Ansluta till Azure Resource Manager på din Azure Stack Edge-enhet
GÄLLER FÖR: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Azure Resource Manager har ett hanteringslager som hjälper dig att skapa, uppdatera och ta bort resurser i din Azure-prenumeration. Azure Stack Edge-enheten har stöd för samma Azure Resource Manager-API:er för att skapa, uppdatera och ta bort virtuella datorer i en lokal prenumeration. Med det här stödet kan du hantera enheten på ett sätt som är konsekvent med molnet.
Den här artikeln beskriver hur du ansluter till de lokala API:erna på din Azure Stack Edge-enhet via Azure Resource Manager med hjälp av Azure PowerShell.
Slutpunkter på Azure Stack Edge-enhet
I följande tabell sammanfattas de olika slutpunkter som exponeras på enheten, protokoll som stöds och portarna för åtkomst till dessa slutpunkter. I artikeln hittar du referenser till dessa slutpunkter.
# | Slutpunkt | Protokoll som stöds | Port som används | Används för |
---|---|---|---|---|
1. | Azure Resource Manager | https | 443 | Ansluta till Azure Resource Manager för automatisering |
2. | Tjänst för säkerhetstoken | https | 443 | Autentisera via åtkomst- och uppdateringstoken |
3. | Klick* | https | 443 | Ansluta till Blob Storage via REST |
* Anslutning till bloblagringsslutpunkten krävs inte för att ansluta till Azure Resource Manager.
Ansluta till Azure Resource Manager-arbetsflöde
Processen för att ansluta till lokala API:er för enheten med Hjälp av Azure Resource Manager kräver följande steg:
Steg # | Gör det här steget ... | .. på den här platsen. |
---|---|---|
1. | Konfigurera din Azure Stack Edge-enhet | Lokalt webbgränssnitt |
2. | Skapa och installera certifikat | Windows-klient-/lokalt webbgränssnitt |
3. | Granska och konfigurera förutsättningarna | Windows-klient |
4. | Konfigurera Azure PowerShell på klienten | Windows-klient |
5. | Ändra värdfil för lösning av slutpunktsnamn | Windows-klient eller DNS-server |
6. | Kontrollera att slutpunktsnamnet har lösts | Windows-klient |
7. | Använda Azure PowerShell-cmdletar för att verifiera anslutningen till Azure Resource Manager | Windows-klient |
I följande avsnitt beskrivs vart och ett av stegen ovan när du ansluter till Azure Resource Manager.
Förutsättningar
Innan du börjar kontrollerar du att klienten som används för att ansluta till enheten via Azure Resource Manager använder TLS 1.2. Mer information finns i Konfigurera TLS 1.2 på Windows-klienten som har åtkomst till Azure Stack Edge-enheten.
Steg 1: Konfigurera Azure Stack Edge-enhet
Utför följande steg i det lokala webbgränssnittet för din Azure Stack Edge-enhet.
Slutför nätverksinställningarna för din Azure Stack Edge-enhet.
Anteckna enhetens IP-adress. Du använder den här IP-adressen senare.
Konfigurera enhetsnamnet och DNS-domänen från sidan Enhet . Anteckna enhetsnamnet och DNS-domänen när du använder dessa senare.
Viktigt!
Enhetsnamnet, DNS-domänen, används för att bilda de slutpunkter som exponeras. Använd Azure Resource Manager- och Blob-slutpunkterna från sidan Enhet i det lokala webbgränssnittet.
Steg 2: Skapa och installera certifikat
Certifikaten säkerställer att kommunikationen är betrodd. På din Azure Stack Edge-enhet genereras självsignerade installationer, blobar och Azure Resource Manager-certifikat automatiskt. Du kan också ta in dina egna signerade blob- och Azure Resource Manager-certifikat.
När du tar in ett eget signerat certifikat behöver du även motsvarande signeringskedja för certifikatet. För signeringskedjan, Azure Resource Manager och blobcertifikaten på enheten behöver du motsvarande certifikat på klientdatorn även för att autentisera och kommunicera med enheten.
Om du vill ansluta till Azure Resource Manager måste du skapa eller hämta signeringskedja och slutpunktscertifikat, importera dessa certifikat på Din Windows-klient och slutligen ladda upp dessa certifikat på enheten.
Skapa certifikat
För endast test och utveckling kan du använda Windows PowerShell för att skapa certifikat i ditt lokala system. När du skapar certifikaten för klienten följer du dessa riktlinjer:
Du måste först skapa ett rotcertifikat för signeringskedjan. Mer information finns i steg för att skapa certifikat för signeringskedjan.
