在 Azure 中使用 Windows Admin Center 管理 Azure Stack HCI 群集(预览版)
重要
Azure 门户中的 Windows Admin Center 目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
重要
Azure Connected Machine 代理(Arc 代理)的版本 1.36 和 1.35 将断开与 Windows Admin Center 的连接。 此问题在 Arc 代理之后的版本 (1.37+) 中已经得到修复,可在此处下载。
使用 Azure 门户中的 Windows Admin Center,可以管理群集的 Azure Stack HCI 操作系统。 可以从任何位置安全地管理群集,而无需使用 VPN、公共 IP 地址或与计算机建立其他入站连接。
通过 Azure 中的 Windows Admin Center 扩展,可以获得用于在 Azure 门户中管理 Azure Stack HCI 群集的管理、配置、故障排除和维护功能。 不再需要建立直接连接或远程桌面协议 (RDP) 连接即可管理 Azure Stack HCI 群集和工作负载 – 所有管理操作都可以从 Azure 门户本地完成。 Windows Admin Center 提供通常可以在故障转移群集管理器、设备管理器、任务管理器、Hyper-V 管理器及其他大多数 Microsoft 管理控制台 (MMC) 工具中找到的工具。
本文概述如何使用 Azure 门户中的 Windows Admin Center、要求以及如何安装 Windows Admin Center 并使用它来管理群集。 本文还回答了常见问题,并提供了已知问题的列表,以及在某项功能不起作用时进行故障排除的提示。
Azure 中的 Windows Admin Center 概述
Azure 门户中的 Windows Admin Center 提供用于管理 Azure Stack HCI 群集的基本工具。 无需在防火墙上打开任何入站端口即可管理群集。
使用 Azure 门户中的 Windows Admin Center 可以管理:
- 服务器
- 卷
- 驱动器
- SDN 基础结构
- 诊断
- 安全性
- 证书
- 设备
- 事件
- 文件和文件共享
- 防火墙
- 已安装的应用
- 本地用户和组
- 性能监视器
- PowerShell
- 进程
- 注册表
- 远程桌面
- 角色和功能
- 计划任务
- 服务
- 存储
- 虚拟机
- 虚拟交换机
目前不支持 Azure 门户中 Windows Admin Center 的其他扩展。
警告
如果在群集上手动安装 Windows Admin Center 以管理多个系统,则启用 Azure 中的 Windows Admin Center 会替换现有的 Windows Admin Center 实例,并删除用于管理其他计算机的功能。 你将无法访问以前部署的 Windows Admin Center 实例。
要求
本部分提供使用 Azure 门户中的 Windows Admin Center 管理混合计算机所要满足的要求:
具有有效订阅的 Azure 帐户
需要使用一个具有有效订阅的 Azure 帐户来部署 Windows Admin Center。 如果你没有帐户,可以免费创建一个帐户。
在部署 Windows Admin Center 期间,你将为订阅注册 Microsoft.HybridConnectivity 资源提供程序。
重要
必须拥有注册资源提供程序(这需要执行 */register/action
操作)的权限。 如果你在自己的订阅中具有参与者或所有者角色,则已拥有此权限。
注意
资源提供程序注册是针对每个订阅的一次性任务。
若要检查资源提供程序的状态并根据需要进行注册,请执行以下操作:
- 登录 Azure 门户。
- 选择 订阅。
- 选择你的订阅名称。
- 选择“资源提供程序”。
- 搜索 Microsoft.HybridConnectivity。
- 验证 Microsoft.HybridConnectivity 的状态是否为“已注册”。
- 如果状态为“未注册”,请选择“Microsoft.HybridConnectivity”,然后选择“注册”。
Azure 权限
需要在已启用 Arc 的 Azure Stack HCI 资源上拥有“读取者”和“Windows Admin Center 管理员登录”权限才能连接到 Windows Admin Center。
了解有关使用 Azure 门户分配 Azure 角色的详细信息。
Azure 区域可用性
