Управление кластерами Azure Stack HCI с помощью Windows Admin Center в Azure (предварительная версия)

Область применения: Azure Stack HCI, версии 22H2 и 21H2

Внимание

Windows Admin Center в портал Azure сейчас находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Внимание

Версия 1.36 и 1.35 агента подключенного компьютера Azure (агент Arc) прерывает подключение к Центру администрирования Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

С помощью Windows Admin Center в портал Azure вы можете управлять операционной системой Azure Stack HCI кластера. Вы можете безопасно управлять кластером из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к компьютеру.

С расширением Windows Admin Center в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления кластером Azure Stack HCI в портал Azure. Для управления кластерами и рабочими нагрузками Azure Stack HCI больше не требуется устанавливать протокол удаленного рабочего стола или протокол удаленного рабочего стола (RDP) — все это можно сделать в собственном коде из портал Azure. Windows Admin Center предоставляет средства, которые обычно находятся в диспетчере отказоустойчивых кластеров, диспетчер устройств, диспетчере задач, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Майкрософт (MMC).

В этой статье представлен обзор использования Windows Admin Center в портал Azure, требованиях и установке Центра администрирования Windows и его использовании для управления кластером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Обзор Центра администрирования Windows в Azure

Центр администрирования Windows в портал Azure предоставляет основные средства для управления кластером Azure Stack HCI. Кластеры можно управлять без необходимости открывать любой входящий порт в брандмауэре.

С помощью Центра администрирования Windows в портал Azure вы можете управлять следующими способами:

• Серверы
• Объемы
• Диски
• Инфраструктура SDN
• Диагностика
• Безопасность
• Сертификаты
• .
• События
• Файлы и общий доступ к файлам
• Брандмауэр
• Установленные приложения
• Локальные пользователи и группы
• Монитор производительности
• PowerShell
• Процессы
• Реестр
• Удаленный рабочий стол
• Роли и компоненты
• Запланированные задачи
• Службы
• Память
• Виртуальные машины
• Виртуальные коммутаторы

В настоящее время мы не поддерживаем другие расширения Для Windows Admin Center в портал Azure.

Предупреждение

Если вы вручную установили Windows Admin Center в кластере для управления несколькими системами, включение Центра администрирования Windows в Azure заменит существующий экземпляр Windows Admin Center и удаляет возможность управления другими компьютерами. Вы потеряете доступ к ранее развернутом экземпляру Windows Admin Center.

Требования

В этом разделе приведены требования к использованию Windows Admin Center в портал Azure для управления гибридным компьютером:

• Учетная запись Azure с активной подпиской
• Разрешения Azure
• Доступность региона Azure
• Требования к Azure Stack HCI
• Требования к сети

учетная запись Azure с активной подпиской.

Для развертывания Windows Admin Center потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Windows Admin Center вы зарегистрируете поставщика ресурсов Microsoft.HybridConnectivity для подписки.

Внимание

Вам нужно получить разрешение на регистрацию поставщика ресурсов. Для этого выполните операцию */register/action. Разрешение входит в подписку, если вам назначена роль участника или владельца.

Примечание.

Регистрация поставщика ресурсов — это одна задача для каждой подписки.

Чтобы проверить состояние поставщика ресурсов, зарегистрируйтесь при необходимости:

1. Войдите на портал Azure.
2. Выберите Подписки.
3. Выберите имя подписки.
4. Выберите параметр Поставщики ресурсов.
5. Найдите Microsoft.HybridConnectivity.
6. Убедитесь, что состояние Microsoft.HybridConnectivity зарегистрировано.
   1. Если состояние не зарегистрировано, выберите Microsoft.HybridConnectivity и нажмите кнопку Register.

Разрешения Azure

Для подключения к Центру администрирования Windows требуется разрешение на вход читателя и администратора Центра администрирования Windows в ресурсе Azure Stack HCI с поддержкой Arc.

Ознакомьтесь со сведениями о назначении ролей Azure с помощью портала Azure.

Доступность по регионам Azure

Windows Admin Center поддерживается во всех общедоступных регионах Azure Stack HCI .

Примечание.