Du kan sedan skapa slutpunktscertifikaten för Azure Resource Manager och blob (valfritt). Du kan hämta dessa slutpunkter från sidan Enhet i det lokala webbgränssnittet. Se stegen för att skapa slutpunktscertifikat.
För alla dessa certifikat kontrollerar du att ämnesnamnet och det alternativa ämnesnamnet överensstämmer med följande riktlinjer:
Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Bloblagring* *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Multi-SAN-enskilt certifikat för båda slutpunkterna <Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
* Blob storage krävs inte för att ansluta till Azure Resource Manager. Den visas här om du skapar lokala lagringskonton på din enhet.
Mer information om certifikat finns i Ladda upp certifikat på enheten och importera certifikat på klienter som har åtkomst till enheten.
Ladda upp certifikat på enheten
De certifikat som du skapade i föregående steg finns i det personliga arkivet på klienten. Dessa certifikat måste exporteras på klienten till lämpliga formatfiler som sedan kan laddas upp till enheten.
Rotcertifikatet måste exporteras som en DER-formatfil med .cer filnamnstillägg. Detaljerade steg finns i Exportera certifikat som en .cer formatfil.
Slutpunktscertifikaten måste exporteras som .pfx-filer med privata nycklar. Detaljerade steg finns i Exportera certifikat som .pfx-fil med privata nycklar.
Rot- och slutpunktscertifikaten laddas sedan upp på enheten med alternativet +Lägg till certifikat på sidan Certifikat i det lokala webbgränssnittet. Om du vill ladda upp certifikaten följer du stegen i Ladda upp certifikat.
Importera certifikat på klienten som kör Azure PowerShell
Den Windows-klient där du anropar Azure Resource Manager-API:erna måste upprätta förtroende för enheten. Därför måste de certifikat som du skapade i föregående steg importeras på Din Windows-klient till lämpligt certifikatarkiv.
Rotcertifikatet som du exporterade som DER-format med .cer tillägget ska nu importeras i betrodda rotcertifikatutfärdare i klientsystemet. Detaljerade steg finns i Importera certifikat till arkivet Betrodda rotcertifikatutfärdare.
Slutpunktscertifikaten som du exporterade som .pfx måste exporteras som .cer. Den här .cer importeras sedan i det personliga certifikatarkivet i systemet. Detaljerade steg finns i Importera certifikat till personligt arkiv.
Steg 3: Installera PowerShell på klienten
Windows-klienten måste uppfylla följande krav:
Kör Windows PowerShell 5.1. Du måste ha Windows PowerShell 5.1. Kör följande cmdlet för att kontrollera versionen av PowerShell i systemet:
$PSVersionTable.PSVersion
Jämför huvudversionen och se till att den är 5.1 eller senare.
Om du har en inaktuell version läser du Uppgradera befintliga Windows PowerShell.
Om du inte har PowerShell 5.1 följer du Installera Windows PowerShell.
Ett exempel på utdata visas nedan.
Windows PowerShell Copyright (C) Microsoft Corporation. All rights reserved. Try the new cross-platform PowerShell https://aka.ms/pscore6 PS C:\windows\system32> $PSVersionTable.PSVersion Major Minor Build Revision ----- ----- ----- -------- 5 1 19041 906
Du kan komma åt PowerShell-galleriet.
Kör PowerShell som administratör. Kontrollera att PowerShellGet-versionen är äldre än 2.2.3. Kontrollera dessutom om är
PSGallery
registrerad som en lagringsplats.Install-Module PowerShellGet -MinimumVersion 2.2.3 Import-Module -Name PackageManagement -ErrorAction Stop Get-PSRepository -Name "PSGallery"
Ett exempel på utdata visas nedan.
PS C:\windows\system32> Install-Module PowerShellGet -MinimumVersion 2.2.3 PS C:\windows\system32> Import-Module -Name PackageManagement -ErrorAction Stop PS C:\windows\system32> Get-PSRepository -Name "PSGallery" Name InstallationPolicy SourceLocation ---- ------------------ -------------- PSGallery Trusted https://www.powershellgallery.com/api/v2
Om lagringsplatsen inte är betrodd eller om du behöver mer information kan du läsa Verifiera tillgängligheten för PowerShell-galleriet.
Steg 4: Konfigurera Azure PowerShell på klienten
Installera Azure PowerShell-moduler på din klient som fungerar med din enhet.
