Registre seus servidores e atribua permissões para a implantação do Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como registrar seus servidores HCI do Azure Stack e, em seguida, configurar as permissões necessárias para implantar um cluster HCI do Azure Stack, versão 23H2.

Pré-requisitos

Antes de começar, certifique-se de que concluiu os seguintes pré-requisitos:

• Satisfaça os pré-requisitos e complete a lista de verificação de implantação.

• Prepare seu ambiente do Ative Directory .

• Instale o sistema operacional Azure Stack HCI, versão 23H2 em cada servidor.

• Registe a sua subscrição junto dos fornecedores de recursos (RP) necessários. Você pode usar o portal do Azure ou o Azure PowerShell para se registrar. Você precisa ser um proprietário ou colaborador em sua assinatura para registrar os seguintes RPs de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota

  A suposição é que a pessoa que registra a assinatura do Azure com os provedores de recursos é uma pessoa diferente daquela que está registrando os servidores HCI do Azure Stack com o Arc.

• Se você estiver registrando os servidores como recursos Arc, certifique-se de ter as seguintes permissões no grupo de recursos onde os servidores foram provisionados:

  • Integração de Máquina Conectada do Azure
  • Azure Connected Machine Resource Administrator

  Para verificar se você tem essas funções, siga estas etapas no portal do Azure:

  1. Vá para a assinatura que você usa para a implantação do Azure Stack HCI.
  2. Vá para o grupo de recursos onde você planeja registrar os servidores.
  3. No painel esquerdo, vá para Controle de Acesso (IAM).
  4. No painel direito, vá para as atribuições de função. Verifique se você tem as funções de Integração de Máquina Conectada do Azure e Administrador de Recursos de Máquina Conectada do Azure atribuídas.

Registrar servidores com o Azure Arc

Importante

Execute estas etapas em cada servidor HCI do Azure Stack que você pretende clusterizar.

1. Instale o script de registro Arc do PSGallery.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 2.13.2
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

   Saída

   Aqui está um exemplo de saída da instalação:

   PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 2.13.2
   PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2
   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   

2. Defina os parâmetros. O script leva nos seguintes parâmetros:

   Parâmetros	Description
   SubscriptionID	A ID da assinatura usada para registrar seus servidores no Azure Arc.
   TenantID	A ID do locatário usada para registrar seus servidores no Azure Arc. Vá para sua ID do Microsoft Entra e copie a propriedade ID do locatário.
   ResourceGroup	O grupo de recursos pré-criado para o registro Arc dos servidores. Um grupo de recursos é criado se um não existir.
   Region	A região do Azure usada para registro. Consulte as regiões suportadas que podem ser usadas.
   AccountID	O usuário que registra e implanta o cluster.
   ProxyServer	Parâmetro opcional. Endereço do servidor proxy quando necessário para conectividade de saída.
   DeviceCode	O código do dispositivo exibido no console em https://microsoft.com/devicelogin e é usado para entrar no dispositivo.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Saída

   Aqui está uma saída de exemplo dos parâmetros:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

3. Conecte-se à sua conta do Azure e defina a assinatura. Você precisará abrir o navegador no cliente que está usando para se conectar ao servidor e abrir esta página: https://microsoft.com/devicelogin e insira o código fornecido na saída da CLI do Azure para autenticar. Obtenha o token de acesso e o ID da conta para o registo.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Saída

   Aqui está um exemplo de saída da configuração da assinatura e autenticação:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Finalmente, execute o script de registro do Arc. A execução do script demora alguns minutos.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Se você estiver acessando a Internet através de um servidor proxy, você precisa passar o -proxy parâmetro e fornecer o servidor proxy como http://<Proxy server FQDN or IP address>:Port ao executar o script.

   Para obter uma lista de regiões do Azure suportadas, consulte Requisitos do Azure.

   Saída

   Aqui está um exemplo de saída de um registro bem-sucedido de seus servidores:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

5. Depois que o script for concluído com êxito em todos os servidores, verifique se:

   1. Os seus servidores estão registados na Arc. Vá para o portal do Azure e, em seguida, vá para o grupo de recursos associado ao registro. Os servidores aparecem dentro do grupo de recursos especificado como Machine - Azure Arc type resources.

      

   2. As extensões HCI obrigatórias do Azure Stack são instaladas em seus servidores. No grupo de recursos, selecione o servidor registrado. Vá para as Extensões. As extensões obrigatórias aparecem no painel direito.

      

Atribuir as permissões necessárias para implantação

Esta seção descreve como atribuir permissões do Azure para implantação a partir do portal do Azure.

1. No portal do Azure, vá para a assinatura usada para registrar os servidores. No painel esquerdo, selecione Controle de acesso (IAM). No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

   

2. Percorra as guias e atribua as seguintes permissões de função ao usuário que implanta o cluster:

   • Azure Stack HCI Administrator
   • Leitor

3. No portal do Azure, vá para o grupo de recursos usado para registrar os servidores em sua assinatura. No painel esquerdo, selecione Controle de acesso (IAM). No painel direito, selecione + Adicionar e, na lista suspensa, selecione Adicionar atribuição de função.

   

4. Percorra as guias e atribua as seguintes permissões ao usuário que implanta o cluster:

   • Administrador de Acesso a Dados do Cofre de Chaves: essa permissão é necessária para gerenciar permissões de plano de dados para o cofre de chaves usado para implantação.
   • Key Vault Secrets Officer: Esta permissão é necessária para ler e escrever segredos no cofre de chaves usado para implantação.
   • Key Vault Contributor: Esta permissão é necessária para criar o cofre de chaves usado para implantação.
   • Colaborador da Conta de Armazenamento: essa permissão é necessária para criar a conta de armazenamento usada para implantação.

5. No painel direito, vá para Atribuições de função. Verifique se o usuário de implantação tem todas as funções configuradas.

6. No portal do Azure, vá para Funções e Administradores do Microsoft Entra e atribua a permissão da função de Administrador de Aplicativo de Nuvem no nível de locatário do Microsoft Entra.

   

   Nota

   A permissão Cloud Application Administrator é temporariamente necessária para criar a entidade de serviço. Após a implantação, essa permissão pode ser removida.

Próximos passos

Depois de configurar o primeiro servidor em seu cluster, você estará pronto para implantar usando o portal do Azure:

• Implante usando o portal do Azure.