Windows Admin Center не поддерживается в Azure China 21Vianet, Azure для государственных организаций или других недоступных облаках

Требования к Azure Stack HCI

Чтобы использовать Windows Admin Center в портал Azure, агент Центра администрирования Windows должен быть установлен на каждом узле кластера с помощью расширения виртуальной машины Azure. Каждый узел кластера должен соответствовать следующим требованиям:

• Azure Stack HCI версии 21H2 или более поздней
• 3 ГБ памяти или больше
• Кластер Azure Stack HCI должен быть подключен к Azure с помощью Azure Arc
• Агент Azure Arc версии 1.13.21320.014 или более поздней

Требования к сети

Каждый узел кластера Azure Stack HCI должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

  • *.service.waconazure.comWindowsAdminCenter или тег службы
  • pas.windows.net
  • *.servicebus.windows.net

Примечание.

Для использования Windows Admin Center не требуются входящие порты.

Компьютер управления, на котором запущен портал Azure, должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра администрирования Windows в портал Azure

Прежде чем использовать Windows Admin Center в портал Azure, необходимо развернуть расширение виртуальной машины Windows Admin Center, выполнив следующие действия.

1. Откройте портал Azure и перейдите к кластеру Azure Stack HCI.
2. В группе "Параметры" выберите Центр администрирования Windows.
3. Укажите порт, на котором вы хотите установить Windows Admin Center, и нажмите кнопку "Установить".

Подключение к Центру администрирования Windows в портал Azure

После установки Windows Admin Center в кластере выполните следующие действия, чтобы подключиться к нему и использовать его для управления Azure Stack HCI:

1. Откройте портал Azure и перейдите к кластеру Azure Stack HCI, а затем в группе "Параметры" выберите Центр администрирования Windows.
2. Нажмите Подключиться.

Примечание.

Начиная с апреля 2023 г. Windows Admin Center теперь позволяет использовать проверку подлинности на основе идентификатора Microsoft Entra для кластеров 22H2 или более поздних версий с расширением AdminCenter больше 0.0.0.313. Вам больше не будет предложено указать учетные данные учетной записи локального администратора. Однако в Центре администрирования Windows могут возникнуть некоторые возможности, которые могут потребовать учетных данных локального администратора. Например, если требуется CredSSP. Кластеры под управлением 21H2 или ниже по-прежнему требуют учетных данных локального администратора.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Настройка назначений ролей

Доступ к Центру администрирования Windows управляется ролью администратора Центра администрирования Windows. Эта роль должна быть настроена в ресурсе Azure Stack HCI, а также на каждом из серверов с поддержкой Azure Arc, связанных с этим кластером.

Примечание.

Роль входа администратора Windows Admin Center использует dataActions и поэтому не может быть назначена в области группы управления. В настоящее время эти роли можно назначать только в области подписки, группы ресурсов или ресурсов.

Чтобы настроить назначения ролей для кластера с помощью интерфейса Центра администрирования Microsoft Entra, выполните следующие действия.

1. Выберите группу ресурсов, содержащую кластер и связанные ресурсы Azure Arc.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Параметр	Значение
   Роль	Вход администратора Windows Admin Center
   Назначить доступ для	Пользователь, группа, субъект-служба или управляемое удостоверение

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначьте роли Azure с помощью примеров Azure CLI. Azure CLI также можно использовать в интерфейсе Azure Cloud Shell.
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

Принцип работы

С помощью Windows Admin Center в Azure вы можете подключиться к кластеру, не требуя включения любого входящего порта в брандмауэре. Центр администрирования Windows через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого кластера Azure Stack HCI, которым требуется управлять с помощью Центра администрирования Windows в портал Azure, необходимо развернуть агент на всех узлах кластера.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к кластеру.

При нажатии кнопки "Установить" выполняются следующие действия:

1. Регистрирует поставщик ресурсов Microsoft.HybridConnectivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с кластером с поддержкой Arc.
2. Развертывает ресурс конечной точки Azure поверх каждого из ресурсов с поддержкой Arc в кластере, который обеспечивает обратное прокси-подключение к указанному порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

Примечание.

Удаление Windows Admin Center не удаляет ресурс логической конечной точки Azure. Он сохраняется для других возможностей, которые могут использовать этот ресурс, например SSH.

При нажатии кнопки "Подключить" выполняются следующие действия:

1. Портал Azure запрашивает у поставщика ресурсов Microsoft.HybridConnectivity доступ к серверу с поддержкой Arc.
2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к одному из узлов кластера с поддержкой Arc в порту Windows Admin Center.
3. Создается уникальный короткий URL-адрес, а подключение к Центру администрирования Windows устанавливается из портал Azure.

