Registar os servidores e atribuir permissões para a implementação do Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como registar os servidores do Azure Stack HCI e, em seguida, configurar as permissões necessárias para implementar um cluster do Azure Stack HCI, versão 23H2.

Pré-requisitos

Antes de começar, certifique-se de que concluiu os seguintes pré-requisitos:

• Satisfaça os pré-requisitos e conclua a lista de verificação de implementação.

• Preparar o ambiente do Active Directory .

• Instale o sistema operativo Azure Stack HCI, versão 23H2 , em cada servidor.

• Registe a sua subscrição com os fornecedores de recursos (RPs) necessários. Pode utilizar o portal do Azure ou o Azure PowerShell para se registar. Tem de ser proprietário ou contribuidor na sua subscrição para registar os seguintes RPs de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota

  O pressuposto é que a pessoa que está a registar a subscrição do Azure com os fornecedores de recursos é uma pessoa diferente daquela que está a registar os servidores do Azure Stack HCI com o Arc.

• Se estiver a registar os servidores como recursos do Arc, confirme que tem as seguintes permissões no grupo de recursos onde os servidores foram aprovisionados:

  • Inclusão de Máquinas Ligadas do Azure
  • Administrador de Recursos da Máquina Ligada do Azure

  Para verificar se tem estas funções, siga estes passos no portal do Azure:

  1. Aceda à subscrição que utiliza para a implementação do Azure Stack HCI.
  2. Aceda ao grupo de recursos onde está a planear registar os servidores.
  3. No painel esquerdo, aceda a Controlo de Acesso (IAM).
  4. No painel direito, aceda a Atribuições de funções. Verifique se tem as funções Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator atribuídas.

Registar servidores com o Azure Arc

Importante

Execute estes passos em todos os servidores do Azure Stack HCI que pretende agrupar.

1. Instale o script de registo do Arc a partir de PSGallery.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   Saída

   Eis uma saída de exemplo da instalação:

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. Defina os parâmetros. O script utiliza os seguintes parâmetros:

   Parâmetros	Description
   SubscriptionID	O ID da subscrição utilizada para registar os servidores no Azure Arc.
   TenantID	O ID do inquilino utilizado para registar os servidores no Azure Arc. Aceda à sua Microsoft Entra ID e copie a propriedade ID do inquilino.
   ResourceGroup	O grupo de recursos pré-criado para o registo do Arc dos servidores. Um grupo de recursos é criado se não existir um.
   Region	A região do Azure utilizada para o registo. Veja as Regiões suportadas que podem ser utilizadas.
   AccountID	O utilizador que regista e implementa o cluster.
   DeviceCode	O código do dispositivo apresentado na consola do e https://microsoft.com/devicelogin é utilizado para iniciar sessão no dispositivo.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   Saída

   Eis uma saída de exemplo dos parâmetros:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. Ligue-se à sua conta do Azure e defina a subscrição. Terá de abrir o browser no cliente que está a utilizar para ligar ao servidor e abrir esta página: https://microsoft.com/devicelogin e introduzir o código fornecido na saída da CLI do Azure para autenticar. Obtenha o token de acesso e o ID da conta do registo.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Saída

   Eis um exemplo de saída da definição da subscrição e da autenticação:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Por fim, execute o script de registo do Arc. A execução do script demora alguns minutos.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   Se estiver a aceder à Internet através de um servidor proxy, terá de transmitir o -proxy parâmetro e fornecer o servidor proxy como http://<Proxy server FQDN or IP address>:Port ao executar o script.

   Saída

   Eis uma saída de exemplo de um registo bem-sucedido dos servidores:

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. Depois de o script ser concluído com êxito em todos os servidores, verifique se:

   1. Os servidores estão registados no Arc. Aceda ao portal do Azure e, em seguida, aceda ao grupo de recursos associado ao registo. Os servidores são apresentados no grupo de recursos especificado como Recursos do tipo Máquina - Azure Arc .

      

   2. As extensões obrigatórias do Azure Stack HCI estão instaladas nos seus servidores. No grupo de recursos, selecione o servidor registado. Aceda às Extensões. As extensões obrigatórias são apresentadas no painel direito.

      

Atribuir as permissões necessárias para a implementação

Esta secção descreve como atribuir permissões do Azure para implementação a partir do portal do Azure.

1. Na portal do Azure, aceda à subscrição utilizada para registar os servidores. No painel esquerdo, selecione Controlo de acesso (IAM). No painel direito, selecione + Adicionar e, na lista pendente, selecione Adicionar atribuição de função.

   

2. Aceda aos separadores e atribua as seguintes permissões de função ao utilizador que implementa o cluster:

   • Administrador do Azure Stack HCI
   • Administrador de Aplicações na Cloud
   • Leitor

   Nota

   A permissão Administrador de Aplicações na Cloud é temporariamente necessária para criar o principal de serviço. Após a implementação, esta permissão pode ser removida.

3. Na portal do Azure, aceda ao grupo de recursos utilizado para registar os servidores na sua subscrição. No painel esquerdo, selecione Controlo de acesso (IAM). No painel direito, selecione + Adicionar e, na lista pendente, selecione Adicionar atribuição de função.

   

4. Percorra os separadores e atribua as seguintes permissões ao utilizador que implementa o cluster:

   • Key Vault Administrador de Acesso a Dados: esta permissão é necessária para gerir as permissões do plano de dados para o cofre de chaves utilizado para a implementação.
   • Key Vault Secrets Officer: esta permissão é necessária para ler e escrever segredos no cofre de chaves utilizado para a implementação.
   • Key Vault Contribuidor: esta permissão é necessária para criar o cofre de chaves utilizado para a implementação.
   • Contribuidor da Conta de Armazenamento: esta permissão é necessária para criar a conta de armazenamento utilizada para a implementação.

5. No painel direito, aceda a Atribuições de funções. Verifique se o utilizador de implementação tem todas as funções configuradas.

Passos seguintes

Depois de configurar o primeiro servidor no cluster, está pronto para implementar com portal do Azure:

• Implementar com portal do Azure.