Управление регистрацией кластера Azure Stack HCI

Область применения: Azure Stack HCI версий 22H2 и 21H2

В зависимости от конфигурации и требований кластера после регистрации кластера в Azure может потребоваться выполнить дополнительные действия. В этой статье описывается, как управлять регистрацией кластера с помощью Windows Admin Center, PowerShell или портал Azure. В нем также содержатся ответы на часто задаваемые вопросы о регистрации кластера.

При регистрации кластера в Azure создается ресурс Resource Manager Azure для представления локального кластера Azure Stack HCI. Начиная с Azure Stack HCI версии 21H2, при регистрации кластера автоматически создается azure Arc ресурса сервера для каждого сервера в кластере Azure Stack HCI. Эта интеграция Azure Arc расширяет плоскость управления Azure на Azure Stack HCI. Интеграция Azure Arc позволяет периодически синхронизировать сведения между ресурсом Azure и локальными кластерами.

Просмотр регистрации и состояния серверов с поддержкой Arc

Windows Admin Center

При подключении к кластеру с помощью Windows Admin Center вы увидите панель мониторинга, на которой отображается регистрация Azure Stack HCI и состояние серверов с поддержкой Arc.

• Для регистрации Azure Stack HCI подключено означает, что кластер уже зарегистрирован в Azure и успешно синхронизирован с облаком за последний день.

• Для серверов с поддержкой Arc подключено означает, что все физические серверы поддерживают Arc и могут управляться из портал Azure.

  

Дополнительные сведения можно получить, выбрав Azure Arc в меню Сервис слева.

Примечание

Панель мониторинга Azure Arc в настоящее время доступна в общедоступной предварительной версии.

На странице Обзор вы найдете общие сведения о состоянии регистрации Azure Stack HCI и серверах с поддержкой Arc. Вы можете щелкнуть любой из плиток, чтобы перейти на отдельные страницы.

На странице регистрации Azure Stack HCI можно просмотреть состояние системы и сервера Azure Stack HCI. Сюда входит состояние подключения Azure и последняя синхронизация Azure. Вы можете найти полезные ссылки на документацию по устранению неполадок и расширения кластера. При необходимости можно отменить регистрацию .

Если кластер зарегистрирован в Azure, но физические серверы еще не поддерживают Arc, это можно сделать на странице серверов с поддержкой Arc . Если физические серверы поддерживают Arc, можно просмотреть состояние Azure Arc и идентификатор версии для каждого сервера. Вы также можете найти полезные ссылки на сведения об устранении неполадок.

PowerShell

Get-AzureStackHCI Используйте командлет PowerShell для просмотра состояния регистрации, состояния кластера и свойств состояния подключения.

Например, после установки операционной системы Azure Stack HCI, но перед созданием кластера или присоединением ClusterStatus к нему, свойство отображает NotYet состояние :

После создания кластера отображается только RegistrationStatus состояние NotYet :

Кластер Azure Stack HCI необходимо зарегистрировать в течение 30 дней после установки, как определено в условиях использования веб-служб Azure. Если вы не создали кластер или не присоединились к нему через 30 дней, ClusterStatus отобразится .OutOfPolicy Если вы не зарегистрировали кластер через 30 дней, RegistrationStatus отобразится .OutOfPolicy

После регистрации кластера можно увидеть ConnectionStatus и LastConnected время. Обычно LastConnected это время находится в течение последнего дня, если кластер не временно отключен от Интернета. Кластер Azure Stack HCI может работать в автономном режиме до 30 дней подряд.

Если превышен максимальный период автономной работы, ConnectionStatus отобразится .OutOfPolicy

Примечание

Конфигурация встроенного ПО BIOS\UEFI должна быть одинаковой на оборудовании каждого узла кластера HCI. На всех узлах с различными конфигурациями BIOS по сравнению с большинством из них может отображаться значение ConnectionStatus как OutOfPolicy.

Портал Azure

Чтобы просмотреть состояние ресурсов кластера и Arc, перейдите к группе ресурсов, используемой во время регистрации в портал Azure:

Включение интеграции Azure Arc

Начиная с Azure Stack HCI версии 21H2, кластеры автоматически включают arc при регистрации. Интеграция Azure Arc недоступна в Azure Stack HCI версии 20H2.

Необходимо вручную включить интеграцию Azure Arc в следующих сценариях:

• Вы обновили серверы кластера с Azure Stack HCI версии 20H2 (которые ранее не поддерживались Arc вручную) до версии 21H2.
• Если вы ранее включили Arc для кластеров 20H2 и после обновления до 21H2 включение Arc по-прежнему завершается сбоем, см. руководство по устранению неполадок.
• Вы ранее отключили включение Arc, а теперь планируете включить Arc для кластера Azure Stack HCI 21H2 или более поздней версии.

