Rejestrowanie serwerów i przypisywanie uprawnień do wdrożenia usługi Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób rejestrowania serwerów rozwiązania Azure Stack HCI, a następnie konfigurowania wymaganych uprawnień do wdrażania klastra usługi Azure Stack HCI w wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:

• Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia.

• Przygotuj środowisko usługi Active Directory.

• Zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdym serwerze.

• Zarejestruj subskrypcję u wymaganych dostawców zasobów (RPs). Do zarejestrowania można użyć witryny Azure Portal lub programu Azure PowerShell. Aby zarejestrować następujące adresy RPS zasobów, musisz być właścicielem lub współautorem subskrypcji:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Uwaga

  Założeniem jest to, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż ta, która rejestruje serwery rozwiązania Azure Stack HCI w usłudze Arc.

• Jeśli rejestrujesz serwery jako zasoby usługi Arc, upewnij się, że masz następujące uprawnienia w grupie zasobów, w której zainicjowano obsługę administracyjną serwerów:

  • Dołączanie połączonej maszyny platformy Azure
  • Administrator zasobów Azure Connected Machine

  Aby sprawdzić, czy masz te role, wykonaj następujące kroki w witrynie Azure Portal:

  1. Przejdź do subskrypcji używanej do wdrożenia rozwiązania Azure Stack HCI.
  2. Przejdź do grupy zasobów, w której planujesz zarejestrować serwery.
  3. W okienku po lewej stronie przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
  4. W okienku po prawej stronie przejdź do przypisań ról. Sprawdź, czy masz przypisane role dołączania maszyny połączonej platformy Azure i administratora zasobów połączonej maszyny platformy Azure.

• Sprawdź zasady platformy Azure. Upewnij się, że:

  • Zasady platformy Azure nie blokują instalacji rozszerzeń.
  • Zasady platformy Azure nie blokują tworzenia niektórych typów zasobów w grupie zasobów.
  • Zasady platformy Azure nie blokują wdrażania zasobów w określonych lokalizacjach.

Rejestrowanie serwerów w usłudze Azure Arc

Ważne

Uruchom te kroki na każdym serwerze rozwiązania Azure Stack HCI, który zamierzasz klastrować.

1. Zainstaluj skrypt rejestracji usługi Arc z witryny PSGallery. Ten krok jest wymagany tylko wtedy, gdy używasz iso systemu operacyjnego starszego niż 2408. Aby uzyskać więcej informacji, zobacz Co nowego w wersji 2408.

   Program PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 3.0.0
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

   Wyjście

   Oto przykładowe dane wyjściowe instalacji:

   PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 3.0.0
   PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   

2. Ustaw parametry. Skrypt przyjmuje następujące parametry:

   Parametry	opis
   SubscriptionID	Identyfikator subskrypcji używanej do rejestrowania serwerów w usłudze Azure Arc.
   TenantID	Identyfikator dzierżawy używany do rejestrowania serwerów w usłudze Azure Arc. Przejdź do identyfikatora Entra firmy Microsoft i skopiuj właściwość identyfikatora dzierżawy.
   ResourceGroup	Grupa zasobów wstępnie utworzona na potrzeby rejestracji w usłudze Arc serwerów. Jeśli grupa zasobów nie istnieje, zostanie utworzona grupa zasobów.
   Region	Region platformy Azure używany do rejestracji. Zobacz Obsługiwane regiony, których można użyć.
   AccountID	Użytkownik, który rejestruje i wdraża klaster.
   ProxyServer	Opcjonalny parametr. Adres serwera proxy, jeśli jest wymagany do łączności wychodzącej.
   DeviceCode	Kod urządzenia wyświetlany w konsoli https://microsoft.com/devicelogin programu i służy do logowania się na urządzeniu.

   Program PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Wyjście

   Oto przykładowe dane wyjściowe parametrów:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

3. Połącz się z kontem platformy Azure i ustaw subskrypcję. Musisz otworzyć przeglądarkę na kliencie, którego używasz, aby nawiązać połączenie z serwerem i otworzyć tę stronę: https://microsoft.com/devicelogin i wprowadzić podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.

   Program PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Wyjście

   Oto przykładowe dane wyjściowe ustawiania subskrypcji i uwierzytelniania:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.

   Program PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Jeśli uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz przekazać -proxy parametr i podać serwer proxy tak, jak http://<Proxy server FQDN or IP address>:Port podczas uruchamiania skryptu.

   Aby uzyskać listę obsługiwanych regionów świadczenia usługi Azure, zobacz Wymagania dotyczące platformy Azure.

   Wyjście

   Oto przykładowe dane wyjściowe pomyślnej rejestracji serwerów:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

5. Po pomyślnym zakończeniu działania skryptu na wszystkich serwerach sprawdź, czy:

   1. Serwery są zarejestrowane w usłudze Arc. Przejdź do witryny Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Serwery są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .

      

   2. Obowiązkowe rozszerzenia rozwiązania Azure Stack HCI są instalowane na serwerach. W grupie zasobów wybierz zarejestrowany serwer. Przejdź do pozycji Rozszerzenia. Obowiązkowe rozszerzenia są wyświetlane w okienku po prawej stronie.

      

Przypisywanie wymaganych uprawnień do wdrożenia

W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z witryny Azure Portal.

1. W witrynie Azure Portal przejdź do subskrypcji użytej do zarejestrowania serwerów. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

2. Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża klaster:

   • Azure Stack HCI Administrator
   • Czytelnik

3. W witrynie Azure Portal przejdź do grupy zasobów używanej do rejestrowania serwerów w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

4. Przejdź przez karty i przypisz następujące uprawnienia do użytkownika, który wdraża klaster:

   • Administrator dostępu do danych usługi Key Vault: to uprawnienie jest wymagane do zarządzania uprawnieniami płaszczyzny danych do magazynu kluczy używanego do wdrożenia.
   • Oficer wpisów tajnych usługi Key Vault: to uprawnienie jest wymagane do odczytywania i zapisywania wpisów tajnych w magazynie kluczy używanym do wdrożenia.
   • Współautor usługi Key Vault: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
   • Współautor konta magazynu: to uprawnienie jest wymagane do utworzenia konta magazynu używanego do wdrożenia.

5. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.

6. W witrynie Azure Portal przejdź do pozycji Microsoft Entra Roles and Administrators (Role i administratorzy usługi Microsoft Entra) i przypisz uprawnienie roli Administrator aplikacji w chmurze na poziomie dzierżawy firmy Microsoft Entra.

   

   Uwaga

   Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.

Następne kroki

Po skonfigurowaniu pierwszego serwera w klastrze możesz przystąpić do wdrażania przy użyciu witryny Azure Portal:

• Wdrażanie przy użyciu witryny Azure Portal.