Azure Stack HCI 支持的所有公共区域都支持 Windows Admin Center。
注意
Azure 中国世纪互联、Azure 政府云或其他非公有云不支持 Windows Admin Center
Azure Stack HCI 要求
若要使用 Azure 门户中的 Windows Admin Center,必须通过 Azure VM 扩展将 Windows Admin Center 代理安装在群集的每个节点上。 群集的每个节点应满足以下要求:
- Azure Stack HCI 版本 21H2 或更高版本
- 3 GB 或更多内存
- 必须使用 Azure Arc 将 Azure Stack HCI 群集连接到 Azure
- Azure Arc 代理版本 1.13.21320.014 或更高版本
网络要求
Azure Stack HCI 群集的每个节点必须满足以下网络要求:
出站 Internet 访问或出站端口规则允许 HTTPS 流量流向以下终结点:
*.service.waconazure.com
WindowsAdminCenter
或服务标记pas.windows.net
*.servicebus.windows.net
注意
使用 Windows Admin Center 不需要入站端口。
运行 Azure 门户的管理计算机必须满足以下网络要求:
- 通过端口
443
进行出站 Internet 访问
在从管理计算机或系统访问 Azure 门户之前,请确保查看支持的设备和推荐的浏览器。
安装 Azure 门户中的 Windows Admin Center
必须先使用以下步骤部署 Windows Admin Center VM 扩展,才能使用 Azure 门户中的 Windows Admin Center:
- 打开 Azure 门户并导航到你的 Azure Stack HCI 群集。
- 在“设置”组下,选择“Windows Admin Center”。
- 指定要在其上安装 Windows Admin Center 的端口,然后选择“安装”。
连接到 Azure 门户中的 Windows Admin Center
在群集上安装 Windows Admin Center 后,执行以下步骤与它相连接,然后使用它来管理 Azure Stack HCI:
- 打开 Azure 门户并导航到你的 Azure Stack HCI 群集,然后在“设置”组下选择“Windows Admin Center”。
- 选择“连接” 。
注意
从 2023 年 4 月开始,Windows Admin Center 现在支持对运行大于 0.0.0.313 的 AdminCenter 扩展的 22H2 或更高版本的群集使用基于 Microsoft Entra ID 的身份验证。 系统不再提示你输入本地管理员帐户的凭据。 但是,Windows Admin Center 中可能仍有一些可能需要本地管理员凭据的体验。 例如,当需要 CredSSP 时。 运行 21H2 或以下版本的群集将继续需要本地管理员凭据。
此时 Windows Admin Center 在门户中打开,使你能够访问在本地部署中使用 Windows Admin Center 时可能熟悉的相同工具。
配置角色分配
对 Windows Admin Center 的访问是由“Windows Admin Center 管理员登录”Azure 角色控制的。 必须在 Azure Stack HCI 资源以及与此群集关联的每个已启用 Azure Arc 的服务器上配置此角色。
注意
“Windows Admin Center 管理员登录”角色使用 dataActions,因此无法在管理组范围内分配。 目前只能在订阅、资源组或资源范围中分配这些角色。
若要使用 Microsoft Entra 管理中心体验为群集配置角色分配,请执行以下操作:
选择包含该群集和关联 Azure Arc 资源的资源组。
选择“访问控制 (IAM)”。
选择“添加”>“添加角色分配”,打开“添加角色分配”页面 。
分配以下角色。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色。
设置 值 角色 Windows Admin Center 管理员登录 将访问权限分配到 用户、组、服务主体或托管标识
有关如何使用 Azure RBAC 管理对 Azure 订阅资源的访问的详细信息,请参阅以下文章:
- 使用 Azure CLI 分配 Azure 角色
- 使用 Azure CLI 分配 Azure 角色的示例。 还可以在 Azure Cloud Shell 体验中使用 Azure CLI。
- 使用 Azure 门户分配 Azure 角色
