Compartilhar via

Registrar seus computadores e atribuir permissões para implantação local do Azure

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como registrar seus computadores locais do Azure e, em seguida, configurar as permissões necessárias para implantar o Azure Local.

Pré-requisitos

Antes de começar, certifique-se de concluir os seguintes pré-requisitos:

Pré-requisitos do computador local do Azure

Pré-requisitos do Azure

  • Registre os provedores de recursos necessários. Verifique se sua assinatura do Azure está registrada nos provedores de recursos necessários. Para se registrar, você deve ser um proprietário ou colaborador em sua assinatura. Você também pode solicitar que um administrador se registre.

    Execute os seguintes comandos do PowerShell para registrar:

    Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"

    Observação

    • A suposição é que a pessoa que registra a assinatura do Azure com os provedores de recursos é uma pessoa diferente daquela que está registrando os computadores locais do Azure com o Arc.
    • Microsoft.Insights O provedor de recursos é necessário para monitoramento e registro em log. Se esse RP não estiver registrado, a conta de diagnóstico e o log de auditoria do Key Vault falharão durante a validação.

  • Crie um grupo de recursos. Siga as etapas para criar um grupo de recursos em que você deseja registrar seus computadores. Anote o nome do grupo de recursos e a ID da assinatura associada.

  • Obtenha a ID do locatário. Siga as etapas para obter a ID do locatário do Microsoft Entra por meio do portal do Azure:

    1. No portal do Azure, acesse Microsoft Entra ID>Propriedades.

    2. Role para baixo até a seção ID do Locatário e copie o valor da ID do Locatário a ser usado posteriormente.

  • Verificar permissões. Ao registrar computadores como recursos do Arc, verifique se você é o proprietário do grupo de recursos ou tem as seguintes permissões no grupo de recursos em que os computadores são provisionados:

    • Azure Connected Machine Onboarding.
    • Azure Connected Machine Resource Administrator.

    Para verificar se você tem essas funções, siga estas etapas no portal do Azure:

    1. Acesse a assinatura usada para a implantação local do Azure.

    2. Vá para o grupo de recursos no qual você planeja registrar o computador.

    3. No painel esquerdo, vá para Controle de Acesso (IAM).

    4. No painel direito, vá para atribuições de função. Verifique se você tem Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator funções atribuídas.

  • Verifique suas políticas do Azure. Certifique-se de que:

    • As políticas do Azure não estão bloqueando a instalação de extensões.
    • As políticas do Azure não estão bloqueando a criação de determinados tipos de recursos em um grupo de recursos.
    • As políticas do Azure não estão bloqueando a implantação de recursos em determinados locais.

Registrar computadores com o Azure Arc

Importante

Execute estas etapas como um administrador local em cada computador local do Azure que você pretende cluster.

  1. Defina os parâmetros. O script usa os seguintes parâmetros:

    Parâmetros Descrição
    SubscriptionID A ID da assinatura usada para registrar seus computadores no Azure Arc.
    TenantID O ID do locatário usado para registrar seus computadores no Azure Arc. Acesse o Microsoft Entra ID e copie a propriedade de ID do locatário.
    ResourceGroup O grupo de recursos pré-criado para registro Arc dos computadores. Um grupo de recursos será criado se não existir.
    Region A região do Azure usada para registro. Consulte as regiões com suporte que podem ser usadas.
    AccountID O usuário que registra e implanta a instância.
    ProxyServer Parâmetro opcional. Endereço do servidor proxy quando necessário para conectividade de saída.
    DeviceCode O código do dispositivo exibido no console em https://microsoft.com/devicelogin é usado para fazer login no dispositivo. 
    #Define the subscription where you want to register your machine as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your machine as Arc device
$RG = "YourResourceGroupName"

#Define the region to use to register your server as Arc device
#Do not use spaces or capital letters when defining region
$Region = "eastus"

#Define the tenant you will use to register your machine as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your Azure Local deployment accesses the internet via proxy
$ProxyServer = "http://proxyaddress:port"

  2. Conecte-se à sua conta do Azure e defina a assinatura. Abra um navegador no cliente que você está usando para se conectar ao computador e abra esta página: https://microsoft.com/devicelogin e insira o código fornecido na saída da CLI do Azure para autenticar. Obtenha o token de acesso e o ID da conta para o registro.

    #Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

  3. Por fim, execute o script de registro do Arc. O script demora alguns minutos para ser executado.

    #Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

    Se você estiver acessando a Internet usando um servidor proxy, precisará adicionar o -Proxy parâmetro e fornecer o servidor proxy no formato http://<Proxy server FQDN or IP address>:Port ao executar o script.

    Para obter uma lista de regiões do Azure com suporte, consulte Requisitos do Azure.

  4. Depois que o script for concluído com êxito em todos os computadores, verifique se:

    1. Suas máquinas estão registradas no Arc. Vá para o portal do Azure e, em seguida, vá para o grupo de recursos associado ao registro. Os computadores aparecem no grupo de recursos especificado como recursos do tipo Computador – Azure Arc .

      Captura de tela dos computadores locais do Azure no grupo de recursos após o registro bem-sucedido.

Observação

Depois que um computador local do Azure é registrado no Azure Arc, a única maneira de desfazer o registro é instalar o sistema operacional novamente no computador.

Atribuir permissões necessárias para implantação

Esta seção descreve como atribuir permissões do Azure para implantação no portal do Azure.

  1. No portal do Azure, acesse a assinatura usada para registrar os computadores. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da atribuição de função Adicionar no Controle de acesso na assinatura para implantação do Azure Local.

  2. Percorra as guias e atribua as seguintes permissões de função ao usuário que implanta a instância:

    • Administrador do Azure Stack HCI
    • Leitor

  3. No portal do Azure, acesse o grupo de recursos usado para registrar os computadores em sua assinatura. No painel esquerdo, selecione Controle de acesso (IAM) . No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

    Captura de tela da adição de atribuição de função no Controle de Acesso no grupo de recursos para implantação local do Azure.

  4. Percorra as guias e atribua as seguintes permissões ao usuário que implanta a instância:

    • Administrador de Acesso a Dados do Key Vault: essa permissão é necessária para gerenciar permissões do plano de dados para o cofre de chaves usado para implantação.
    • Oficial de Segredos do Key Vault: essa permissão é necessária para ler e gravar segredos no cofre de chaves utilizado para implantação.
    • Colaborador do Key Vault: essa permissão é necessária para criar o cofre de chaves usado para implantação.
    • Colaborador da Conta de Armazenamento: essa permissão é necessária para criar a conta de armazenamento usada para implantação.

  5. No painel direito, vá para Atribuições de função. Verifique se o usuário de implantação tem todas as funções configuradas.

  6. No portal do Azure, acesse Funções e Administradores do Microsoft Entra e atribua a permissão de função Administrador de Aplicativos de Nuvem no nível do locatário do Microsoft Entra.

    Captura de tela da permissão de Administrador de Aplicativos de Nuvem no nível do locatário.

    Observação

    Para criar a entidade de serviço, é necessário usar a permissão Administrador de Aplicativos de Nuvem temporariamente. Após a implantação, essa permissão pode ser removida.

Próximas etapas

Depois de configurar o primeiro computador em sua instância, você estará pronto para implantar usando o portal do Azure: