Управление регистрацией кластера Azure Stack HCI

Область применения: Azure Stack HCI версии 22H2

В зависимости от конфигурации и требований кластера может потребоваться выполнить дополнительные действия после регистрации кластера в Azure. В этой статье описывается управление регистрацией кластера с помощью Windows Admin Center, PowerShell или портал Azure. Он также предоставляет ответы на часто задаваемые вопросы о регистрации кластера.

При регистрации кластера в Azure создается ресурс Azure Resource Manager для представления локального кластера Azure Stack HCI. Начиная с Azure Stack HCI версии 21H2, регистрация кластера автоматически создает Azure Arc ресурса сервера для каждого сервера в кластере Azure Stack HCI. Эта интеграция Azure Arc расширяет плоскость управления Azure до Azure Stack HCI. Интеграция Azure Arc позволяет периодически синхронизировать информацию между ресурсом Azure и локальными кластерами.

Просмотр состояния серверов с поддержкой Arc и регистрации

Windows Admin Center

При подключении к кластеру с помощью Windows Admin Center вы увидите панель мониторинга, в которой отображается регистрация Azure Stack HCI и состояние серверов с поддержкой Arc.

• Для регистрации Azure Stack HCI подключено означает, что кластер уже зарегистрирован в Azure и успешно синхронизирован с облаком в течение последнего дня.

• Для серверов с поддержкой Arc подключено означает, что все физические серверы включены в Arc и могут управляться из портал Azure.

  

Дополнительные сведения можно получить, выбрав Azure Arc в меню "Сервис " слева.

Примечание.

Панель мониторинга Azure Arc в настоящее время доступна в общедоступной предварительной версии.

На странице "Обзор" вы найдете сведения о состоянии высокого уровня о регистрации Azure Stack HCI и серверах с поддержкой Arc. Вы можете щелкнуть любую плитку, чтобы перейти на отдельные страницы.

На странице регистрации Azure Stack HCI можно просмотреть состояние системы и сервера Azure Stack HCI. Это включает состояние подключения Azure и последнюю синхронизацию Azure. Полезные ссылки на устранение неполадок и расширений кластера. При необходимости можно отменить регистрацию .

Если кластер зарегистрирован в Azure, но физические серверы еще не включены Arc, это можно сделать на странице серверов с поддержкой Arc. Если физические серверы включены в Arc, вы можете просмотреть состояние и идентификатор версии Azure Arc для каждого сервера. Также можно найти полезные ссылки на сведения об устранении неполадок.

PowerShell

Get-AzureStackHCI Используйте командлет PowerShell для просмотра состояния регистрации, состояния кластера и свойств состояния подключения.

Например, после установки операционной системы Azure Stack HCI, но перед созданием или присоединением к кластеру ClusterStatus свойство отображает NotYet состояние:

После создания кластера отображается NotYet только RegistrationStatus состояние:

Вы должны зарегистрировать кластер Azure Stack HCI в течение 30 дней после установки, как определено в условиях azure Online Services. Если вы не создали или не присоединились к кластеру через 30 дней, ClusterStatus отобразится OutOfPolicy. Если вы не зарегистрировали кластер через 30 дней, RegistrationStatus отобразится OutOfPolicy.

После регистрации кластера можно просмотреть ConnectionStatus и LastConnected время. Время LastConnected обычно находится в течение последнего дня, если кластер временно не отключен от Интернета. Кластер Azure Stack HCI может работать полностью в автономном режиме до 30 дней подряд.

Если превышен максимальный период автономной операции, ConnectionStatus отобразится.OutOfPolicy

Примечание.

Конфигурация встроенного ПО BIOS\UEFI должна совпадать с оборудованием каждого узла кластера HCI. Все узлы с разными конфигурациями BIOS по сравнению с большинством могут отображать ConnectionStatus как OutOfPolicy.

Портал Azure

Чтобы просмотреть состояние кластера и ресурсов Arc, перейдите к группе ресурсов, используемой во время регистрации в портал Azure:

Включение интеграции Azure Arc

Начиная с Azure Stack HCI версии 21H2 кластеры автоматически включены при регистрации. Интеграция Azure Arc недоступна в Azure Stack HCI версии 20H2.

Необходимо вручную включить интеграцию Azure Arc в следующих сценариях:

• Вы обновили серверы кластера из Azure Stack HCI версии 20H2 (которые ранее не были включены вручную) до версии 21H2.
• Если вы ранее включили Arc кластеры 20H2 и после обновления до 21H2 включение Arc по-прежнему не удается, ознакомьтесь с инструкциями по устранению неполадок.
• Вы отключили включение Arc ранее, и теперь вы планируете включить кластер Azure Stack HCI 21H2 или более поздней версии.