Чтобы включить интеграцию Azure Arc, выполните следующие действия.

1. Установите последнюю версию модуля на Az.Resources компьютере управления:

   Install-Module -Name Az.Resources
   

2. Установите последнюю версию модуля на Az.StackHCI компьютере управления:

   Install-Module -Name Az.StackHCI
   

3. Повторно запустите Register-AzStackHCI командлет и укажите идентификатор подписки Azure, который должен совпадать с идентификатором, с которым был первоначально зарегистрирован кластер. Параметр -ComputerName может быть именем любого сервера в кластере. Этот шаг включает интеграцию Azure Arc на каждом сервере в кластере. Это не повлияет на текущую регистрацию кластера в Azure, и вам не нужно сначала отменять регистрацию кластера:

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
   

   Важно!

   Если кластер изначально был зарегистрирован с помощью -Region, -ResourceNameили -ResourceGroupName , которые отличаются от параметров по умолчанию, необходимо указать те же параметры и значения здесь. При выполнении Get-AzureStackHCI отобразятся эти значения.

Сведения о сбоях при включении Arc см. в руководстве по устранению неполадок.

Обновление агента Arc на серверах кластера

Начиная с Azure Stack HCI версии 21H2, чтобы автоматически обновлять агент Arc при наличии новой версии, убедитесь, что серверы кластера настроены с помощью Центра обновления Майкрософт. Дополнительные сведения см. в разделе Конфигурация Центра обновления Майкрософт.

Чтобы обновить агент Arc на серверах кластера, выполните следующие действия.

1. В средстве настройки сервера (SConfig) выберите параметр Установить Обновления (вариант 6):

   

2. Выберите параметр Все исправления (вариант 1).

3. Вы можете обновить агент Arc или установить все доступные обновления:

   

4. Запустите azcmagent version из PowerShell на каждом узле, чтобы проверить версию агента Arc.

Отмена регистрации Azure Stack HCI

Вы можете отменить регистрацию Azure Stack HCI с помощью Windows Admin Center или PowerShell.

Процесс отмены регистрации автоматически очищает ресурс Azure, представляющий кластер, группу ресурсов Azure (если группа была создана во время регистрации и не содержит других ресурсов) и удостоверение приложения Microsoft Entra. Эта очистка останавливает все функции мониторинга, поддержки и выставления счетов через Azure Arc.

Windows Admin Center

Чтобы отменить регистрацию кластера Azure Stack HCI с помощью Windows Admin Center, выполните следующие действия:

1. Подключитесь к кластеру с помощью Windows Admin Center.

2. Выберите Azure Arc в меню слева.

3. Выберите Регистрация Azure Stack HCI, нажмите кнопку Отменить регистрацию , а затем снова выберите Отменить регистрацию .

Примечание

Если шлюз Windows Admin Center зарегистрирован в другом идентификаторе клиента Microsoft Entra, который использовался для первоначальной регистрации кластера, при попытке отменить регистрацию кластера с помощью Windows Admin Center могут возникнуть проблемы. В этом случае можно воспользоваться инструкциями PowerShell, приведенными в следующем разделе.

PowerShell

С помощью командлета Unregister-AzStackHCI можно отменить регистрацию кластера Azure Stack HCI с помощью PowerShell.

Возможно, потребуется установить последнюю версию модуля Az.StackHCI . Если появится запрос с сообщением Действительно ли вы хотите установить модули из PSGallery?, ответьте да (Y):

Install-Module -Name Az.StackHCI

Отмена регистрации в кластере узла

Unregister-AzStackHCI Используйте с параметрами subscriptionID и TenantID , чтобы отменить регистрацию кластера непосредственно из узла кластера:

Unregister-AzStackHCI -SubscriptionId "<subscription ID GUID>" -TenantID "<tenant_id>"

Отмена регистрации на компьютере управления

Unregister-AzStackHCI Используйте командлет с параметрами subscriptionIDи , TenantIDComputerName чтобы отменить регистрацию кластера на компьютере управления:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "<subscription_ID>" -TenantId "<tenant_id>"

Если компьютер управления имеет графический интерфейс, вы получите запрос на вход, в котором вы укажете учетные данные для доступа к узлу кластера. Если на компьютере управления нет графического пользовательского интерфейса, используйте -credentials <credentials to log in to cluster nodes> параметр в командлете Unregister-AzStackHCI .

Важно!

