Sunucularınızı kaydedin ve Azure Stack HCI, sürüm 23H2 dağıtımı için izinler atayın

Makale
04/22/2024

Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2

Bu makalede, Azure Stack HCI sunucularınızı kaydetme ve ardından Azure Stack HCI, sürüm 23H2 kümesi dağıtmak için gerekli izinleri ayarlama işlemleri açıklanır.

Önkoşullar

Başlamadan önce aşağıdaki önkoşulları tamamladığınızdan emin olun:

Önkoşulları karşılama ve dağıtım denetim listesini tamamlama.
Active Directory ortamınızı hazırlayın.
Her sunucuya Azure Stack HCI, sürüm 23H2 işletim sistemini yükleyin.
Aboneliğinizi gerekli kaynak sağlayıcılarına (RP) kaydedin. Kaydetmek için Azure portal veya Azure PowerShell kullanabilirsiniz. Aşağıdaki kaynak IP'lerini kaydetmek için aboneliğinizin sahibi veya katkıda bulunanı olmanız gerekir:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Not

Azure aboneliğini kaynak sağlayıcılarına kaydeden kişinin Azure Stack HCI sunucularını Arc'a kaydeden kişiden farklı bir kişi olduğu varsayımı vardır.
Sunucuları Arc kaynakları olarak kaydediyorsanız, sunucuların sağlandığı kaynak grubunda aşağıdaki izinlere sahip olduğunuzdan emin olun:
- Azure Connected Machine Onboarding
- Azure Bağlı Makine Kaynak Yöneticisi
Bu rollere sahip olduğunuzu doğrulamak için Azure portal şu adımları izleyin:
1. Azure Stack HCI dağıtımı için kullandığınız aboneliğe gidin.
2. Sunucuları kaydetmeyi planladığınız kaynak grubuna gidin.
3. Sol bölmede Access Control (IAM) öğesine gidin.
4. Sağ bölmede Rol atamaları'na gidin. Azure Connected Machine Onboarding ve Azure Connected Machine Resource Administrator rollerinin atandığını doğrulayın.

Azure Arc ile sunucuları kaydetme

Önemli

Kümelediğiniz her Azure Stack HCI sunucusunda bu adımları çalıştırın.

PSGallery'den Arc kayıt betiğini yükleyin.

PowerShell
Çıkış

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -Force
Install-Module Az.ConnectedMachine -Force
Install-Module Az.Resources -Force

Yüklemenin örnek çıktısı aşağıda verilmişti:

PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
PS C:\Users\SetupUser> Install-Module Az.Resources -Force

Parametreleri ayarlayın. Betik aşağıdaki parametreleri alır:

Parametreler	Description
`SubscriptionID`	Sunucularınızı Azure Arc'a kaydetmek için kullanılan aboneliğin kimliği.
`TenantID`	Sunucularınızı Azure Arc'a kaydetmek için kullanılan kiracı kimliği. Microsoft Entra ID gidin ve kiracı kimliği özelliğini kopyalayın.
`ResourceGroup`	Sunucuların Arc kaydı için önceden oluşturulmuş kaynak grubu. Kaynak grubu yoksa oluşturulur.
`Region`	Kayıt için kullanılan Azure bölgesi. Bkz . Kullanılabilecek desteklenen bölgeler .
`AccountID`	Kümeyi kaydeden ve dağıtan kullanıcı.
`DeviceCode`	konsolunda `https://microsoft.com/devicelogin` görüntülenen cihaz kodu ve cihazda oturum açmak için kullanılır.

PowerShell
Çıkış

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

Parametrelerin örnek çıktısı aşağıda verilmiştir:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"

Azure hesabınıza bağlanın ve aboneliği ayarlayın. Sunucuya bağlanmak için kullandığınız istemcide tarayıcıyı açmanız ve şu sayfayı açmanız gerekir: https://microsoft.com/devicelogin ve kimlik doğrulaması için Sağlanan kodu Azure CLI çıkışına girin. Kayıt için erişim belirtecini ve hesap kimliğini alın.

PowerShell
Çıkış

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Aşağıda, aboneliği ve kimlik doğrulamasını ayarlamaya ilişkin örnek bir çıkış verilmişti:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Son olarak Arc kayıt betiğini çalıştırın. Betiğin çalıştırılması birkaç dakika sürer.

PowerShell
Çıkış

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

İnternet'e bir ara sunucu aracılığıyla erişiyorsanız, parametresini -proxy geçirmeniz ve betiği çalıştırırken olduğu gibi http://<Proxy server FQDN or IP address>:Port ara sunucuyu sağlamanız gerekir.

