizzazione è necessaria per leggere e scrivere segreti nell'insieme di credenziali delle chiavi usato per la distribuzione.
- Key Vault Collaboratore: questa autorizzazione è necessaria per creare l'insieme di credenziali delle chiavi usato per la distribuzione.
- Collaboratore dell'account di archiviazione: questa autorizzazione è necessaria per creare l'account di archiviazione usato per la distribuzione.
Nel riquadro destro passare a Assegnazioni di ruolo. Verificare che l'utente di distribuzione disponga di tutti i ruoli configurati.

Passaggi successivi

Dopo aver configurato il primo server nel cluster, è possibile distribuire usando portale di Azure:

Distribuire usando portale di Azure.