Выполните следующие действия, чтобы включить интеграцию Azure Arc:

1. Установите последнюю версию Az.Resources модуля на компьютере управления:

   Install-Module -Name Az.Resources
   

2. Установите последнюю версию Az.StackHCI модуля на компьютере управления:

   Install-Module -Name Az.StackHCI
   

3. Повторно запустите Register-AzStackHCI командлет и укажите идентификатор подписки Azure, который должен быть таким же идентификатором, с которым был первоначально зарегистрирован кластер. Параметр -ComputerName может быть именем любого сервера в кластере. Этот шаг позволяет интегрировать Azure Arc на каждом сервере в кластере. Это не повлияет на текущую регистрацию кластера в Azure, и вам не нужно сначала отменить регистрацию кластера:

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
   

   Внимание

   Если кластер был первоначально зарегистрирован с помощью -Regionили -ResourceName-ResourceGroupName отличается от параметров по умолчанию, необходимо указать те же параметры и значения здесь. При выполнении Get-AzureStackHCI будут отображаться эти значения.

Сведения о сбоях при включении Arc см. в руководстве по устранению неполадок.

Обновление агента Arc на серверах кластера

Начиная с Azure Stack HCI версии 21H2, чтобы автоматически обновить агент Arc при наличии новой версии, убедитесь, что серверы кластера настроены с помощью Центра обновления Майкрософт. Дополнительные сведения см. в разделе "Конфигурация Центра обновления Майкрософт".

Выполните следующие действия, чтобы обновить агент Arc на серверах кластера:

1. В средстве настройки сервера (SConfig) выберите параметр установки обновлений (вариант 6):

   

2. Выберите параметр для всех обновлений качества (вариант 1).

3. Вы можете специально обновить агент Arc или установить все доступные обновления:

   

4. Запустите azcmagent version из PowerShell на каждом узле, чтобы проверить версию агента Arc.

Отмена регистрации Azure Stack HCI

Вы можете отменить регистрацию Azure Stack HCI с помощью Windows Admin Center или PowerShell.

Процесс отмены регистрации автоматически очищает ресурс Azure, представляющий кластер, группу ресурсов Azure (если группа была создана во время регистрации и не содержит других ресурсов), а также удостоверение приложения Microsoft Entra. Эта очистка останавливает все функции мониторинга, поддержки и выставления счетов с помощью Azure Arc.

Windows Admin Center

Выполните следующие действия, чтобы отменить регистрацию кластера Azure Stack HCI с помощью Центра администрирования Windows:

1. Подключитесь к кластеру с помощью Windows Admin Center.

2. Выберите Azure Arc в меню слева.

3. Выберите регистрацию Azure Stack HCI, нажмите кнопку "Отменить регистрацию " и снова нажмите кнопку "Отменить регистрацию ".

Примечание.

Если шлюз Windows Admin Center зарегистрирован в другом идентификаторе клиента Microsoft Entra, который использовался для первоначальной регистрации кластера, могут возникнуть проблемы при попытке отменить регистрацию кластера с помощью Центра администрирования Windows. В этом случае можно использовать инструкции PowerShell в следующем разделе.

PowerShell

Командлет можно использовать Unregister-AzStackHCI для отмены регистрации кластера Azure Stack HCI с помощью PowerShell.

Возможно, потребуется установить последнюю версию модуля Az.StackHCI . Если появится запрос, который говорит , что вы уверены, что хотите установить модули из PSGallery?, ответьте да (Y):

Install-Module -Name Az.StackHCI

Отмена регистрации с узла кластера

Unregister-AzStackHCI Используйте параметры и subscriptionID TenantID параметры для отмены регистрации кластера непосредственно из узла кластера:

Unregister-AzStackHCI -SubscriptionId "<subscription ID GUID>" -TenantID "<tenant_id>"

Отмена регистрации с компьютера управления

Unregister-AzStackHCI Используйте командлет с subscriptionIDTenantID параметрами и ComputerName для отмены регистрации кластера на компьютере управления:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "<subscription_ID>" -TenantId "<tenant_id>"

Если на компьютере управления есть графический интерфейс, появится запрос на вход, в котором вы предоставляете учетные данные для доступа к узлу кластера. Если на компьютере управления нет графического интерфейса, используйте -credentials <credentials to log in to cluster nodes> параметр в командлете Unregister-AzStackHCI .