- 使用 Azure PowerShell 分配 Azure 角色。
工作原理
使用 Azure 中的 Windows Admin Center,可以连接到群集,而无需在防火墙上启用任何入站端口。 Windows Admin Center 可以通过 Arc 代理安全地以出站方式与 Azure Arc 服务建立反向代理会话连接。
对于你要使用 Azure 门户中的 Windows Admin Center 管理的每个 Azure Stack HCI 群集,必须将一个代理部署到群集中的所有节点。
该代理与用于管理证书的外部服务通信,让你可以轻松连接到群集。
单击“安装”会执行以下操作:
- 在订阅中注册 Microsoft.HybridConnectivity 资源提供程序。 该资源提供程序托管用来与已启用 Arc 的群集通信的代理。
- 在群集中每个已启用 Arc 的资源上部署 Azure 终结点资源,以便在指定的端口上启用反向代理连接。 这只是 Azure 中的一个逻辑资源,不会在服务器本身上部署任何组件。
- 使用有效的 TLS 证书在混合计算机上安装 Windows Admin Center 代理。
注意
卸载 Windows Admin Center 不会删除逻辑 Azure 终结点资源。 此终结点是为可能利用此资源的其他体验保留的,例如 SSH。
单击“连接”会执行以下操作:
- Azure 门户要求 Microsoft.HybridConnectivity 资源提供程序访问已启用 Arc 的服务器。
- 该资源提供程序与第 4 层 SNI 代理通信,以便在 Windows Admin Center 端口上建立对群集中某个已启用 Arc 的节点的短期、特定于会话的访问。
- 生成唯一的短期 URL,并从 Azure 门户建立与 Windows Admin Center 的连接。
与 Windows Admin Center 的连接借助群集上发生的 SSL 终止进行端到端加密。
使用 PowerShell 自动执行 Windows Admin Center 部署
可以使用此示例 PowerShell 脚本在 Azure 门户中自动完成 Windows Admin Center 部署。
$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
#Allow connectivity
$patch = @{ "properties" = @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload
疑难解答
下面是一些提示,在某项功能不起作用时可以尝试操作。 有关一般性的 Windows Admin Center 故障排除方法(而不是专门在 Azure 中使用的方法),请参阅 Windows Admin Center 故障排除。
连接失败,显示“404 找不到终结点”
- Azure Connected Machine 代理(Arc 代理)的版本 1.36 和 1.35 将断开与 Windows Admin Center 的连接。 此问题在 Arc 代理之后的版本 (1.37+) 中已经得到修复,可在此处下载。
无法连接错误
重启 HIMDS 服务。
通过 RDP 连接到群集的每个节点。
以管理员身份打开 PowerShell 并运行:
Restart-Service -Name himds
确保 Windows Admin Center 服务正在群集上运行。
- 通过 RDP 连接到群集的每个节点。
- 打开“任务管理器”(Ctrl+Shift+Esc) 并导航到“服务”。
- 确保“ServerManagementGateway/Windows Admin Center”正在运行。
- 如果未运行,请启动相应的服务。
检查是否为反向代理会话启用了端口。
通过 RDP 连接到群集的每个节点。
以管理员身份打开 PowerShell 并运行:
azcmagent config list
这应会在 incomingconnections.ports(预览版)配置下返回一个端口列表,这些端口已启用以便从 Azure 进行连接。 确认安装 Windows Admin Center 的端口包含在此列表中。 例如,如果 Windows Admin Center 是在端口 443 上安装的,则结果为:
Local configuration setting incomingconnections.ports (preview): 443
如果此端口不包含在此列表中,请运行
azcmagent config set incomingconnections.ports <port>
如果使用的是其他体验(例如 SSH),使用此解决方案时可以指定多个端口(用逗号分隔)。