Kör PowerShell som administratör. Du måste ha åtkomst till PowerShell-galleriet.
Kontrollera först att det inte finns några befintliga versioner av
AzureRM
ochAz
moduler på klienten. Kontrollera genom att köra följande kommandon:# Check existing versions of AzureRM modules Get-InstalledModule -Name AzureRM -AllVersions # Check existing versions of Az modules Get-InstalledModule -Name Az -AllVersions
Om det finns befintliga versioner använder du cmdleten
Uninstall-Module
för att avinstallera. Mer information finns iKör följande kommando för att installera nödvändiga Azure PowerShell-moduler från PowerShell-galleriet:
Om klienten använder PowerShell Core version 7.0 eller senare:
# Install the Az.BootStrapper module. Select Yes when prompted to install NuGet. Install-Module -Name Az.BootStrapper # Install and import the API Version Profile into the current PowerShell session. Use-AzProfile -Profile 2020-09-01-hybrid -Force # Confirm the installation of PowerShell Get-Module -Name "Az*" -ListAvailable
Om klienten använder PowerShell 5.1 eller senare:
#Install the Az module version 1.10.0 Install-Module -Name Az -RequiredVersion 1.10.0
Kontrollera att du har rätt Az-modulversion som körs i slutet av installationen.
Om du använde PowerShell 7 eller senare anger följande exempelutdata att Az version 2.0.1-modulerna (eller senare) har installerats korrekt.
PS C:\windows\system32> Install-Module -Name Az.BootStrapper PS C:\windows\system32> Use-AzProfile -Profile 2020-09-01-hybrid -Force Loading Profile 2020-09-01-hybrid PS C:\windows\system32> Get-Module -Name "Az*" -ListAvailable
Om du använde PowerShell 5.1 eller senare anger följande exempelutdata att Az version 1.10.0-modulerna har installerats korrekt.
PS C:\WINDOWS\system32> Get-InstalledModule -Name Az -AllVersions Version Name Repository Description ------- ---- ---------- ----------- 1.10.0 Az PSGallery Mic... PS C:\WINDOWS\system32>
Steg 5: Ändra värdfil för slutpunktsnamnmatchning
Nu ska du lägga till enhetens IP-adress i:
- Värdfilen på klienten, ELLER,
- DNS-serverkonfigurationen
Viktigt!
Vi rekommenderar att du ändrar DNS-serverkonfigurationen för slutpunktsnamnmatchning.
Utför följande steg på din Windows-klient som du använder för att ansluta till enheten:
Starta Anteckningar som administratör och öppna sedan värdfilen som finns i C:\Windows\System32\Drivers\etc.
Lägg till följande poster i värdfilen och ersätt med lämpliga värden för enheten:
<Device IP> login.<appliance name>.<DNS domain> <Device IP> management.<appliance name>.<DNS domain> <Device IP> <storage name>.blob.<appliance name>.<DNS domain>
Viktigt!
Posten i värdfilen ska matcha exakt den som anges för att ansluta till Azure Resource Manager i ett senare steg. Kontrollera att DNS-domänposten här är i gemener. Om du vill hämta värdena för
<appliance name>
och<DNS domain>
går du till sidan Enhet i enhetens lokala användargränssnitt.Du sparade enhetens IP-adress från det lokala webbgränssnittet i ett tidigare steg.
Posten
login.<appliance name>.<DNS domain>
är slutpunkten för Security Token Service (STS). STS ansvarar för skapande, validering, förnyelse och annullering av säkerhetstoken. Tjänsten för säkerhetstoken används för att skapa åtkomsttoken och uppdateringstoken som används för kontinuerlig kommunikation mellan enheten och klienten.Slutpunkten för bloblagring är valfri när du ansluter till Azure Resource Manager. Den här slutpunkten behövs när du överför data till Azure via lagringskonton.
Använd följande bild som referens. Spara värdens fil.
Steg 6: Verifiera slutpunktsnamnmatchning på klienten
Kontrollera om slutpunktsnamnet har lösts på den klient som du använder för att ansluta till enheten.
Du kan använda
ping.exe
kommandoradsverktyget för att kontrollera att slutpunktsnamnet har lösts. Med en IP-adressping
returnerar kommandot TCP/IP-värdnamnet för den dator som du spårar.Lägg till växeln
-a
på kommandoraden enligt exemplet nedan. Om värdnamnet kan returneras returneras även denna potentiellt värdefulla information i svaret.