Если вы отменяете регистрацию кластера Azure Stack HCI в Azure для Китая, выполните командлет со следующими Unregister-AzStackHCI дополнительными параметрами:

-EnvironmentName AzureChinaCloud -Region "ChinaEast2"

Если вы отменяете регистрацию в Azure для государственных организаций, используйте следующие дополнительные параметры:

-EnvironmentName AzureUSGovernment -Region "USGovVirginia"

Если вы указали -SubscriptionId параметр , убедитесь, что он правильный. Рекомендуется разрешить скрипту отмены регистрации автоматически определять подписку.

Портал Azure

Используйте Windows Admin Center или PowerShell, чтобы отменить регистрацию кластера.

Очистка после неправильной отмены регистрации кластера

Если пользователь уничтожает кластер Azure Stack HCI без его регистрации, например путем повторного создания образа серверов узлов или удаления узлов виртуального кластера, артефакты останутся в Azure. Эти артефакты являются безвредными и не будут нести счета или использовать ресурсы, но могут загромождать портал Azure. Чтобы очистить их, их можно удалить вручную.

Чтобы удалить ресурс Azure Stack HCI, перейдите к ресурсу в портал Azure и выберите Удалить на панели действий. Сведения о ресурсе можно получить, выполнив Get-AzureStackHCI командлет .

Azure Stack HCI создает два приложения Microsoft Entra в рамках регистрации: resourceName и resourceName.arc. Чтобы удалить их, перейдите к Microsoft Entra ID>Регистрация приложений>Все приложения. Выберите Удалить и подтвердите действие.

Вы также можете удалить ресурс Azure Stack HCI с помощью PowerShell:

Remove-AzResource -ResourceId "<resource_name>"

Может потребоваться установить Az.Resources модуль:

Install-Module -Name Az.Resources

Если группа ресурсов была создана во время регистрации и не содержит других ресурсов, ее также можно удалить:

Remove-AzResourceGroup -Name "<resourceGroupName>"

Устранение неполадок

Сведения о распространенных ошибках и действиях по их устранению см. в статье Устранение неполадок при регистрации Azure Stack HCI.

Часто задаваемые вопросы

Найдите ответы на некоторые часто задаваемые вопросы:

Разделы справки использовать более ограниченную роль пользовательских разрешений?

Вы можете дополнительно сократить разрешения, необходимые для регистрации Azure Stack HCI, как описано в статье Назначение разрешений Azure с помощью PowerShell, при условии, что некоторые из описанных ниже операций уже выполняются пользователем с ролями администратора участник и доступа пользователей.

1. Зарегистрируйте необходимые поставщики ресурсов. Войдите в подписку, используемую для регистрации кластера. В разделе Параметры Поставщики > ресурсов выберите следующие поставщики ресурсов, а затем щелкните Зарегистрировать:

   • Microsoft.AzureStackHCI
   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity

2. Создайте группы ресурсов. Убедитесь, что группы ресурсов, в которые будут проецироваться ресурсы Azure Stack HCI, предварительно созданы привилегированным пользователем. Дополнительные сведения см. в разделе предварительных требований .

   После настройки этих двух предварительных требований создайте настраиваемую роль и используйте ее для регистрации, как описано ниже. Сначала создайте JSON-файл с именем customHCIRole.json со следующим содержимым. Обязательно измените <subscriptionID> идентификатор подписки Azure. Чтобы получить идентификатор подписки, посетите портал Azure, перейдите в раздел Подписки, а затем скопируйте или вставьте свой идентификатор из списка:

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/read"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
         "/subscriptions/<subscriptionId>"
      ]
   }
   

3. Создайте настраиваемую роль:

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

4. Назначьте пользовательскую роль:

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

   Теперь вы можете зарегистрировать кластер с помощью register-AzStackHCI.

   Если необходимо отменить регистрацию этого кластера, добавьте разрешение Microsoft.Resources/subscriptions/resourceGroups/delete в JSON-файл при создании настраиваемой роли.

Разделы справки зарегистрировать кластер с помощью ArmAccessToken/SPN?

Перед регистрацией убедитесь, что выполнены предварительные требования .

Примечание

Эти учетные данные имени субъекта-службы используются для начального подключения к Azure Stack HCI. Azure Stack HCI по-прежнему создает отдельные учетные данные spN для подключения Arc. Сведения об использовании пользовательского имени субъекта-службы для подключения Arc см. в статье Разделы справки зарегистрировать кластер с помощью имени субъекта-службы для подключения Arc?

