Rejestrowanie maszyn i przypisywanie uprawnień do lokalnego wdrożenia platformy Azure

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób rejestrowania maszyn lokalnych platformy Azure, a następnie konfigurowania wymaganych uprawnień do wdrażania usługi Azure Local.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:

Wymagania wstępne lokalnej maszyny Azure

• Wypełnij wymagania wstępne i ukończ listę kontrolną wdrożenia dla danego środowiska.
• Przygotowanie środowiska usługi Active Directory .
• Pobierz oprogramowanie i zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdej maszynie.

Wymagania wstępne platformy Azure

• Zarejestruj wymaganych dostawców zasobów. Upewnij się, że subskrypcja platformy Azure jest zarejestrowana u wymaganych dostawców zasobów. Aby się zarejestrować, musisz być właścicielem lub współautorem subskrypcji. Możesz również poprosić administratora o zarejestrowanie się.

  Uruchom następujące polecenia programu PowerShell , aby zarejestrować:

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  

  Uwaga

  Założeniem jest to, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż osoba rejestrująca maszyny lokalne platformy Azure w usłudze Arc.

• Utwórz grupę zasobów. Wykonaj kroki tworzenia grupy zasobów , w której chcesz zarejestrować maszyny. Zanotuj nazwę grupy zasobów i skojarzony identyfikator subskrypcji.

• Pobierz identyfikator dzierżawy. Wykonaj kroki opisane w temacie Pobierz identyfikator dzierżawy usługi Microsoft Entra za pośrednictwem portalu Azure:

  1. W portalu Azure przejdź do Microsoft Entra ID, a następnie Właściwości.

  2. Przewiń w dół do sekcji Identyfikator dzierżawy i skopiuj wartość Identyfikator dzierżawy , aby użyć jej później.

• Sprawdź uprawnienia. Podczas rejestrowania maszyn jako zasobów usługi Arc upewnij się, że jesteś właścicielem grupy zasobów lub masz następujące uprawnienia w grupie zasobów, w której aprowizowane są maszyny:

  • Azure Connected Machine Onboarding.
  • Azure Connected Machine Resource Administrator.

  Aby sprawdzić, czy masz te role, wykonaj następujące kroki w witrynie Azure Portal:

  1. Przejdź do subskrypcji użytej do wdrożenia lokalnego platformy Azure.

  2. Przejdź do grupy zasobów, w której planujesz zarejestrować maszynę.

  3. W okienku po lewej stronie przejdź do Kontrola dostępu (IAM).

  4. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy masz przypisane role Azure Connected Machine Onboarding i Azure Connected Machine Resource Administrator.

• Sprawdź zasady platformy Azure. Upewnij się, że:

  • Zasady platformy Azure nie blokują instalacji rozszerzeń.
  • Zasady platformy Azure nie blokują tworzenia niektórych typów zasobów w grupie zasobów.
  • Zasady platformy Azure nie blokują wdrażania zasobów w określonych lokalizacjach.

Rejestrowanie maszyn w usłudze Azure Arc

Ważne

Uruchom te kroki jako administrator lokalny na każdej maszynie lokalnej platformy Azure, którą zamierzasz klastrować.

1. Ustaw parametry. Skrypt przyjmuje następujące parametry:

   Parametry	opis
   SubscriptionID	Identyfikator subskrypcji używanej do rejestrowania maszyn w usłudze Azure Arc.
   TenantID	Identyfikator dzierżawy używany do rejestrowania maszyn w usłudze Azure Arc. Przejdź do systemu Microsoft Entra ID i skopiuj właściwość identyfikatora dzierżawy.
   ResourceGroup	Grupa zasobów utworzona wcześniej dla rejestracji maszyn w ramach Arc. Jeśli grupa zasobów nie istnieje, zostanie utworzona.
   Region	Region platformy Azure używany do rejestracji. Zobacz Obsługiwane regiony , których można użyć.
   AccountID	Użytkownik, który rejestruje i wdraża wystąpienie.
   ProxyServer	Opcjonalny parametr. Adres serwera proxy, jeśli jest wymagany do łączności wychodzącej.
   DeviceCode	Kod urządzenia jest wyświetlany w konsoli https://microsoft.com/devicelogin i służy do logowania się na urządzeniu.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Wyjście

   Oto przykładowe dane wyjściowe parametrów:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Połącz się z kontem platformy Azure i ustaw subskrypcję. Otwórz przeglądarkę na kliencie, którego używasz do nawiązywania połączenia z maszyną i otwórz tę stronę: https://microsoft.com/devicelogin i wprowadź podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Wyjście

   Oto przykładowe dane wyjściowe ustawiania subskrypcji i uwierzytelniania:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                ----------- 
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   

   Jeśli uzyskujesz dostęp do Internetu przy użyciu serwera proxy, musisz dodać -Proxy parametr i podać serwer proxy w formacie http://<Proxy server FQDN or IP address>:Port podczas uruchamiania skryptu.

   Aby uzyskać listę obsługiwanych regionów świadczenia usługi Azure, zobacz Wymagania dotyczące platformy Azure.

   Wyjście

   Oto przykładowe dane wyjściowe pomyślnej rejestracji maszyn:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
   Triggering bootstrap on the device...
   Waiting for bootstrap to complete... Current Status: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete... Current Status: InProgress
   Waiting for bootstrap to complete... Current Status: Succeeded
   Bootstrap succeeded.
   
   Triggering bootstrap log collection as a best effort.
   Version Response                                                    
   ------- --------                                                    
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   
   
   PS C:\Users\Administrator>
   

4. Po pomyślnym zakończeniu działania skryptu na wszystkich maszynach sprawdź, czy:

   1. Maszyny są zarejestrowane w usłudze Arc. Przejdź do witryny Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Maszyny są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .

      

Uwaga

Po zarejestrowaniu maszyny lokalnej platformy Azure w usłudze Azure Arc jedynym sposobem cofnięcia rejestracji jest ponowne zainstalowanie systemu operacyjnego na maszynie.

Przypisywanie wymaganych uprawnień do wdrożenia

W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z witryny Azure Portal.

1. W portalu Azure przejdź do subskrypcji używanej do rejestrowania maszyn. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

2. Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża wystąpienie:

   • Azure Stack HCI Administrator
   • Czytelnik

3. W witrynie Azure Portal przejdź do grupy zasobów używanej do rejestrowania maszyn w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

4. Przejdź przez karty i przypisz następujące uprawnienia użytkownikowi, który wdraża instancję.

   • Administrator dostępu do danych Key Vault: To uprawnienie jest wymagane do zarządzania uprawnieniami dotyczącymi dostępu do danych w magazynie kluczy używanym do wdrożenia.
   • Oficer ds. tajemnic Key Vault: to uprawnienie jest wymagane do odczytywania i zapisywania tajemnic w magazynie kluczy używanym do procesów wdrożeniowych.
   • Współautor usługi Key Vault: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
   • Współautor konta magazynowego: Ten poziom uprawnień jest wymagany do utworzenia konta magazynowego używanego podczas wdrażania.

5. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.

6. W portalu Azure przejdź do Microsoft Entra Roles and Administrators, czyli Role i administratorzy Entra firmy Microsoft, i przypisz uprawnienie roli Administrator aplikacji w chmurze na poziomie dzierżawy Entra firmy Microsoft.

   

   Uwaga

   Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.

Następne kroki

Po skonfigurowaniu pierwszej maszyny w instancji możesz przystąpić do wdrażania przy użyciu portalu Azure.

• Wdrażanie przy użyciu witryny Azure Portal.