Внимание

Если вы отмените регистрацию кластера Azure Stack HCI в Китае, выполните Unregister-AzStackHCI командлет с помощью следующих дополнительных параметров:

-EnvironmentName AzureChinaCloud -Region "ChinaEast2"

Если вы отменяете регистрацию в Azure для государственных организаций, используйте следующие дополнительные параметры:

-EnvironmentName AzureUSGovernment -Region "USGovVirginia"

Если указать -SubscriptionId параметр, убедитесь, что он правильный. Рекомендуется разрешить скрипту отмены регистрации автоматически определять подписку.

Портал Azure

Используйте Windows Admin Center или PowerShell для отмены регистрации кластера.

Очистка после неправильной регистрации кластера

Если пользователь уничтожает кластер Azure Stack HCI без его регистрации, например путем повторной визуализации серверов узлов или удаления узлов виртуальных кластеров, артефакты будут оставлены в Azure. Эти артефакты являются безвредными и не будут нести выставление счетов или использовать ресурсы, но они могут загромождать портал Azure. Чтобы очистить их, их можно удалить вручную.

Чтобы удалить ресурс Azure Stack HCI, перейдите к ресурсу в портал Azure и выберите "Удалить" на панели действий. Сведения о ресурсе Get-AzureStackHCI можно получить, выполнив командлет.

Azure Stack HCI создает два приложения Microsoft Entra в рамках регистрации: resourceName и resourceName.arc. Чтобы удалить их, перейдите к регистрации>всех приложений идентификатора Microsoft Entra ID.> Выберите Удалить и подтвердите действие.

Вы также можете удалить ресурс Azure Stack HCI с помощью PowerShell:

Remove-AzResource -ResourceId "<resource_name>"

Возможно, потребуется установить Az.Resources модуль:

Install-Module -Name Az.Resources

Если группа ресурсов была создана во время регистрации и не содержит других ресурсов, ее также можно удалить:

Remove-AzResourceGroup -Name "<resourceGroupName>"

Устранение неполадок

Сведения о распространенных ошибках и шагах по устранению рисков см. в статье "Устранение неполадок регистрации Azure Stack HCI".

Вопросы и ответы

Найдите ответы на некоторые часто задаваемые вопросы:

Разделы справки использовать более ограниченную роль пользовательских разрешений?

Кроме того, вы можете уменьшить разрешения, необходимые для регистрации Azure Stack HCI, как описано в разделе "Назначение разрешений Azure с помощью PowerShell", если некоторые из описанных ниже операций уже выполняются пользователем с ролью участника и администратора доступа пользователей.

1. Зарегистрируйте необходимых поставщиков ресурсов. Войдите в подписку, используемую для регистрации кластера. В разделе "Поставщики ресурсов параметров" выберите следующие поставщики > ресурсов и нажмите кнопку "Зарегистрировать".

   • Microsoft.AzureStackHCI
   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity

2. Создайте группы ресурсов. Убедитесь, что группы ресурсов, в которые будут проецироваться ресурсы Azure Stack HCI, предварительно создаются привилегированным пользователем. Дополнительные сведения см. в разделе предварительных требований.

   После настройки этих двух предварительных требований создайте пользовательскую роль и используйте ее для регистрации, как описано ниже. Сначала создайте JSON-файл с именем customHCIRole.json со следующим содержимым. Обязательно измените <subscriptionID> идентификатор подписки Azure. Чтобы получить идентификатор подписки, перейдите к портал Azure, перейдите к подпискам, а затем скопируйте и вставьте идентификатор из списка:

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/read"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
         "/subscriptions/<subscriptionId>"
      ]
   }
   

3. Создайте настраиваемую роль:

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

4. Назначьте пользовательскую роль:

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

   Теперь вы можете зарегистрировать кластер с помощью Register-AzStackHCI.

   Если необходимо отменить регистрацию этого кластера, добавьте разрешение Microsoft.Resources/subscriptions/resourceGroups/delete в JSON-файл при создании настраиваемой роли.

Разделы справки зарегистрировать кластер с помощью ArmAccessToken/SPN?

Перед регистрацией убедитесь, что выполнены предварительные требования.

Примечание.

Эти учетные данные субъекта-службы используются для первоначального подключения к Azure Stack HCI. Azure Stack HCI по-прежнему создает отдельные учетные данные субъекта-службы для подключения Arc. Чтобы использовать настраиваемое имя субъекта-службы для подключения Arc, ознакомьтесь с Разделы справки регистрации кластера с помощью имени участника-службы для подключения Arc?.

