Rejestrowanie serwerów i przypisywanie uprawnień do wdrożenia usługi Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
W tym artykule opisano sposób rejestrowania serwerów rozwiązania Azure Stack HCI, a następnie konfigurowania wymaganych uprawnień do wdrożenia klastra usługi Azure Stack HCI w wersji 23H2.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:
Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia.
Przygotuj środowisko usługi Active Directory .
Zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdym serwerze.
Zarejestruj subskrypcję u wymaganych dostawców zasobów (RPS). Do zarejestrowania można użyć Azure Portal lub Azure PowerShell. Aby zarejestrować następujące adresy IP zasobów, musisz być właścicielem lub współautorem subskrypcji:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Uwaga
Zakłada się, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż ta, która rejestruje serwery rozwiązania Azure Stack HCI w usłudze Arc.
Jeśli rejestrujesz serwery jako zasoby usługi Arc, upewnij się, że masz następujące uprawnienia w grupie zasobów, w której zainicjowano obsługę administracyjną serwerów:
- Dołączanie połączonej maszyny platformy Azure
- Administrator zasobów połączonej maszyny platformy Azure
Aby sprawdzić, czy masz te role, wykonaj następujące kroki w Azure Portal:
- Przejdź do subskrypcji używanej na potrzeby wdrożenia rozwiązania Azure Stack HCI.
- Przejdź do grupy zasobów, w której planujesz zarejestrować serwery.
- W okienku po lewej stronie przejdź do pozycji Access Control (IAM).
- W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy masz przypisane role dołączania do maszyny połączonej platformy Azure i administratora zasobów połączonej maszyny platformy Azure .
Rejestrowanie serwerów w usłudze Azure Arc
Ważne
Uruchom te kroki na każdym serwerze usługi Azure Stack HCI, który zamierzasz klastrować.
Zainstaluj skrypt rejestracji usługi Arc z galerii PSGallery.
#Register PSGallery as a trusted repo Register-PSRepository -Default -InstallationPolicy Trusted #Install Arc registration script from PSGallery Install-Module AzsHCI.ARCinstaller #Install required PowerShell modules in your node for registration Install-Module Az.Accounts -Force Install-Module Az.ConnectedMachine -Force Install-Module Az.Resources -Force
Ustaw parametry. Skrypt przyjmuje następujące parametry:
Parametry Opis SubscriptionID
Identyfikator subskrypcji używanej do rejestrowania serwerów w usłudze Azure Arc. TenantID
Identyfikator dzierżawy używany do rejestrowania serwerów w usłudze Azure Arc. Przejdź do Tożsamość Microsoft Entra i skopiuj właściwość identyfikatora dzierżawy. ResourceGroup
Grupa zasobów wstępnie utworzona na potrzeby rejestracji w usłudze Arc serwerów. Jeśli grupa zasobów nie istnieje, zostanie utworzona grupa zasobów. Region
Region świadczenia usługi Azure używany do rejestracji. Zobacz Obsługiwane regiony , których można użyć. AccountID
Użytkownik, który rejestruje i wdraża klaster. DeviceCode
Kod urządzenia wyświetlany w konsoli pod https://microsoft.com/devicelogin
adresem i służy do logowania się do urządzenia.#Define the subscription where you want to register your server as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your server as Arc device $RG = "YourResourceGroupName" #Define the region you will use to register your server as Arc device $Region = "eastus" #Define the tenant you will use to register your server as Arc device $Tenant = "YourTenantID"
Połącz się z kontem platformy Azure i ustaw subskrypcję. Musisz otworzyć przeglądarkę na kliencie, którego używasz, aby nawiązać połączenie z serwerem i otworzyć tę stronę:
https://microsoft.com/devicelogin
i wprowadzić podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id
Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
Jeśli uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz przekazać
-proxy
parametr i podać serwer proxy tak, jakhttp://<Proxy server FQDN or IP address>:Port
podczas uruchamiania skryptu.Po pomyślnym zakończeniu działania skryptu na wszystkich serwerach sprawdź, czy:
Serwery są zarejestrowane w usłudze Arc. Przejdź do Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Serwery są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .
Obowiązkowe rozszerzenia rozwiązania Azure Stack HCI są instalowane na serwerach. W grupie zasobów wybierz zarejestrowany serwer. Przejdź do pozycji Rozszerzenia. Obowiązkowe rozszerzenia są wyświetlane w okienku po prawej stronie.
Przypisywanie wymaganych uprawnień do wdrożenia
W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z Azure Portal.
W Azure Portal przejdź do subskrypcji użytej do zarejestrowania serwerów. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.
Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża klaster:
- Azure Stack HCI Administrator
- Administrator aplikacji w chmurze
- Czytelnik
Uwaga
Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.
W Azure Portal przejdź do grupy zasobów użytej do zarejestrowania serwerów w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.
Przejdź przez karty i przypisz następujące uprawnienia do użytkownika, który wdraża klaster:
- Key Vault Administrator dostępu do danych: to uprawnienie jest wymagane do zarządzania uprawnieniami płaszczyzny danych do magazynu kluczy używanego do wdrożenia.
- Key Vault Secrets Officer: to uprawnienie jest wymagane do odczytywania i zapisywania wpisów tajnych w magazynie kluczy używanym do wdrożenia.
- Key Vault Współautor: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
- Współautor konta magazynu: to uprawnienie jest wymagane do utworzenia konta magazynu używanego do wdrożenia.
W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.
Następne kroki
Po skonfigurowaniu pierwszego serwera w klastrze możesz przystąpić do wdrażania przy użyciu Azure Portal:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla