Регистрация серверов и назначение разрешений для развертывания Azure Stack HCI версии 23H2

Область применения: Azure Stack HCI версии 23H2

В этой статье описывается, как зарегистрировать серверы Azure Stack HCI, а затем настроить необходимые разрешения для развертывания кластера Azure Stack HCI версии 23H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы выполнили следующие предварительные требования:

• Выполните необходимые условия и полный контрольный список развертывания.

• Подготовьте среду Active Directory.

• Установите операционную систему Azure Stack HCI версии 23H2 на каждом сервере.

• Зарегистрируйте подписку с помощью необходимых поставщиков ресурсов (RPS). Для регистрации можно использовать портал Azure или Azure PowerShell. Чтобы зарегистрировать следующие RPS ресурсов, необходимо быть владельцем или участником подписки:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Примечание.

  Предполагается, что пользователь, регистрирующий подписку Azure с поставщиками ресурсов, отличается от того, кто регистрирует серверы Azure Stack HCI с помощью Arc.

• Если вы регистрируете серверы в качестве ресурсов Arc, убедитесь, что у вас есть следующие разрешения в группе ресурсов, где были подготовлены серверы:

  • Подключение Azure Connected Machine
  • Администратор ресурсов Azure Connected Machine

  Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:

  1. Перейдите к подписке, используемой для развертывания Azure Stack HCI.
  2. Перейдите в группу ресурсов, в которой планируется зарегистрировать серверы.
  3. В левой области перейдите к контроль доступа (IAM).
  4. В правой области перейдите к назначениям ролей. Убедитесь, что у вас назначены роли "Подключенный компьютер Azure" и "Администратор подключенных компьютеров Azure".

• Проверьте политики Azure. Убедитесь, что:

  • Политики Azure не блокируют установку расширений.
  • Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
  • Политики Azure не блокируют развертывание ресурсов в определенных расположениях.

Регистрация серверов с помощью Azure Arc

Внимание

Выполните эти действия на каждом сервере Azure Stack HCI, который планируется кластеровать.

1. Установите скрипт регистрации Arc из PSGallery. Этот шаг требуется только в том случае, если вы используете ISO ОС, старше 2408. Дополнительные сведения см. в статье "Новые возможности в 2408 году".

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 3.0.0
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

   Выходные данные

   Ниже приведен пример выходных данных установки:

   PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 3.0.0
   PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   

2. Задайте параметры. Скрипт принимает следующие параметры:

   Параметры	Description
   SubscriptionID	Идентификатор подписки, используемой для регистрации серверов в Azure Arc.
   TenantID	Идентификатор клиента, используемый для регистрации серверов в Azure Arc. Перейдите к идентификатору Microsoft Entra и скопируйте свойство идентификатора клиента.
   ResourceGroup	Предварительно созданная группа ресурсов для регистрации серверов Arc. Группа ресурсов создается, если она не существует.
   Region	Регион Azure, используемый для регистрации. См. поддерживаемые регионы , которые можно использовать.
   AccountID	Пользователь, который регистрирует и развертывает кластер.
   ProxyServer	Необязательный параметр. Адрес прокси-сервера при необходимости для исходящего подключения.
   DeviceCode	Код устройства, отображаемый в консоли https://microsoft.com/devicelogin и используется для входа на устройство.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Выходные данные

   Ниже приведен пример выходных данных параметров:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

3. Подключитесь к учетной записи Azure и задайте подписку. Вам потребуется открыть браузер на клиенте, который вы используете для подключения к серверу и открыть эту страницу: https://microsoft.com/devicelogin и введите предоставленный код в выходных данных Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Выходные данные

   Ниже приведен пример выходных данных по настройке подписки и проверки подлинности:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Если вы обращаетесь к Интернету через прокси-сервер, необходимо передать -proxy параметр и указать прокси-сервер, как http://<Proxy server FQDN or IP address>:Port при запуске скрипта.

   Список поддерживаемых регионов Azure см. в разделе "Требования к Azure".

   Выходные данные

   Ниже приведен пример выходных данных успешной регистрации серверов:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

5. После успешного завершения скрипта на всех серверах убедитесь, что:

   1. Серверы зарегистрированы в Arc. Перейдите к портал Azure, а затем перейдите в группу ресурсов, связанную с регистрацией. Серверы отображаются в указанной группе ресурсов как ресурсы типа Machine — Azure Arc .

      

   2. На серверах устанавливаются обязательные расширения Azure Stack HCI. В группе ресурсов выберите зарегистрированный сервер. Перейдите к расширениям. Обязательные расширения отображаются на правой панели.

      

Назначение необходимых разрешений для развертывания

В этом разделе описывается назначение разрешений Azure для развертывания из портал Azure.

1. В портал Azure перейдите к подписке, используемой для регистрации серверов. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

2. Перейдите на вкладки и назначьте следующие разрешения роли пользователю, который развертывает кластер:

   • Администратор Azure Stack HCI
   • Читатель

3. В портал Azure перейдите в группу ресурсов, используемую для регистрации серверов в подписке. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

4. Перейдите на вкладки и назначьте пользователю, который развертывает кластер, и назначьте следующие разрешения:

   • Администратор доступа к данным Key Vault. Это разрешение необходимо для управления разрешениями плоскости данных в хранилище ключей, используемом для развертывания.
   • Сотрудник по секретам Key Vault. Это разрешение требуется для чтения и записи секретов в хранилище ключей, используемом для развертывания.
   • Участник Key Vault. Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
   • Участник учетной записи хранения. Это разрешение необходимо для создания учетной записи хранения, используемой для развертывания.

5. В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.

6. В портал Azure перейдите к ролям и администраторам Microsoft Entra и назначьте разрешение роли администратора облачных приложений на уровне клиента Microsoft Entra.

   

   Примечание.

   Разрешение администратора облачных приложений временно необходимо для создания субъекта-службы. После развертывания это разрешение можно удалить.

Следующие шаги

После настройки первого сервера в кластере можно развернуть с помощью портал Azure:

• Развертывание с помощью портал Azure.