Steg 7: Ange Azure Resource Manager-miljö
Ange Azure Resource Manager-miljön och kontrollera att din enhet till klientkommunikation via Azure Resource Manager fungerar bra. Utför följande steg för den här verifieringen:
Använd cmdleten
Add-AzEnvironment
för att se till att kommunikationen via Azure Resource Manager fungerar korrekt och att API-anropen går via den port som är dedikerad för Azure Resource Manager, 443.Cmdleten
Add-AzEnvironment
lägger till slutpunkter och metadata så att Azure Resource Manager-cmdletar kan ansluta till en ny instans av Azure Resource Manager.Viktigt!
Url:en för Azure Resource Manager-slutpunkten som du anger i följande cmdlet är skiftlägeskänslig. Kontrollera att slutpunkts-URL:en är i gemener och matchar det du angav i värdfilen. Om ärendet inte matchar visas ett fel.
Add-AzEnvironment -Name <Environment Name> -ARMEndpoint "https://management.<appliance name>.<DNSDomain>/"
Ett exempel på utdata visas nedan:
PS C:\WINDOWS\system32> Add-AzEnvironment -Name AzASE -ARMEndpoint "https://management.myasegpu.wdshcsso.com/" Name Resource Manager Url ActiveDirectory Authority ---- -------------------- ------------------------- AzASE https://management.myasegpu.wdshcsso.com/ https://login.myasegpu.wdshcsso.c...
Ange miljön som Azure Stack Edge och den port som ska användas för Azure Resource Manager-anrop som 443. Du definierar miljön på två sätt:
Konfigurera miljön. Ange följande kommando:
Set-AzEnvironment -Name <Environment Name>
Här är ett exempel på utdata.
PS C:\WINDOWS\system32> Set-AzEnvironment -Name AzASE Name Resource Manager Url ActiveDirectory Authority ---- -------------------- ------------------------- AzASE https://management.myasegpu.wdshcsso.com/ https://login.myasegpu.wdshcsso.c...
Mer information finns i Set-AzEnvironment.
Definiera den infogade miljön för varje cmdlet som du kör. Detta säkerställer att alla API-anrop går igenom rätt miljö. Som standard går anropen via azure-allmänheten, men du vill att de ska gå igenom den miljö som du har angett för Azure Stack Edge-enheten.
Se mer information om hur du byter Az-miljöer.
Anropa lokala enhets-API:er för att autentisera anslutningarna till Azure Resource Manager.
Dessa autentiseringsuppgifter är för ett lokalt datorkonto och används endast för API-åtkomst.
Du kan ansluta via
login-AzAccount
eller viaConnect-AzAccount
kommando.Om du vill logga in skriver du följande kommando.
$pass = ConvertTo-SecureString "<Your password>" -AsPlainText -Force; $cred = New-Object System.Management.Automation.PSCredential("EdgeArmUser", $pass) Connect-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d -credential $cred
Använd klientorganisations-ID:t c0257de7-538f-415c-993a-1b87a031879d eftersom det i den här instansen är hårdkodat. Använd följande användarnamn och lösenord.
Användarnamn - EdgeArmUser
Lösenord - Ange lösenordet för Azure Resource Manager och använd det här lösenordet för att logga in.
Här är ett exempel på utdata för
Connect-AzAccount
:PS C:\windows\system32> $pass = ConvertTo-SecureString "<Your password>" -AsPlainText -Force; PS C:\windows\system32> $cred = New-Object System.Management.Automation.PSCredential("EdgeArmUser", $pass) PS C:\windows\system32> Connect-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d -credential $cred Account SubscriptionName TenantId Environment ------- ---------------- -------- ----------- EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a031879d AzASE PS C:\windows\system32>
Ett annat sätt att logga in är att använda cmdleten
login-AzAccount
.login-AzAccount -EnvironmentName <Environment Name> -TenantId c0257de7-538f-415c-993a-1b87a031879d
Här är ett exempel på utdata.
PS C:\WINDOWS\system32> login-AzAccount -EnvironmentName AzASE -TenantId c0257de7-538f-415c-993a-1b87a031879d Account SubscriptionName TenantId ------- ---------------- -------- EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a... PS C:\WINDOWS\system32>
Använd kommandot för att kontrollera att anslutningen till enheten fungerar
Get-AzResource
. Det här kommandot ska returnera alla resurser som finns lokalt på enheten.Här är ett exempel på utdata.
