Регистрация серверов и назначение разрешений для развертывания Azure Stack HCI версии 23H2

Статья
06/21/2024

Область применения: Azure Stack HCI версии 23H2

В этой статье описывается, как зарегистрировать серверы Azure Stack HCI, а затем настроить необходимые разрешения для развертывания кластера Azure Stack HCI версии 23H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы выполнили следующие предварительные требования:

Выполните необходимые условия и полный контрольный список развертывания.
Подготовьте среду Active Directory.
Установите операционную систему Azure Stack HCI версии 23H2 на каждом сервере.
Зарегистрируйте подписку с помощью необходимых поставщиков ресурсов (RPS). Для регистрации можно использовать портал Azure или Azure PowerShell. Чтобы зарегистрировать следующие RPS ресурсов, необходимо быть владельцем или участником подписки:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Примечание.

Предполагается, что пользователь, регистрирующий подписку Azure с поставщиками ресурсов, отличается от того, кто регистрирует серверы Azure Stack HCI с помощью Arc.
Если вы регистрируете серверы в качестве ресурсов Arc, убедитесь, что у вас есть следующие разрешения в группе ресурсов, где были подготовлены серверы:
- Подключение Azure Connected Machine
- Администратор ресурсов Azure Connected Machine
Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:
1. Перейдите к подписке, используемой для развертывания Azure Stack HCI.
2. Перейдите в группу ресурсов, в которой планируется зарегистрировать серверы.
3. В левой области перейдите к контроль доступа (IAM).
4. В правой области перейдите к назначениям ролей. Убедитесь, что у вас назначены роли "Подключенный компьютер Azure" и "Администратор подключенных компьютеров Azure".
Проверьте политики Azure. Убедитесь, что:
- Политики Azure не блокируют установку расширений.
- Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
- Политики Azure не блокируют развертывание ресурсов в определенных расположениях.

Регистрация серверов с помощью Azure Arc

Внимание

Выполните эти действия на каждом сервере Azure Stack HCI, который планируется кластеровать.

Установите скрипт регистрации Arc из PSGallery.

PowerShell
Выходные данные

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -RequiredVersion 2.13.2
Install-Module Az.Resources -RequiredVersion 6.12.0
Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2


#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

Ниже приведен пример выходных данных установки:

PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 2.13.2
PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2
PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

Задайте параметры. Скрипт принимает следующие параметры:

Параметры	Description
`SubscriptionID`	Идентификатор подписки, используемой для регистрации серверов в Azure Arc.
`TenantID`	Идентификатор клиента, используемый для регистрации серверов в Azure Arc. Перейдите к идентификатору Microsoft Entra и скопируйте свойство идентификатора клиента.
`ResourceGroup`	Предварительно созданная группа ресурсов для регистрации серверов Arc. Группа ресурсов создается, если она не существует.
`Region`	Регион Azure, используемый для регистрации. См. поддерживаемые регионы , которые можно использовать.
`AccountID`	Пользователь, который регистрирует и развертывает кластер.
`ProxyServer`	Необязательный параметр. Адрес прокси-сервера при необходимости для исходящего подключения.
`DeviceCode`	Код устройства, отображаемый в консоли `https://microsoft.com/devicelogin` и используется для входа на устройство.

PowerShell
Выходные данные

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your HCI deployment access internet via proxy
$ProxyServer = "http://proxyaddress:port"

Ниже приведен пример выходных данных параметров:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Подключитесь к учетной записи Azure и задайте подписку. Вам потребуется открыть браузер на клиенте, который вы используете для подключения к серверу и открыть эту страницу: https://microsoft.com/devicelogin и введите предоставленный код в выходных данных Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

PowerShell
Выходные данные

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Ниже приведен пример выходных данных по настройке подписки и проверки подлинности:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

PowerShell
Выходные данные

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer

Если вы обращаетесь к Интернету через прокси-сервер, необходимо передать -proxy параметр и указать прокси-сервер, как http://<Proxy server FQDN or IP address>:Port при запуске скрипта.

Список поддерживаемых регионов Azure см. в разделе "Требования к Azure".

Ниже приведен пример выходных данных успешной регистрации серверов:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Starting AzStackHci ArcIntegration Initialization
Constructing node config using ARM Access Token
Waiting for bootstrap to complete: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: Succeeded

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
Version Response
------- --------
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
Arc boostrap support log collection completed successfully.

PS C:\Users\Administrator>

После успешного завершения скрипта на всех серверах убедитесь, что:
1. Серверы зарегистрированы в Arc. Перейдите к портал Azure, а затем перейдите в группу ресурсов, связанную с регистрацией. Серверы отображаются в указанной группе ресурсов как ресурсы типа Machine — Azure Arc .
2. На серверах устанавливаются обязательные расширения Azure Stack HCI. В группе ресурсов выберите зарегистрированный сервер. Перейдите к расширениям. Обязательные расширения отображаются на правой панели.

Назначение необходимых разрешений для развертывания

В этом разделе описывается назначение разрешений Azure для развертывания из портал Azure.

В портал Azure перейдите к подписке, используемой для регистрации серверов. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите на вкладки и назначьте следующие разрешения роли пользователю, который развертывает кластер:
- Администратор Azure Stack HCI
- Читатель
В портал Azure перейдите в группу ресурсов, используемую для регистрации серверов в подписке. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите на вкладки и назначьте пользователю, который развертывает кластер, и назначьте следующие разрешения:
- Администратор доступа к данным Key Vault. Это разрешение необходимо для управления разрешениями плоскости данных в хранилище ключей, используемом для развертывания.
- Сотрудник по секретам Key Vault. Это разрешение требуется для чтения и записи секретов в хранилище ключей, используемом для развертывания.
- Участник Key Vault. Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
- Участник учетной записи хранения. Это разрешение необходимо для создания учетной записи хранения, используемой для развертывания.
В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.
В портал Azure перейдите к ролям и администраторам Microsoft Entra и назначьте разрешение роли администратора облачных приложений на уровне клиента Microsoft Entra.

Примечание.

Разрешение администратора облачных приложений временно необходимо для создания субъекта-службы. После развертывания это разрешение можно удалить.

Следующие шаги

После настройки первого сервера в кластере можно развернуть с помощью портал Azure:

Развертывание с помощью портал Azure.

Поделиться через