Подключение к Центру администрирования Windows является сквозным шифрованием с завершением SSL в кластере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Windows Admin Center можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
        
#Allow connectivity
$patch = @{ "properties" =  @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload

Устранение неполадок

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок Windows Admin Center (не в Azure) см. в разделе "Устранение неполадок с Windows Admin Center".

Не удалось подключиться к "404 конечной точке не найдена"

1. Версия 1.36 и 1.35 агента подключенного компьютера Azure (агент Arc) прерывает подключение к Центру администрирования Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Не удалось подключиться к ошибке

1. Перезапустите службу HIMDS.

   1. RDP в каждом узле кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds
      

2. Убедитесь, что служба Windows Admin Center запущена в кластере.

   1. RDP в каждом узле кластера.
   2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
   3. Убедитесь, что serverManagementGateway или Windows Admin Center запущен.
   4. Если это не так, запустите службу.

3. Убедитесь, что порт включен для сеанса обратного прокси.

   1. RDP в каждом узле кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list
      

   3. В результате должен вернуться список портов в конфигурации incomingconnections.ports (предварительная версия), которые будут подключены из Azure. Убедитесь, что порт, на котором установлен Центр администрирования Windows, находится в этом списке. Например, если Windows Admin Center установлен на порте 443, результатом будет:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. В случае, если он не указан в этом списке, выполните команду

      azcmagent config set incomingconnections.ports <port>
      

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

4. Убедитесь, что у вас есть исходящее подключение к необходимым портам.

   1. Каждый узел кластера должен иметь исходящее подключение к следующей конечной точке.
      • *.wac.azure.com, *.waconazure.com или WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть колонку и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

1. Дважды проверьте, соответствует ли кластер требованиям.

2. Убедитесь, что исходящий трафик в Windows Admin Center разрешен на каждом узле кластера.

   1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, убедитесь, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

• Журналы аудита на портале Azure. Их можно найти в разделе Параметры>Расширения>AdminCenter>Показать подробное состояние.

• Регистрируется на каждом узле кластера. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

  azcmagent logs
  

• Журналы сетевой трассировки, если это целесообразно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

• Режим инкогнито Chrome не поддерживается.
• портал Azure классическое приложение не поддерживается.
• Подробные сообщения об ошибках для неудачных подключений пока недоступны.
• Обновления не поддерживаются. Пользователи не могут применять обновления к кластеру Azure Stack HCI с помощью CAU (обновление с учетом кластера).

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Windows Admin Center в Azure.

Сколько стоит использование Windows Admin Center?

Нет затрат, связанных с использованием Центра администрирования Windows в портал Azure.

Можно ли использовать Windows Admin Center для управления виртуальными машинами, работающими в кластере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер, а Центр администрирования Windows отобразит расширения виртуальной машины и коммутатора.

Какие кластеры можно управлять с помощью этого расширения?

Вы можете использовать возможность управления кластерами Azure Stack HCI с поддержкой Arc версии 21H2 или более поздней. Вы также можете использовать Windows Admin Center для управления серверами с поддержкой Arc.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр администрирования Windows зашифрован. Кластер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Windows Admin Center?

Для использования Windows Admin Center не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для службы, созданной для взаимодействия с сервером, требуется правило исходящего порта. Наша служба выдает вам сертификат бесплатной стоимости для вашего экземпляра Windows Admin Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра администрирования Windows из портал Azure, сохранив сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Windows Admin Center из Azure не требуется входящий порт и только исходящее подключение через обратное прокси-решение. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

1. RDP на сервере.
2. Откройте редактор реестра.
3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway.
4. Чтение значения для поиска используемого SmePort порта.

У меня уже есть Windows Admin Center, установленный на одном или всех узлах кластера. Можно ли получить доступ к нему с портала?

Да. Вы можете выполнить те же действия, описанные в этом документе.

Предупреждение

Включение этой возможности заменит существующий экземпляр Windows Admin Center и удаляет возможность управления другими компьютерами. Ранее развернутый экземпляр Windows Admin Center больше не будет использоваться.

Следующие шаги

• Сведения о Windows Admin Center
• Сведения об управлении серверами с помощью Центра администрирования Windows
• Сведения о Azure Stack HCI
• Сведения о подключении Azure Stack HCI к Azure