Регистрация серверов и назначение разрешений для развертывания Azure Stack HCI версии 23H2

Применимо к: Azure Stack HCI версии 23H2

В этой статье описывается, как зарегистрировать серверы Azure Stack HCI, а затем настроить необходимые разрешения для развертывания кластера Azure Stack HCI версии 23H2.

Предварительные требования

Перед началом работы убедитесь, что выполнены следующие предварительные требования:

• Выполните предварительные требования и полный контрольный список развертывания.

• Подготовьте среду Active Directory .

• Установите операционную систему Azure Stack HCI версии 23H2 на каждом сервере.

• Зарегистрируйте подписку с помощью необходимых поставщиков ресурсов (RP). Для регистрации можно использовать портал Azure или Azure PowerShell. Чтобы зарегистрировать следующие поставщики ресурсов, необходимо быть владельцем или участник в подписке:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Примечание

  Предполагается, что пользователь, регистрирующий подписку Azure у поставщиков ресурсов, отличается от лица, регистрирующего серверы Azure Stack HCI с помощью Arc.

• Если вы регистрируете серверы в качестве ресурсов Arc, убедитесь, что у вас есть следующие разрешения на группу ресурсов, в которой были подготовлены серверы:

  • Подключение Azure Connected Machine
  • Администратор ресурсов Azure Connected Machine

  Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:

  1. Перейдите к подписке, используемой для развертывания Azure Stack HCI.
  2. Перейдите в группу ресурсов, в которой планируется зарегистрировать серверы.
  3. В левой области перейдите к контроль доступа (IAM).
  4. В области справа перейдите к назначениям ролей. Убедитесь, что вам назначены роли " Подключение подключенного компьютера Azure" и "Администратор ресурсов подключенного компьютера Azure ".

Регистрация серверов в Azure Arc

Важно!

Выполните эти действия на каждом сервере Azure Stack HCI, который планируется кластерировать.

1. Установите скрипт регистрации Arc из PSGallery.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   Выходные данные

   Ниже приведен пример выходных данных установки:

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. Задайте параметры. Скрипт принимает следующие параметры:

   Параметры	Описание
   SubscriptionID	Идентификатор подписки, используемой для регистрации серверов в Azure Arc.
   TenantID	Идентификатор клиента, используемый для регистрации серверов в Azure Arc. Перейдите к Microsoft Entra ID и скопируйте свойство идентификатора клиента.
   ResourceGroup	Группа ресурсов, предварительно созданная для регистрации серверов в Arc. Группа ресурсов создается, если она не существует.
   Region	Регион Azure, используемый для регистрации. См. раздел Поддерживаемые регионы , которые можно использовать.
   AccountID	Пользователь, который регистрирует и развертывает кластер.
   DeviceCode	Код устройства, отображаемый в консоли в и https://microsoft.com/devicelogin , используется для входа на устройство.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   Выходные данные

   Ниже приведен пример выходных данных параметров:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. Подключитесь к учетной записи Azure и настройте подписку. Вам потребуется открыть браузер на клиенте, который используется для подключения к серверу, и открыть эту страницу: https://microsoft.com/devicelogin и ввести предоставленный код в выходные данные Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Выходные данные

   Ниже приведен пример выходных данных настройки подписки и проверки подлинности.

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   При доступе к Интернету через прокси-сервер необходимо передать -proxy параметр и указать прокси-сервер http://<Proxy server FQDN or IP address>:Port как при выполнении скрипта.

   Выходные данные

   Ниже приведен пример выходных данных успешной регистрации серверов.

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. После успешного выполнения скрипта на всех серверах убедитесь, что:

   1. Ваши серверы зарегистрированы в Arc. Перейдите к портал Azure, а затем перейдите к группе ресурсов, связанной с регистрацией. Серверы отображаются в указанной группе ресурсов как компьютер — ресурсы типа Azure Arc .

      

   2. На ваших серверах устанавливаются обязательные расширения Azure Stack HCI. В группе ресурсов выберите зарегистрированный сервер. Перейдите к разделу Расширения. Обязательные расширения отображаются в области справа.

      

Назначение необходимых разрешений для развертывания

В этом разделе описывается назначение разрешений Azure для развертывания из портал Azure.

1. В портал Azure перейдите к подписке, используемой для регистрации серверов. На панели слева выберите Управление доступом (IAM) . В области справа выберите + Добавить , а затем в раскрывающемся списке выберите Добавить назначение ролей.

   

2. Перейдите по вкладкам и назначьте следующие разрешения роли пользователю, который развертывает кластер:

   • Администратор Azure Stack HCI
   • Администратор облачных приложений
   • Читатель

   Примечание

   Для создания субъекта-службы временно требуется разрешение администратора облачных приложений. После развертывания это разрешение можно удалить.

3. В портал Azure перейдите к группе ресурсов, используемой для регистрации серверов в подписке. На панели слева выберите Управление доступом (IAM) . В области справа выберите + Добавить , а затем в раскрывающемся списке выберите Добавить назначение ролей.

   

4. Перейдите по вкладкам и назначьте следующие разрешения пользователю, который развертывает кластер:

   • Key Vault администратор доступа к данным. Это разрешение требуется для управления разрешениями плоскости данных для хранилища ключей, используемого для развертывания.
   • Key Vault Секреты. Это разрешение требуется для чтения и записи секретов в хранилище ключей, используемом для развертывания.
   • участник Key Vault. Это разрешение требуется для создания хранилища ключей, используемого для развертывания.
   • Участник учетной записи хранения. Это разрешение требуется для создания учетной записи хранения, используемой для развертывания.

5. В области справа перейдите в раздел Назначения ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.

Дальнейшие действия

После настройки первого сервера в кластере можно приступать к развертыванию с помощью портал Azure:

• Развертывание с помощью портал Azure.