请确保具有与所需端口的出站连接。
- 群集的每个节点应与以下终结点建立出站连接
*.wac.azure.com
、*.waconazure.com
或 WindowsAdminCenter 服务标记pas.windows.net
*.servicebus.windows.net
- 群集的每个节点应与以下终结点建立出站连接
某个 Windows Admin Center 工具未加载或出现错误
导航到 Windows Admin Center 中的任何其他工具,然后导航回未加载的工具。
如果没有加载其他工具,则网络连接可能存在问题。 尝试关闭边栏选项卡,然后重新连接。 如果该操作不起作用,请打开支持票证。
无法安装 Windows Admin Center 扩展
仔细检查并确保群集满足要求。
确保群集的每个节点上允许发往 Windows Admin Center 的出站流量。
为了测试连接性,可以在虚拟机内使用 PowerShell 运行以下命令:
Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
如果已允许所有出站流量,但运行上述命令时仍出现错误,请检查是否有防火墙规则阻止连接。
如果没有任何问题但仍无法安装 Windows Admin Center,请使用以下信息创建支持请求:
Azure 门户中的日志。 可以在“设置”>“扩展”>“AdminCenter”>“查看详细状态”下找到日志 。
在群集的每个节点上记录日志。 运行以下 PowerShell 命令并共享生成的 .zip 文件。
azcmagent logs
网络跟踪(如果适用)。 网络跟踪可能包含客户数据和敏感的安全详细信息,例如密码,因此建议在共享之前查看跟踪并删除所有敏感详细信息。
已知问题
- 不支持 Chrome 隐身模式。
- 不支持 Azure 门户桌面应用。
- 目前不会提供有关失败连接的详细错误消息。
- 不支持更新。 用户无法使用 CAU(群集感知更新)将更新应用到 Azure Stack HCI 群集。
常见问题解答
请查找有关使用 Azure 中的 Windows Admin Center 的常见问题解答。
使用 Windows Admin Center 需要多少费用?
使用 Azure 门户中的 Windows Admin Center 无需付费。
是否可以使用 Windows Admin Center 来管理群集上运行的虚拟机?
可以使用角色和功能扩展来安装 Hyper-V 角色。 安装后,刷新浏览器,Windows Admin Center 将显示虚拟机和交换机扩展。
使用此扩展可以管理哪些群集?
可以使用此功能来管理已启用 Arc 的 Azure Stack HCI 群集版本 21H2 或更高版本。 还可以使用 Windows Admin Center 来管理已启用 Arc 的服务器
Windows Admin Center 如何处理安全问题?
从 Azure 门户到 Windows Admin Center 的流量经过端到端加密。 已启用 Arc 的群集是通过 PowerShell 和基于 WinRM 的 WMI 管理的。
是否需要一个入站端口才能使用 Windows Admin Center?
使用 Windows Admin Center 无需建立入站连接。
为什么必须创建出站端口规则?
对于我们构建的、用来与服务器通信的服务,需要创建出站端口规则。 我们的服务将为 Windows Admin Center 实例颁发一个免费证书。 此服务可使 WAC 证书保持最新状态,确保你始终可以从 Azure 门户连接到 Windows Admin Center 的实例。
此外,从 Azure 访问 Windows Admin Center 不需要入站端口,而只需通过反向代理解决方案建立出站连接。 需要创建这些出站规则才能建立连接。
如何查找用于 Windows Admin Center 安装的端口?
若要验证 SmePort 注册表设置的值,请执行以下操作:
- 通过 RDP 连接到服务器。
- 打开注册表编辑器。
- 导航到注册表项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
。 - 查看
SmePort
的值以找到使用的端口。
我已在群集的一个或所有节点上安装了 Windows Admin Center。 是否可以从门户访问它?
是的。 可以按照本文档中所述的相同步骤进行操作。
警告
启用此功能会替换现有的 Windows Admin Center 实例,并删除用于管理其他计算机的功能。 以前部署的 Windows Admin Center 实例将不再可用。