Управление кластерами Azure Stack HCI с помощью Windows Admin Center в Azure (предварительная версия)

Область применения: Azure Stack HCI, версии 22H2 и 21H2

Внимание

Центр windows Администратор в портал Azure в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Внимание

Версия 1.36 и 1.35 агента машин Azure Подключение (агент Arc) прерывает подключение к Центру Администратор Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

С помощью Центра Администратор Windows в портал Azure вы можете управлять операционной системой Azure Stack HCI кластера. Вы можете безопасно управлять кластером из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к компьютеру.

С расширением Центра Администратор Windows в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления кластером Azure Stack HCI в портал Azure. Для управления кластерами и рабочими нагрузками Azure Stack HCI больше не требуется устанавливать протокол удаленного рабочего стола или протокол удаленного рабочего стола (RDP) — все это можно сделать в собственном коде из портал Azure. Центр windows Администратор предоставляет средства, которые обычно можно найти в диспетчере отказоустойчивых кластеров, диспетчер устройств, диспетчере задач, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Майкрософт (MMC).

В этой статье представлен обзор использования Центра Администратор Windows в портал Azure, требованиях и установке Центра windows Администратор и использовании его для управления кластером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Обзор Центра Администратор Windows в Azure

Центр windows Администратор в портал Azure предоставляет основные средства для управления кластером Azure Stack HCI. Кластеры можно управлять без необходимости открывать любой входящий порт в брандмауэре.

С помощью Центра Администратор Windows в портал Azure можно управлять:

• Серверы
• Объемы
• Диски
• Инфраструктура SDN
• Диагностика
• Безопасность
• Сертификаты
• .
• События
• Файлы и общий доступ к файлам
• Брандмауэр
• Установленные приложения
• Локальные пользователи и группы
• Монитор производительности
• PowerShell
• Процессы
• Реестр
• Удаленный рабочий стол
• Роли и компоненты
• Запланированные задачи
• Службы
• Память
• Виртуальные машины
• Виртуальные коммутаторы

В настоящее время мы не поддерживаем другие расширения для Центра Администратор Windows в портал Azure.

Предупреждение

Если вы вручную установили Центр Windows Администратор в кластере для управления несколькими системами, включение Центра Windows Администратор в Azure заменит существующий экземпляр Центра Windows Администратор и удаляет возможность управления другими компьютерами. Вы потеряете доступ к ранее развернутом экземпляру Центра windows Администратор.

Требования

В этом разделе приведены требования к использованию Центра Администратор Windows в портал Azure для управления гибридным компьютером:

• Учетная запись Azure с активной подпиской
• Разрешения Azure
• Доступность региона Azure
• Требования к Azure Stack HCI
• Требования к сети

учетная запись Azure с активной подпиской.

Для развертывания Центра Администратор Windows потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Центра Администратор Windows вы зарегистрируете поставщика ресурсов Microsoft.Hybrid Подключение ivity для подписки.

Внимание

Вам нужно получить разрешение на регистрацию поставщика ресурсов. Для этого выполните операцию */register/action. Разрешение входит в подписку, если вам назначена роль участника или владельца.

Примечание.

Регистрация поставщика ресурсов — это одна задача для каждой подписки.

Чтобы проверка состояние поставщика ресурсов и зарегистрируйтесь при необходимости:

1. Войдите на портал Azure.
2. Выберите Подписки.
3. Выберите имя подписки.
4. Выберите параметр Поставщики ресурсов.
5. Найдите Microsoft.Hybrid Подключение ivity.
6. Убедитесь, что состояние Microsoft.Hybrid Подключение ivity зарегистрировано.
   1. Если состояние не зарегистрировано, выберите Microsoft.Hybrid Подключение ivity и нажмите кнопку "Регистрация".

Разрешения Azure

для Подключение центра Windows Администратор требуется разрешение средства чтения и Windows Администратор Center Администратор istrator Login в ресурсе Azure Stack HCI с поддержкой Arc.

Ознакомьтесь со сведениями о назначении ролей Azure с помощью портала Azure.

Доступность по регионам Azure

Центр windows Администратор поддерживается во всех общедоступных регионах Azure Stack HCI.

Примечание.

