適用於:Azure Local 的超融合部署
本文說明如何設定訂用帳戶上的必要許可權,以部署 Azure 本機。
Prerequisites
Azure 本地端電腦必要條件
- 完成 適用於您的環境的必要條件和部署檢查清單。
- 準備 Active Directory 環境。
- 下載軟體,並在每部計算機上安裝 Azure Stack HCI作系統 23H2 版。
Azure 必要條件
註冊必要的資源提供者。 請確定您的 Azure 訂用帳戶已針對必要的資源提供者註冊。 若要註冊,您必須是訂用帳戶的擁有者或參與者。 您也可以要求系統管理員註冊。
執行下列 PowerShell 命令 來註冊:
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService" Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation" Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage" Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights" Register-AzResourceProvider -ProviderNamespace "Microsoft.KeyVault"Note
- 假設向資源提供者註冊 Azure 訂用帳戶的人員與向 Arc 註冊 Azure 本機機器的人員不同。
-
Microsoft.Insights監視和記錄需要資源提供者。 如果未註冊此 RP,診斷帳戶和 Key Vault 審計記錄將在驗證過程中失敗。
建立資源群組。 請依照步驟建立資源群組,以便在其中註冊您的機器。 記下資源組名和相關聯的訂用帳戶標識碼。
取得租用戶標識碼。 遵循 透過 Azure 入口網站取得 Microsoft Entra 租使用者識別碼 的步驟。
在 Azure 入口網站中,移至 Microsoft Entra ID>屬性。
向下捲動至 [租使用者標識符] 區段,並複製 [租用戶標識符 ] 值以供稍後使用。
確認權限。 當您將機器註冊為 Arc 資源時,請確定您是資源群組擁有者,或在布建機器的資源群組上具有下列許可權:
-
Azure Connected Machine Onboarding。 -
Azure Connected Machine Resource Administrator。
若要確認您有這些角色,請遵循 Azure 入口網站 中的下列步驟:
移至您用於 Azure 本機部署的訂用帳戶。
移至您打算註冊計算機的資源群組。
在左窗格中,移至 [訪問控制] [IAM]。
在右窗格中,前往 角色指派。 確認您是否擁有
Azure Connected Machine Onboarding和Azure Connected Machine Resource Administrator角色並且已被指派。
-
檢查您的 Azure 原則。 請確定:
- Azure 原則不會封鎖擴充功能安裝。
- Azure 原則不會封鎖在資源群組中建立特定資源類型。
- Azure 原則不會封鎖特定位置的資源部署。
指派用於部署的 Azure 許可權
請遵循下列步驟,從 Azure 入口網站指派用於部署的 Azure 許可權。
在 Azure 入口網站中,移至用來註冊電腦的訂用帳戶。 在左窗格中,選取 [訪問控制][IAM]。 在右窗格中,選取 [+ 新增 ],然後從下拉式清單中選取 [新增角色指派]。
瀏覽索引標籤,並將下列角色許可權指派給部署實例的使用者:
- Azure Stack HCI 系統管理員
- Reader
在 Azure 入口網站 中,移至用來在您的訂用帳戶上註冊機器的資源群組。 在左窗格中,選取 [訪問控制][IAM]。 在右窗格中,選取 [+ 新增 ],然後從下拉式清單中選取 [新增角色指派]。
瀏覽索引標籤,並將下列許可權指派給部署實例的使用者:
- Key Vault 資料存取管理員:管理用於部署之密鑰保存庫的數據平面許可權需要此許可權。
- Key Vault 秘密官員:在用於部署的密鑰保存庫中讀取和寫入秘密需要此許可權。
- Key Vault 參與者:建立用於部署的金鑰保存庫需要此許可權。
- 記憶體帳戶參與者:建立用於部署的記憶體帳戶需要此許可權。
在右窗格中,移至 [ 角色指派]。 確認部署使用者具有所有已設定的角色。
Note
選取訂用帳戶並部署叢集之後,變更訂用帳戶的唯一方法是重新部署叢集。
後續步驟
設定訂用帳戶許可權之後,您可以使用 Azure Arc 註冊 Azure 本機電腦。