1. Выполните команду Connect-AzAccount, чтобы подключиться к Azure. Чтобы использовать имя участника-службы для подключения, можно использовать следующее:

   • Проверка подлинности на основе кода устройства. Используйте -DeviceCode в командлете.
   • Проверка подлинности на основе сертификатов. См. эту статью , чтобы настроить имя субъекта-службы для проверки подлинности на основе сертификатов. Затем используйте соответствующие параметры в командлете, принимающее сведения о сертификате Connect-AzAccount . Имя субъекта-службы, используемое, должно иметь все необходимые разрешения для подписок , как показано здесь.

2. Назначьте $token = Get-AzAccessToken.

3. Используйте Register-AzStackHCI с TenantIdпараметрами , ArmAccessTokenSubscriptionIdи AccountId параметрами, следующим образом:

   Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
   

Разделы справки зарегистрировать кластер с помощью имени участника-службы для подключения Arc?

Ниже приведены рекомендации для пользователя, выполняющего командлет регистрации, который не может получить назначенное разрешение на запись Microsoft.Authorization/roleAssignments/write . В таких случаях они могут использовать предварительно созданное имя субъекта-службы с ролями подключения Arc (подключение к подключенному компьютеру Azure и администратору ресурсов подключенного компьютера Azure), назначенным имени участника-службы, и указать учетные данные командлету регистрации с помощью -ArcSpnCredential этого параметра.

Примечание.

Azure Stack HCI не обновляет учетные данные субъекта-службы, созданного таким образом. После истечения срока действия учетных данных субъекта-службы необходимо повторно создать учетные данные и запустить поток "восстановить регистрацию", чтобы обновить учетные данные субъекта-службы в кластере.

Примечание.

Используйте модуль PowerShell версии 1.4.1 или более ранней, чтобы использовать учетные данные субъекта-службы для подключения Arc, если вы не можете назначить разрешение Microsoft.Authorization/roleAssignments/write роли регистрации.

Перед регистрацией убедитесь, что выполнены предварительные требования и предварительные проверки. Пользователь, регистрирующий кластер, имеет роль "участник", назначенную для подписки, которая используется для регистрации кластера, или имеет следующий список разрешений, если назначена пользовательская роль:

• "Microsoft.Resources/subscriptions/resourceGroups/read",
• "Microsoft.Resources/subscriptions/resourceGroups/write",
• "Microsoft.AzureStackHCI/register/action",
• "Microsoft.AzureStackHCI/Unregister/Action",
• "Microsoft.AzureStackHCI/clusters/*",
• "Microsoft.Authorization/roleAssignments/read",
• "Microsoft.HybridCompute/register/action",
• "Microsoft.GuestConfiguration/register/action",
• "Microsoft.HybridConnectivity/register/action"

Для отмены регистрации убедитесь, что у вас также есть разрешение Microsoft.Resources/subscriptions/resourceGroups/delete .

Чтобы зарегистрировать кластер и серверы с поддержкой Arc, выполните следующие команды PowerShell после их обновления с помощью сведений о среде. Для следующих команд требуется Az.Resources (минимальная версия 5.6.0) и Az.Accounts (минимальная версия 2.7.6). С помощью get-installedModule <module name> командлета можно проверить установленную версию модуля PowerShell.

#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process

#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"

#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId  $app.AppId -Role "Reader" 

#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"

#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null

# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force  

# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null

# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred

Поддерживается ли перемещение ресурсов для ресурсов Azure Stack HCI?

Мы не поддерживаем перемещение ресурсов для любых ресурсов Azure Stack HCI. Чтобы изменить расположение ресурсов, сначала необходимо отменить регистрацию кластера, а затем повторно зарегистрировать его в новом расположении, передав соответствующие параметры в командлете Register-AzStackHCI .

Что такое некоторые из наиболее часто используемых командлетов регистрации и Arc?

• Командлеты модулей PowerShell Az.StackHCI см. в документации по HCI PowerShell.
• Get-AzureStackHCI: возвращает текущие сведения о подключении к узлу и политике для Azure Stack HCI.
• Get-AzureStackHCIArcIntegration: возвращает состояние интеграции узла Arc.
• Sync-AzureStackHCI:
  • Выполняет синхронизацию выставления счетов, лицензирования и переписи с Azure.
  • Система выполняет этот командлет автоматически каждые 12 часов.
  • Этот командлет следует использовать только в том случае, если подключение к Интернету кластера недоступно в течение длительного периода.
  • Не запускайте этот командлет сразу после перезагрузки сервера; пусть происходит автоматическая синхронизация. В противном случае это может привести к плохому состоянию.

Следующие шаги

Дополнительные сведения см. также:

• Управление кластером с помощью Windows Admin Center в Azure
• управлять кластерами.