注册服务器并分配 Azure Stack HCI 版本 23H2 部署的权限
适用于:Azure Stack HCI 版本 23H2
本文介绍如何注册 Azure Stack HCI 服务器,然后设置部署 Azure Stack HCI 版本 23H2 群集所需的权限。
先决条件
在开始之前,请确保已完成以下先决条件:
将订阅注册到所需的资源提供程序(RP)。 可以使用Azure 门户或 Azure PowerShell 进行注册。 需要是订阅的所有者或参与者才能注册以下资源 IP:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
注意
假设向资源提供程序注册 Azure 订阅的人员与向 Arc 注册 Azure Stack HCI 服务器的人员不同。
如果要将服务器注册为 Arc 资源,请确保对预配服务器的资源组具有以下权限:
若要验证你是否拥有这些角色,请按照Azure 门户中的以下步骤操作:
- 转到用于 Azure Stack HCI 部署的订阅。
- 转到计划在其中注册服务器的资源组。
- 在左窗格中,转到访问控制(IAM)。
- 在右窗格中,转到 角色分配。 验证是否分配了 Azure Connected Machine Onboarding 和 Azure Connected Machine Resource Administrator 角色。
使用 Azure Arc 注册服务器
重要
在要群集的每个 Azure Stack HCI 服务器上运行这些步骤。
-
#Register PSGallery as a trusted repo Register-PSRepository -Default -InstallationPolicy Trusted #Install required PowerShell modules in your node for registration Install-Module Az.Accounts -RequiredVersion 2.13.2 Install-Module Az.Resources -RequiredVersion 6.12.0 Install-Module Az.ConnectedMachine -RequiredVersion 0.5.2 #Install Arc registration script from PSGallery Install-Module AzsHCI.ARCinstaller 设置参数。 该脚本采用以下参数:
参数 说明 SubscriptionID用于向 Azure Arc 注册服务器的订阅的 ID。 TenantID用于向 Azure Arc 注册服务器的租户 ID。转到Microsoft Entra ID 并复制租户 ID 属性。 ResourceGroup为服务器的 Arc 注册预先创建的资源组。 如果资源组不存在,则会创建一个资源组。 Region用于注册的 Azure 区域。 请参阅可以使用的支持区域。 AccountID注册和部署群集的用户。 ProxyServer可选参数。 当出站连接需要时,代理服务器地址。 DeviceCode控制台 https://microsoft.com/devicelogin中显示的设备代码用于登录到设备。#Define the subscription where you want to register your server as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your server as Arc device $RG = "YourResourceGroupName" #Define the region you will use to register your server as Arc device $Region = "eastus" #Define the tenant you will use to register your server as Arc device $Tenant = "YourTenantID" #Define the proxy address if your HCI deployment access internet via proxy $ProxyServer = "http://proxyaddress:port"连接到 Azure 帐户并设置订阅。 需要在用于连接到服务器的客户端上打开浏览器并打开此页面:
https://microsoft.com/devicelogin并在 Azure CLI 输出中输入提供的代码进行身份验证。 获取注册的访问令牌和帐户 ID。#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id最后运行 Arc 注册脚本。 此脚本需要花几分钟运行。
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer如果要通过代理服务器访问 Internet,则需要传递
-proxy参数并提供代理服务器,就像运行脚本时一样http://<Proxy server FQDN or IP address>:Port。有关受支持的 Azure 区域的列表,请参阅 Azure 要求。
脚本在所有服务器上成功完成后,请验证:
服务器注册到 Arc。转到Azure 门户,然后转到与注册关联的资源组。 服务器在指定的资源组中显示为 计算机 - Azure Arc 类型资源。
必须在服务器上安装必需的 Azure Stack HCI 扩展。 从资源组中,选择已注册的服务器。 转到 “扩展”。 强制扩展显示在右窗格中。
分配部署所需的权限
本部分介绍如何从Azure 门户分配用于部署的 Azure 权限。
在Azure 门户中,转到用于注册服务器的订阅。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加”,然后从下拉列表中选择“添加角色分配”。
浏览选项卡并向部署群集的用户分配以下角色权限:
- Azure Stack HCI 管理员
- 读者
在Azure 门户中,转到用于在订阅上注册服务器的资源组。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加”,然后从下拉列表中选择“添加角色分配”。
浏览选项卡并向部署群集的用户分配以下权限:
- 密钥库数据访问管理员:管理用于部署的密钥保管库的数据平面权限需要此权限。
- 密钥库机密官员:在用于部署的密钥保管库中读取和写入机密需要此权限。
- 密钥库参与者:创建用于部署的密钥保管库需要此权限。
- 存储帐户参与者:创建用于部署的存储帐户需要此权限。
在右窗格中,转到 “角色分配”。 验证部署用户是否具有所有已配置的角色。
在Azure 门户转到Microsoft Entra 角色和管理员,并在 Microsoft Entra 租户级别分配云应用程序管理员角色权限。
注意
暂时需要云应用程序管理员权限才能创建服务主体。 部署后,可以删除此权限。
后续步骤
在群集中设置第一台服务器后,可以使用Azure 门户进行部署:
- 使用Azure 门户进行部署。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