Центр windows Администратор не поддерживается в Azure China 21Vianet, Azure для государственных организаций или других недоступных облаках

Требования к Azure Stack HCI

Чтобы использовать Центр windows Администратор в портал Azure, агент Центра Администратор Windows должен быть установлен на каждом узле кластера с помощью расширения виртуальной машины Azure. Каждый узел кластера должен соответствовать следующим требованиям:

• Azure Stack HCI версии 21H2 или более поздней
• 3 ГБ памяти или больше
• Кластер Azure Stack HCI должен быть подключен к Azure с помощью Azure Arc
• Агент Azure Arc версии 1.13.21320.014 или более поздней

Требования к сети

Каждый узел кластера Azure Stack HCI должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

  • *.service.waconazure.comWindowsAdminCenterили тег службы
  • pas.windows.net
  • *.servicebus.windows.net

Примечание.

Для использования Центра Администратор Windows не требуются входящие порты.

Компьютер управления, на котором запущен портал Azure, должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра Администратор Windows в портал Azure

Прежде чем использовать Центр Администратор Windows в портал Azure, необходимо развернуть расширение виртуальной машины Центра Администратор Windows, выполнив следующие действия.

1. Откройте портал Azure и перейдите к кластеру Azure Stack HCI.
2. В группе Параметры выберите Центр Администратор Windows.
3. Укажите порт, на котором вы хотите установить Центр Администратор Windows, а затем нажмите кнопку "Установить".

Подключение в Центр Администратор Windows в портал Azure

После установки Центра Администратор Windows в кластере выполните следующие действия, чтобы подключиться к нему и использовать его для управления Azure Stack HCI:

1. Откройте портал Azure и перейдите к кластеру Azure Stack HCI, а затем в группе Параметры выберите Центр Windows Администратор.
2. Нажмите Подключиться.

Примечание.

Начиная с апреля 2023 года Центр Администратор Windows теперь позволяет использовать проверку подлинности на основе идентификатора Microsoft Entra для кластеров 22H2 или более поздних версий с расширением Администратор Center больше 0.0.0.313. Вам больше не будет предложено указать учетные данные учетной записи локального администратора. Однако в Центре windows Администратор могут потребоваться учетные данные локального администратора. Например, если требуется CredSSP. Кластеры под управлением 21H2 или ниже по-прежнему требуют учетных данных локального администратора.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Настройка назначений ролей

Доступ к Центру администрирования Windows управляется ролью администратора Центра администрирования Windows. Эта роль должна быть настроена в ресурсе Azure Stack HCI, а также на каждом из серверов с поддержкой Azure Arc, связанных с этим кластером.

Примечание.

Роль входа администратора Windows Admin Center использует dataActions и поэтому не может быть назначена в области группы управления. В настоящее время эти роли можно назначать только в области подписки, группы ресурсов или ресурсов.

Чтобы настроить назначения ролей для кластера с помощью интерфейса Центра администрирования Microsoft Entra, выполните следующие действия.

1. Выберите группу ресурсов, содержащую кластер и связанные ресурсы Azure Arc.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Параметр	Значение
   Роль	Вход администратора Windows Admin Center
   Назначить доступ для	Пользователь, группа, субъект-служба или управляемое удостоверение

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначьте роли Azure с помощью примеров Azure CLI. Azure CLI также можно использовать в интерфейсе Azure Cloud Shell.
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

Как это работает

С помощью Центра Администратор Windows в Azure вы можете подключиться к кластеру, не требуя включения в брандмауэре любого входящего порта. Центр windows Администратор через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого кластера Azure Stack HCI, которым требуется управлять с помощью Центра Администратор Windows в портал Azure, необходимо развернуть агент на всех узлах в кластере.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к кластеру.

При нажатии кнопки "Установить" выполняются следующие действия:

1. Регистрирует поставщик ресурсов Microsoft.Hybrid Подключение ivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с кластером с поддержкой Arc.
2. Развертывает ресурс конечной точки Azure поверх каждого из ресурсов с поддержкой Arc в кластере, который обеспечивает обратное прокси-подключение к указанному порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

Примечание.

Удаление Windows Администратор Center не удаляет ресурс логической конечной точки Azure. Он сохраняется для других возможностей, которые могут использовать этот ресурс, например SSH.

Щелкнув Подключение выполните следующие действия:

1. Портал Azure запрашивает поставщик ресурсов Microsoft.Hybrid Подключение ivity для доступа к серверу с поддержкой Arc.
2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к одному из узлов кластера с поддержкой Arc в порту Центра Windows Администратор.
3. Создается уникальный короткий URL-адрес, а подключение к Центру Администратор Windows устанавливается из портал Azure.