1. Выполните команду Connect-AzAccount , чтобы подключиться к Azure. Чтобы использовать имя субъекта-службы для подключения, можно использовать:

   • Проверка подлинности на основе кода устройства. Используйте -DeviceCode в командлете .
   • Проверка подлинности на основе сертификата. Сведения о настройке имени субъекта-службы для проверки подлинности на основе сертификата см. в этой статье. Затем используйте в командлете Connect-AzAccount соответствующие параметры, которые принимают сведения о сертификате. Используемое имя субъекта-службы должно иметь все необходимые разрешения для подписок , как указано здесь.

2. Назначьте $token = Get-AzAccessToken.

3. Используйте Register-AzStackHCI с параметрами TenantId, SubscriptionId, ArmAccessTokenи AccountId следующим образом:

   Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
   

Разделы справки зарегистрировать кластер с помощью имени субъекта-службы для подключения Arc?

Следующие рекомендации предназначены для пользователя, выполняющего командлет регистрации, которому не удается получить назначенное разрешение Microsoft.Authorization/roleAssignments/write . В таких случаях они могут использовать предварительно созданное имя субъекта-службы с ролями подключения Arc (подключение подключенного компьютера Azure и администратор ресурсов подключенного компьютера Azure), назначенными имени субъекта-службы, и указать учетные данные для командлета регистрации с помощью -ArcSpnCredential параметра .

Примечание

Azure Stack HCI не обновляет учетные данные имени субъекта-службы, созданного таким образом. Когда срок действия учетных данных имени субъекта-службы приближается к истечении срока действия, необходимо повторно создать учетные данные и запустить поток "восстановление регистрации", чтобы обновить учетные данные имени субъекта-службы в кластере.

Примечание

Используйте модуль PowerShell версии 1.4.1 или более ранней, чтобы использовать учетные данные имени субъекта-службы для подключения Arc, если вы не можете назначить разрешение Microsoft.Authorization/roleAssignments/write роли регистрации.

Перед регистрацией убедитесь, что выполнены предварительные требования и предварительные проверки. Пользователь, регистрирующий кластер, имеет роль "участник", назначенную для подписки, которая используется для регистрации кластера, или имеет следующий список разрешений, если назначена настраиваемая роль:

• "Microsoft.Resources/subscriptions/resourceGroups/read",
• "Microsoft.Resources/subscriptions/resourceGroups/write",
• "Microsoft.AzureStackHCI/register/action",
• "Microsoft.AzureStackHCI/Unregister/Action",
• "Microsoft.AzureStackHCI/clusters/*",
• "Microsoft.Authorization/roleAssignments/read",
• "Microsoft.HybridCompute/register/action",
• "Microsoft.GuestConfiguration/register/action",
• "Microsoft.HybridConnectivity/register/action"

Для отмены регистрации убедитесь, что у вас также есть разрешение Microsoft.Resources/subscriptions/resourceGroups/delete .

Чтобы зарегистрировать кластер и включить Arc для серверов, выполните следующие команды PowerShell, обновив их с учетом сведений о среде. Для выполнения следующих команд требуются Az.Resources (минимальная версия 5.6.0) и Az.Accounts (минимальная версия 2.7.6). Командлет можно использовать get-installedModule <module name> для проверка установленной версии модуля PowerShell.

#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process

#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"

#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId  $app.AppId -Role "Reader" 

#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"

#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null

# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force  

# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null

# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred

Поддерживается ли перемещение ресурсов для ресурсов Azure Stack HCI?

Перемещение ресурсов Azure Stack HCI не поддерживается. Чтобы изменить расположение ресурсов, необходимо сначала отменить регистрацию кластера, а затем повторно зарегистрировать его в новом расположении, передав соответствующие параметры в командлете Register-AzStackHCI .

Каковы некоторые из наиболее часто используемых командлетов регистрации и Arc?

• Командлеты модуля PowerShell Az.StackHCI см. в документации по PowerShell для HCI.
• Get-AzureStackHCI: возвращает сведения о текущем подключении узла и политике для Azure Stack HCI.
• Get-AzureStackHCIArcIntegration возвращает состояние интеграции узла Arc.
• Sync-AzureStackHCI:
  • Выполняет выставление счетов, лицензирование и синхронизацию переписи с Azure.
  • Система автоматически запускает этот командлет каждые 12 часов.
  • Этот командлет следует использовать только в том случае, если подключение кластера к Интернету было недоступно в течение длительного периода времени.
  • Не запускайте этот командлет сразу после перезагрузки сервера; разрешить автоматическую синхронизацию. В противном случае это может привести к плохому состоянию.

Дальнейшие действия

Дополнительные сведения см. также в разделе:

• Управление кластером с помощью Windows Admin Center в Azure
• Управление кластерами с помощью PowerShell