Registrera dina servrar och tilldela behörigheter för Distribution av Azure Stack HCI, version 23H2

Artikel
04/29/2024

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du registrerar dina Azure Stack HCI-servrar och sedan konfigurerar de behörigheter som krävs för att distribuera ett Azure Stack HCI- version 23H2-kluster.

Förutsättningar

Innan du börjar kontrollerar du att du har slutfört följande krav:

Uppfylla kraven och slutför checklistan för distribution.
Förbered Din Active Directory-miljö .
Installera operativsystemet Azure Stack HCI version 23H2 på varje server.
Registrera din prenumeration med nödvändiga resursprovidrar (RPs). Du kan använda antingen Azure Portal eller Azure PowerShell för att registrera dig. Du måste vara ägare eller deltagare i din prenumeration för att registrera följande resurs-RP:er:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Anteckning

Antagandet är att personen som registrerar Azure-prenumerationen hos resursprovidrar är en annan person än den som registrerar Azure Stack HCI-servrarna med Arc.
Om du registrerar servrarna som Arc-resurser kontrollerar du att du har följande behörigheter för den resursgrupp där servrarna etablerades:
- Azure Connected Machine Onboarding
- Azure Connected Machine Resource Administrator
Följ dessa steg i Azure Portal för att kontrollera att du har dessa roller:
1. Gå till den prenumeration som du använder för Azure Stack HCI-distributionen.
2. Gå till den resursgrupp där du planerar att registrera servrarna.
3. I det vänstra fönstret går du till Access Control (IAM).
4. I den högra rutan går du till Rolltilldelningar. Kontrollera att rollerna Azure Connected Machine Onboarding och Azure Connected Machine Resource Administrator har tilldelats.

Registrera servrar med Azure Arc

Viktigt

Kör de här stegen på varje Azure Stack HCI-server som du tänker klustra.

Installera Arc-registreringsskriptet från PSGallery.

PowerShell
Resultat

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Här är ett exempel på utdata från installationen:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Ange parametrarna. Skriptet använder följande parametrar:

Parametrar	Description
`SubscriptionID`	ID:t för prenumerationen som används för att registrera dina servrar med Azure Arc.
`TenantID`	Det klientorganisations-ID som används för att registrera dina servrar med Azure Arc. Gå till din Microsoft Entra ID och kopiera egenskapen klient-ID.
`ResourceGroup`	Resursgruppen som skapats i förväg för Arc-registrering av servrarna. En resursgrupp skapas om den inte finns.
`Region`	Den Azure-region som används för registrering. Se de regioner som stöds och som kan användas.
`AccountID`	Den användare som registrerar och distribuerar klustret.
`DeviceCode`	Enhetskoden som visas i -konsolen på `https://microsoft.com/devicelogin` och används för att logga in på enheten.

PowerShell
Resultat

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Här är ett exempel på utdata från parametrarna:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Anslut till ditt Azure-konto och ange prenumerationen. Du måste öppna webbläsaren på klienten som du använder för att ansluta till servern och öppna den här sidan: https://microsoft.com/devicelogin och ange den angivna koden i Azure CLI-utdata för att autentisera. Hämta åtkomsttoken och konto-ID:t för registreringen.

PowerShell
Resultat

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Här är ett exempel på utdata för att ange prenumerationen och autentiseringen:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Kör slutligen Arc-registreringsskriptet. Det tar några minuter att köra skriptet.

PowerShell
Resultat

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Om du ansluter till Internet via en proxyserver måste du skicka parametern -proxy och ange proxyservern som http://<Proxy server FQDN or IP address>:Port när du kör skriptet.

Här är ett exempel på utdata från en lyckad registrering av dina servrar:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

När skriptet har slutförts på alla servrar kontrollerar du att:
1. Dina servrar är registrerade med Arc. Gå till Azure Portal och gå sedan till den resursgrupp som är associerad med registreringen. Servrarna visas i den angivna resursgruppen som Machine – Azure Arc-typresurser .
2. De obligatoriska Azure Stack HCI-tilläggen installeras på dina servrar. Välj den registrerade servern i resursgruppen. Gå till Tillägg. De obligatoriska tilläggen visas i den högra rutan.

Tilldela nödvändiga behörigheter för distribution

I det här avsnittet beskrivs hur du tilldelar Azure-behörigheter för distribution från Azure Portal.

I Azure Portal går du till den prenumeration som används för att registrera servrarna. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.
Gå igenom flikarna och tilldela följande rollbehörigheter till den användare som distribuerar klustret:
- Azure Stack HCI-administratör
- Molnprogramadministratör
- Läsare
Anteckning

Behörigheten Molnprogramadministratör krävs tillfälligt för att skapa tjänstens huvudnamn. Efter distributionen kan den här behörigheten tas bort.
I Azure Portal går du till den resursgrupp som används för att registrera servrarna i din prenumeration. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.
Gå igenom flikarna och tilldela följande behörigheter till den användare som distribuerar klustret:
- Key Vault Administratör för dataåtkomst: Den här behörigheten krävs för att hantera behörigheter för dataplanet till nyckelvalvet som används för distribution.
- Key Vault Secrets Officer: Den här behörigheten krävs för att läsa och skriva hemligheter i nyckelvalvet som används för distribution.
- Key Vault Deltagare: Den här behörigheten krävs för att skapa nyckelvalvet som används för distribution.
- Lagringskontodeltagare: Den här behörigheten krävs för att skapa lagringskontot som används för distribution.
I den högra rutan går du till Rolltilldelningar. Kontrollera att distributionsanvändaren har alla konfigurerade roller.

Nästa steg

När du har konfigurerat den första servern i klustret är du redo att distribuera med hjälp av Azure Portal:

Distribuera med hjälp av Azure Portal.

Share via