注册服务器并分配 Azure Stack HCI 版本 23H2 部署的权限

适用于：Azure Stack HCI 版本 23H2

本文介绍如何注册 Azure Stack HCI 服务器，然后设置部署 Azure Stack HCI 版本 23H2 群集所需的权限。

先决条件

在开始之前，请确保已完成以下先决条件：

• 满足 先决条件并完成部署清单。

• 准备 Active Directory 环境。

• 在每个服务器上安装 Azure Stack HCI 版本 23H2 操作系统 。

• 将订阅注册到所需的资源提供程序 (RP) 。 可以使用Azure 门户或Azure PowerShell进行注册。 需要是订阅的所有者或参与者才能注册以下资源RP：

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  注意

  假设向资源提供程序注册 Azure 订阅的人员与向 Arc 注册 Azure Stack HCI 服务器的人员不同。

• 如果要将服务器注册为 Arc 资源，请确保对预配服务器的资源组具有以下权限：

  • Azure Connected Machine 加入
  • Azure Connected Machine 资源管理员

  若要验证你是否具有这些角色，请按照Azure 门户中的以下步骤操作：

  1. 转到用于 Azure Stack HCI 部署的订阅。
  2. 转到计划在其中注册服务器的资源组。
  3. 在左窗格中，转到 访问控制 (IAM) 。
  4. 在右窗格中，转到 “角色分配”。 验证是否已分配 Azure Connected Machine Onboarding 和 Azure Connected Machine Resource Administrator 角色。

将服务器注册到 Azure Arc

重要

在要群集的每个 Azure Stack HCI 服务器上运行这些步骤。

1. 从 PSGallery 安装 Arc 注册脚本 。

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -Force
   Install-Module Az.ConnectedMachine -Force
   Install-Module Az.Resources -Force
   

   输出

   下面是安装的示例输出：

   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   
   PS C:\Users\SetupUser> Install-Module Az.Accounts -Force
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -Force
   PS C:\Users\SetupUser> Install-Module Az.Resources -Force
   

2. 设置参数。 该脚本采用以下参数：

   参数	说明
   SubscriptionID	用于将服务器注册到 Azure Arc 的订阅的 ID。
   TenantID	用于将服务器注册到 Azure Arc 的租户 ID。转到Microsoft Entra ID并复制租户 ID 属性。
   ResourceGroup	为服务器的 Arc 注册预先创建的资源组。 如果资源组不存在，则会创建一个资源组。
   Region	用于注册的 Azure 区域。 请参阅可以使用 的受支持区域 。
   AccountID	注册和部署群集的用户。
   DeviceCode	控制台中显示的 https://microsoft.com/devicelogin 设备代码用于登录设备。

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   

   输出

   下面是参数的示例输出：

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   

3. 连接到 Azure 帐户并设置订阅。 需要在用于连接到服务器的客户端上打开浏览器，然后打开此页面： https://microsoft.com/devicelogin 并在 Azure CLI 输出中输入提供的代码进行身份验证。 获取注册的访问令牌和帐户 ID。

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   输出

   下面是设置订阅和身份验证的示例输出：

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. 最后运行 Arc 注册脚本。 此脚本需要花几分钟运行。

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id  
   

   如果通过代理服务器访问 Internet，则需要在运行脚本时传递 -proxy 参数并提供代理服务器 http://<Proxy server FQDN or IP address>:Port 。

