Rejestrowanie serwerów i przypisywanie uprawnień do wdrożenia usługi Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób rejestrowania serwerów rozwiązania Azure Stack HCI, a następnie konfigurowania wymaganych uprawnień do wdrożenia klastra usługi Azure Stack HCI w wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:

• Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia.

• Przygotuj środowisko usługi Active Directory .

• Zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdym serwerze.

• Zarejestruj subskrypcję u wymaganych dostawców zasobów (RPS). Do zarejestrowania można użyć Azure Portal lub Azure PowerShell. Aby zarejestrować następujące adresy IP zasobów, musisz być właścicielem lub współautorem subskrypcji:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Uwaga

  Zakłada się, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż ta, która rejestruje serwery rozwiązania Azure Stack HCI w usłudze Arc.

• Jeśli rejestrujesz serwery jako zasoby usługi Arc, upewnij się, że masz następujące uprawnienia w grupie zasobów, w której zainicjowano obsługę administracyjną serwerów:

  • Dołączanie połączonej maszyny platformy Azure
  • Administrator zasobów połączonej maszyny platformy Azure

  Aby sprawdzić, czy masz te role, wykonaj następujące kroki w Azure Portal:

  1. Przejdź do subskrypcji używanej na potrzeby wdrożenia rozwiązania Azure Stack HCI.
  2. Przejdź do grupy zasobów, w której planujesz zarejestrować serwery.
  3. W okienku po lewej stronie przejdź do pozycji Access Control (IAM).
  4. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy masz przypisane role dołączania do maszyny połączonej platformy Azure i administratora zasobów połączonej maszyny platformy Azure .

Rejestrowanie serwerów w usłudze Azure Arc

Ważne

Uruchom te kroki na każdym serwerze usługi Azure Stack HCI, który zamierzasz klastrować.

1. Zainstaluj skrypt rejestracji usługi Arc z galerii PSGallery.

   Program PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   Dane wyjściowe

   Oto przykładowe dane wyjściowe instalacji:

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. Ustaw parametry. Skrypt przyjmuje następujące parametry:

   Parametry	Opis
   SubscriptionID	Identyfikator subskrypcji używanej do rejestrowania serwerów w usłudze Azure Arc.
   TenantID	Identyfikator dzierżawy używany do rejestrowania serwerów w usłudze Azure Arc. Przejdź do Tożsamość Microsoft Entra i skopiuj właściwość identyfikatora dzierżawy.
   ResourceGroup	Grupa zasobów wstępnie utworzona na potrzeby rejestracji w usłudze Arc serwerów. Jeśli grupa zasobów nie istnieje, zostanie utworzona grupa zasobów.
   Region	Region świadczenia usługi Azure używany do rejestracji. Zobacz Obsługiwane regiony , których można użyć.
   AccountID	Użytkownik, który rejestruje i wdraża klaster.
   DeviceCode	Kod urządzenia wyświetlany w konsoli pod https://microsoft.com/devicelogin adresem i służy do logowania się do urządzenia.

   Program PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   Dane wyjściowe

   Oto przykładowe dane wyjściowe parametrów:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. Połącz się z kontem platformy Azure i ustaw subskrypcję. Musisz otworzyć przeglądarkę na kliencie, którego używasz, aby nawiązać połączenie z serwerem i otworzyć tę stronę: https://microsoft.com/devicelogin i wprowadzić podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.

   Program PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Dane wyjściowe

   Oto przykładowe dane wyjściowe ustawiania subskrypcji i uwierzytelniania:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.

   Program PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   Jeśli uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz przekazać -proxy parametr i podać serwer proxy tak, jak http://<Proxy server FQDN or IP address>:Port podczas uruchamiania skryptu.

   Dane wyjściowe

   Oto przykładowe dane wyjściowe pomyślnej rejestracji serwerów:

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. Po pomyślnym zakończeniu działania skryptu na wszystkich serwerach sprawdź, czy:

   1. Serwery są zarejestrowane w usłudze Arc. Przejdź do Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Serwery są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .

      

   2. Obowiązkowe rozszerzenia rozwiązania Azure Stack HCI są instalowane na serwerach. W grupie zasobów wybierz zarejestrowany serwer. Przejdź do pozycji Rozszerzenia. Obowiązkowe rozszerzenia są wyświetlane w okienku po prawej stronie.

      

Przypisywanie wymaganych uprawnień do wdrożenia

W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z Azure Portal.

1. W Azure Portal przejdź do subskrypcji użytej do zarejestrowania serwerów. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

2. Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża klaster:

   • Azure Stack HCI Administrator
   • Administrator aplikacji w chmurze
   • Czytelnik

   Uwaga

   Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.

3. W Azure Portal przejdź do grupy zasobów użytej do zarejestrowania serwerów w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

4. Przejdź przez karty i przypisz następujące uprawnienia do użytkownika, który wdraża klaster:

   • Key Vault Administrator dostępu do danych: to uprawnienie jest wymagane do zarządzania uprawnieniami płaszczyzny danych do magazynu kluczy używanego do wdrożenia.
   • Key Vault Secrets Officer: to uprawnienie jest wymagane do odczytywania i zapisywania wpisów tajnych w magazynie kluczy używanym do wdrożenia.
   • Key Vault Współautor: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
   • Współautor konta magazynu: to uprawnienie jest wymagane do utworzenia konta magazynu używanego do wdrożenia.

5. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.

Następne kroki

Po skonfigurowaniu pierwszego serwera w klastrze możesz przystąpić do wdrażania przy użyciu Azure Portal:

• Wdrażanie przy użyciu Azure Portal.