Подключение ion to Windows Администратор Center является сквозным шифрованием с завершением SSL в кластере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Центра Администратор Windows можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
        
#Allow connectivity
$patch = @{ "properties" =  @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload

Устранение неполадок

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок в Центре Администратор Windows (не в Azure) см. в разделе "Устранение неполадок Windows Администратор Center".

Не удалось подключиться к "404 конечной точке не найдена"

1. Версия 1.36 и 1.35 агента машин Azure Подключение (агент Arc) прерывает подключение к Центру Администратор Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Не удалось подключиться к ошибке

1. Перезапустите службу HIMDS.

   1. RDP в каждом узле кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds
      

2. Убедитесь, что служба Центра Windows Администратор работает в кластере.

   1. RDP в каждом узле кластера.
   2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
   3. Убедитесь, что serverManagementGateway или Windows Администратор Center запущен.
   4. Если это не так, запустите службу.

3. Убедитесь, что порт включен для сеанса обратного прокси.

   1. RDP в каждом узле кластера.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list
      

   3. В результате должен вернуться список портов в конфигурации incomingconnections.ports (предварительная версия), которые будут подключены из Azure. Убедитесь, что порт, на котором установлен Центр Администратор Windows, находится в этом списке. Например, если Центр windows Администратор установлен на порте 443, результатом будет:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. В случае, если он не указан в этом списке, выполните команду

      azcmagent config set incomingconnections.ports <port>
      

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

4. Убедитесь, что у вас есть исходящее подключение к необходимым портам.

   1. Каждый узел кластера должен иметь исходящее подключение к следующей конечной точке.
      • *.wac.azure.comили *.waconazure.com Windows Администратор Center ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть колонку и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

1. Дважды проверка, чтобы убедиться, что кластер соответствует требованиям.

2. Убедитесь, что исходящий трафик в Центр Администратор Windows разрешен на каждом узле кластера.

   1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, проверка, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

• Журналы аудита на портале Azure. Их можно найти в разделе Параметры>Расширения>AdminCenter>Показать подробное состояние.

• Регистрируется на каждом узле кластера. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

  azcmagent logs
  

• Журналы сетевой трассировки, если это целесообразно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

• Режим инкогнито Chrome не поддерживается.
• портал Azure классическое приложение не поддерживается.
• Подробные сообщения об ошибках для неудачных подключений пока недоступны.
• Обновления не поддерживается. Пользователи не могут применять обновления к кластеру Azure Stack HCI с помощью CAU (обновление с учетом кластера).

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Центра Администратор Windows в Azure.

Сколько стоит использование Windows Admin Center?

Нет затрат, связанных с использованием Центра Администратор Windows в портал Azure.

Можно ли использовать Центр windows Администратор для управления виртуальными машинами, работающими в кластере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер, а Центр администрирования Windows отобразит расширения виртуальной машины и коммутатора.

Какие кластеры можно управлять с помощью этого расширения?

Вы можете использовать возможность управления кластерами Azure Stack HCI с поддержкой Arc версии 21H2 или более поздней. Вы также можете использовать Центр Администратор Windows для управления серверами с поддержкой Arc.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр Администратор Windows шифруется сквозным шифрованием. Кластер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Центра Администратор Windows?

Для использования Центра Администратор Windows не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для службы, созданной для взаимодействия с сервером, требуется правило исходящего порта. Наша служба выдает вам сертификат бесплатной стоимости для вашего экземпляра Windows Администратор Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра windows Администратор из портал Azure, сохраняя сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Центру Администратор Windows из Azure не требуется входящий порт и только исходящее подключение через решение обратного прокси-сервера. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

1. RDP на сервере.
2. Откройте редактор реестра.
3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway.
4. Чтение значения для поиска используемого SmePort порта.

У меня уже есть Центр Администратор Windows, установленный на одном или всех узлах кластера. Можно ли получить доступ к нему с портала?

Да. Вы можете выполнить те же действия, описанные в этом документе.

Предупреждение

Включение этой возможности заменит существующий экземпляр Центра Администратор Windows и удаляет возможность управления другими компьютерами. Ранее развернутый экземпляр Центра Администратор Windows больше не будет использоваться.

Следующие шаги

• Сведения о Центре Администратор Windows
• Сведения об управлении серверами с помощью Центра Администратор Windows
• Сведения о Azure Stack HCI
• Сведения о подключении Azure Stack HCI к Azure