Sunucularınızın başarılı bir kaydının örnek çıktısını aşağıda bulabilirsiniz:

PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
Installing and Running Azure Stack HCI Environment Checker
All the environment validation checks succeeded
Installing Hyper-V Management Tools
Starting AzStackHci ArcIntegration Initialization
Installing Azure Connected Machine Agent
Total Physical Memory:         588,419 MB
PowerShell version: 5.1.25398.469
.NET Framework version: 4.8.9032
Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
Installing agent package
Installation of azcmagent completed successfully
0
Connecting to Azure using ARM Access Token
Connected to Azure successfully   
Microsoft.HybridCompute RP already registered, skipping registration 
Microsoft.GuestConfiguration RP already registered, skipping registration
Microsoft.HybridConnectivity RP already registered, skipping registration
Microsoft.AzureStackHCI RP already registered, skipping registration
INFO    Connecting machine to Azure... This might take a few minutes.
INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
  20% [==>            ]
  30% [===>           ]
  INFO    Creating resource in Azure...
Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
  60% [========>      ]
  80% [===========>   ]
 100% [===============]
  INFO    Connected machine to Azure
INFO    Machine overview page: https://portal.azure.com/
Connected Azure ARC agent successfully
Successfully got the content from IMDS endpoint
Successfully got Object Id for Arc Installation <Object ID>
$Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
$Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
$Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
$Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
$Checking if Reader is assigned already for SPN with Object ID: <Object ID>
Assigning Reader to Object : <Object ID>
$Successfully assigned Reader to Object Id <Object ID>
Successfully assigned the reader Resource Manager role on the resource group
Installing  TelemetryAndDiagnostics Extension
Successfully triggered  TelemetryAndDiagnostics Extension installation
Installing  DeviceManagement Extension
Successfully triggered  DeviceManagementExtension installation
Installing LcmController Extension
Successfully triggered  LCMController Extension installation
Please verify that the extensions are successfully installed before continuing...

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
Use -Passthru parameter to return results as a PSObject.

Betik tüm sunucularda başarıyla tamamlandıktan sonra şunları doğrulayın:
1. Sunucularınız Arc'a kayıtlı. Azure portal gidin ve ardından kayıtla ilişkilendirilmiş kaynak grubuna gidin. Sunucular belirtilen kaynak grubunda Makine - Azure Arc türündeki kaynaklar olarak görünür.
2. Zorunlu Azure Stack HCI uzantıları sunucularınıza yüklenir. Kaynak grubundan kayıtlı sunucuyu seçin. Uzantılar'a gidin. Zorunlu uzantılar sağ bölmede gösterilir.

Dağıtım için gerekli izinleri atama

Bu bölümde, Azure portal dağıtım için Azure izinlerinin nasıl atandığı açıklanır.

Azure portal sunucuları kaydetmek için kullanılan aboneliğe gidin. Sol bölmede Erişim denetimi (IAM) öğesini seçin. Sağ bölmede + Ekle'yi seçin ve açılan listeden Rol ataması ekle'yi seçin.
Sekmeleri gözden geçirin ve kümeyi dağıtan kullanıcıya aşağıdaki rol izinlerini atayın:
- Azure Stack HCI Yöneticisi
- Bulut Uygulaması Yöneticisi
- Okuyucu
Not

Hizmet sorumlusunu oluşturmak için Bulut Uygulaması Yöneticisi izni geçici olarak gereklidir. Dağıtımdan sonra bu izin kaldırılabilir.
Azure portal, aboneliğinizdeki sunucuları kaydetmek için kullanılan kaynak grubuna gidin. Sol bölmede Erişim denetimi (IAM) öğesini seçin. Sağ bölmede + Ekle'yi seçin ve açılan listeden Rol ataması ekle'yi seçin.
Sekmeleri gözden geçirin ve kümeyi dağıtan kullanıcıya aşağıdaki izinleri atayın:
- veri erişim yöneticisi Key Vault: Bu izin, dağıtım için kullanılan anahtar kasasına yönelik veri düzlemi izinlerini yönetmek için gereklidir.
- Key Vault Gizli Dizi Sorumlusu: Dağıtım için kullanılan anahtar kasasında gizli dizileri okumak ve yazmak için bu izin gereklidir.
- Key Vault Katkıda Bulunan: Dağıtım için kullanılan anahtar kasasını oluşturmak için bu izin gereklidir.
- Depolama Hesabı Katkıda Bulunanı: Dağıtım için kullanılan depolama hesabını oluşturmak için bu izin gereklidir.
Sağ bölmede Rol atamaları'na gidin. Dağıtım kullanıcısının tüm yapılandırılmış rollere sahip olduğunu doğrulayın.

Sonraki adımlar

Kümenizdeki ilk sunucuyu ayarladıktan sonra Azure portal kullanarak dağıtmaya hazır olursunuz:

Azure portal kullanarak dağıtma.