PS C:\WINDOWS\system32> Get-AzResource Name : aseimagestorageaccount ResourceGroupName : ase-image-resourcegroup ResourceType : Microsoft.Storage/storageaccounts Location : dbelocal ResourceId : /subscriptions/.../resourceGroups/ase-image-resourcegroup/providers/Microsoft.Storage/storageac counts/aseimagestorageaccount Tags : Name : myaselinuxvmimage1 ResourceGroupName : ASERG ResourceType : Microsoft.Compute/images Location : dbelocal ResourceId : /subscriptions/.../resourceGroups/ASERG/providers/Microsoft.Compute/images/myaselinuxvmimage1 Tags : Name : ASEVNET ResourceGroupName : ASERG ResourceType : Microsoft.Network/virtualNetworks Location : dbelocal ResourceId : /subscriptions/.../resourceGroups/ASERG/providers/Microsoft.Network/virtualNetworks/ASEVNET Tags : PS C:\WINDOWS\system32>
Om du stöter på problem med dina Azure Resource Manager-anslutningar kan du läsa Felsöka Azure Resource Manager-problem för vägledning.
Viktigt!
Anslutningen till Azure Resource Manager upphör att gälla var 1,5:e timme eller om Din Azure Stack Edge-enhet startas om. Om detta händer returnerar eventuella cmdletar som du kör felmeddelanden om att du inte längre är ansluten till Azure. Du måste logga in igen.
Växla miljö
Du kan behöva växla mellan två miljöer.
Kör Disconnect-AzAccount
kommandot för att växla till en annan AzEnvironment
. Om du använder Set-AzEnvironment
och Login-AzAccount
utan att använda Disconnect-AzAccount
växlas inte miljön.
I följande exempel visas hur du växlar mellan två miljöer AzASE1
och AzASE2
.
Börja med att ange alla befintliga miljöer på klienten.
PS C:\WINDOWS\system32> Get-AzEnvironment
Name Resource Manager Url ActiveDirectory Authority
---- -------------------- -------------------------
AzureChinaCloud https://management.chinacloudapi.cn/ https://login.chinacloudapi.cn/
AzureCloud https://management.azure.com/ https://login.microsoftonline.com/
AzureGermanCloud https://management.microsoftazure.de/ https://login.microsoftonline.de/
AzDBE1 https://management.HVTG1T2-Test.microsoftdatabox.com https://login.hvtg1t2-test.microsoftdatabox.com/adfs/
AzureUSGovernment https://management.usgovcloudapi.net/ https://login.microsoftonline.us/
AzDBE2 https://management.CVV4PX2-Test.microsoftdatabox.com https://login.cvv4px2-test.microsoftdatabox.com/adfs/
Hämta sedan vilken miljö du för närvarande är ansluten till via Azure Resource Manager.
PS C:\WINDOWS\system32> Get-AzContext |fl *
Name : Default Provider Subscription (...) - EdgeArmUser@localhost
Account : EdgeArmUser@localhost
Environment : AzDBE2
Subscription : ...
Tenant : c0257de7-538f-415c-993a-1b87a031879d
TokenCache : Microsoft.Azure.Commands.Common.Authentication.ProtectedFileTokenCache
VersionProfile :
ExtendedProperties : {}
Du bör nu koppla från den aktuella miljön innan du växlar till den andra miljön.
PS C:\WINDOWS\system32> Disconnect-AzAccount
Id : EdgeArmUser@localhost
Type : User
Tenants : {c0257de7-538f-415c-993a-1b87a031879d}
AccessToken :
Credential :
TenantMap : {}
CertificateThumbprint :
ExtendedProperties : {[Subscriptions, ...], [Tenants, c0257de7-538f-415c-993a-1b87a031879d]}
Logga in på den andra miljön. Exemplet på utdata visas nedan.
PS C:\WINDOWS\system32> Login-AzAccount -Environment "AzDBE1" -TenantId $ArmTenantId
Account SubscriptionName TenantId Environment
------- ---------------- -------- -----------
EdgeArmUser@localhost Default Provider Subscription c0257de7-538f-415c-993a-1b87a031879d AzDBE1
Kör den här cmdleten för att bekräfta vilken miljö du är ansluten till.
PS C:\WINDOWS\system32> Get-AzContext |fl *
Name : Default Provider Subscription (...) - EdgeArmUser@localhost
Account : EdgeArmUser@localhost
Environment : AzDBE1
Subscription : ...
Tenant : c0257de7-538f-415c-993a-1b87a031879d
TokenCache : Microsoft.Azure.Commands.Common.Authentication.ProtectedFileTokenCache
VersionProfile :
ExtendedProperties : {}
Nu har du bytt till den avsedda miljön.