   输出

   下面是服务器成功注册的示例输出：

   PS C:\DeploymentPackage> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Force
   Installing and Running Azure Stack HCI Environment Checker
   All the environment validation checks succeeded
   Installing Hyper-V Management Tools
   Starting AzStackHci ArcIntegration Initialization
   Installing Azure Connected Machine Agent
   Total Physical Memory:         588,419 MB
   PowerShell version: 5.1.25398.469
   .NET Framework version: 4.8.9032
   Downloading agent package from https://aka.ms/AzureConnectedMachineAgent to C:\Users\AzureConnectedMachineAgent.msi
   Installing agent package
   Installation of azcmagent completed successfully
   0
   Connecting to Azure using ARM Access Token
   Connected to Azure successfully   
   Microsoft.HybridCompute RP already registered, skipping registration 
   Microsoft.GuestConfiguration RP already registered, skipping registration
   Microsoft.HybridConnectivity RP already registered, skipping registration
   Microsoft.AzureStackHCI RP already registered, skipping registration
   INFO    Connecting machine to Azure... This might take a few minutes.
   INFO    Testing connectivity to endpoints that are needed to connect to Azure... This might take a few minutes.
     20% [==>            ]
     30% [===>           ]
     INFO    Creating resource in Azure...
   Correlation ID=<Correlation ID>=/subscriptions/<Subscription ID>/resourceGroups/myashci-rg/providers/Microsoft.HybridCompute/machines/ms309
     60% [========>      ]
     80% [===========>   ]
    100% [===============]
     INFO    Connected machine to Azure
   INFO    Machine overview page: https://portal.azure.com/
   Connected Azure ARC agent successfully
   Successfully got the content from IMDS endpoint
   Successfully got Object Id for Arc Installation <Object ID>
   $Checking if Azure Stack HCI Device Management Role is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Stack HCI Device Management Role to Object : <Object ID>
   $Successfully assigned Azure Stack HCI Device Management Role to Object Id <Object ID>
   Successfully assigned permission Azure Stack HCI Device Management Service Role to create or update Edge Devices on the resource group
   $Checking if Azure Connected Machine Resource Manager is assigned already for SPN with Object ID: <Object ID>
   Assigning Azure Connected Machine Resource Manager to Object : <Object ID>
   $Successfully assigned Azure Connected Machine Resource Manager to Object Id <Object ID>
   Successfully assigned the Azure Connected Machine Resource Manager role on the resource group
   $Checking if Reader is assigned already for SPN with Object ID: <Object ID>
   Assigning Reader to Object : <Object ID>
   $Successfully assigned Reader to Object Id <Object ID>
   Successfully assigned the reader Resource Manager role on the resource group
   Installing  TelemetryAndDiagnostics Extension
   Successfully triggered  TelemetryAndDiagnostics Extension installation
   Installing  DeviceManagement Extension
   Successfully triggered  DeviceManagementExtension installation
   Installing LcmController Extension
   Successfully triggered  LCMController Extension installation
   Please verify that the extensions are successfully installed before continuing...
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentChecker.log
   Report location: C:\Users\Administrator\.AzStackHci\AzStackHciEnvironmentReport.json
   Use -Passthru parameter to return results as a PSObject.   
   

5. 脚本在所有服务器上成功完成后，请验证：

   1. 服务器已注册到 Arc。转到Azure 门户，然后转到与注册关联的资源组。 服务器在指定的资源组中显示为 “计算机 - Azure Arc 类型资源”。

      

   2. 必需的 Azure Stack HCI 扩展安装在服务器上。 从资源组中，选择已注册的服务器。 转到 “扩展”。 必需的扩展将显示在右窗格中。

      

分配部署所需的权限

本部分介绍如何从Azure 门户为部署分配 Azure 权限。

1. 在Azure 门户，转到用于注册服务器的订阅。 在左窗格中，选择“访问控制(IAM)”。 在右窗格中，选择“ + 添加” ，然后从下拉列表中选择“ 添加角色分配”。

   

2. 浏览选项卡，并将以下角色权限分配给部署群集的用户：

   • Azure Stack HCI 管理员
   • 云应用程序管理员
   • 读者

   注意

   创建服务主体暂时需要云应用程序管理员权限。 部署后，可以删除此权限。

3. 在Azure 门户中，转到用于在订阅上注册服务器的资源组。 在左窗格中，选择“访问控制(IAM)”。 在右窗格中，选择“ + 添加” ，然后从下拉列表中选择“ 添加角色分配”。

   

4. 浏览选项卡，并将以下权限分配给部署群集的用户：

   • 密钥保管库数据访问管理员：管理用于部署的密钥保管库的数据平面权限需要此权限。
   • 密钥保管库机密官员：在用于部署的密钥保管库中读取和写入机密需要此权限。
   • 密钥保管库参与者：创建用于部署的密钥保管库需要此权限。
   • 存储帐户参与者：创建用于部署的存储帐户需要此权限。

5. 在右窗格中，转到 “角色分配”。 验证部署用户是否具有所有配置的角色。

后续步骤

在群集中设置第一台服务器后，可以使用 Azure 门户 进行部署：

• 使用 Azure 门户 进行部署。