Registrace serverů a přiřazení oprávnění pro nasazení Azure Stack HCI verze 23H2

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak zaregistrovat servery Azure Stack HCI a pak nastavit požadovaná oprávnění k nasazení clusteru Azure Stack HCI verze 23H2.

Požadavky

Než začnete, ujistěte se, že jste dokončili následující požadavky:

• Splnění požadavků a dokončení kontrolního seznamu nasazení

• Připravte prostředí služby Active Directory .

• Nainstalujte na každý server operační systém Azure Stack HCI verze 23H2.

• Zaregistrujte své předplatné u požadovaných poskytovatelů prostředků (RPS). K registraci můžete použít Azure Portal nebo Azure PowerShell . Abyste mohli zaregistrovat následující RSP prostředků, musíte být vlastníkem nebo přispěvatelem předplatného:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Poznámka:

  Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje servery Azure Stack HCI ve službě Arc.

• Pokud servery registrujete jako prostředky Arc, ujistěte se, že ve skupině prostředků, ve které byly servery zřízené, máte následující oprávnění:

  • Onboarding připojených počítačů Azure
  • Správce prostředků Azure Connected Machine

  Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků na webu Azure Portal:

  1. Přejděte k předplatnému, které používáte pro nasazení Azure Stack HCI.
  2. Přejděte do skupiny prostředků, ve které plánujete servery zaregistrovat.
  3. V levém podokně přejděte na Řízení přístupu (IAM).
  4. V pravém podokně přejděte k přiřazení rolí. Ověřte, že máte přiřazené role Onboardingu připojených počítačů Azure a Správce prostředků připojeného počítače Azure.

• Zkontrolujte zásady Azure. Ujistěte se, že:

  • Zásady Azure neblokují instalaci rozšíření.
  • Zásady Azure neblokují vytváření určitých typů prostředků ve skupině prostředků.
  • Zásady Azure neblokují nasazení prostředků v určitých umístěních.

Registrace serverů ve službě Azure Arc

1. Nainstalujte registrační skript Arc z PSGallery. Tento krok se vyžaduje jenom v případě, že používáte ISO operačního systému, který je starší než 2408. Další informace najdete v tématu Co je nového v roce 2408.

   • PowerShell
   • Výstup

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 3.0.0
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

2. Nastavte parametry. Skript přebírá následující parametry:

   Parametry	Popis
   SubscriptionID	ID předplatného použitého k registraci serverů ve službě Azure Arc.
   TenantID	ID tenanta použité k registraci serverů ve službě Azure Arc. Přejděte na své ID Microsoft Entra a zkopírujte vlastnost ID tenanta.
   ResourceGroup	Skupina prostředků byla předem vytvořena pro registraci serverů arc. Pokud skupina prostředků neexistuje, vytvoří se.
   Region	Oblast Azure použitá k registraci. Podívejte se na podporované oblasti , které je možné použít.
   AccountID	Uživatel, který zaregistruje a nasadí cluster.
   ProxyServer	Volitelný parametr. Adresa proxy serveru, pokud je vyžadována pro odchozí připojení.
   DeviceCode	Kód zařízení zobrazený v konzole https://microsoft.com/devicelogin a slouží k přihlášení k zařízení.

   • PowerShell
   • Výstup

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

3. Připojte se ke svému účtu Azure a nastavte předplatné. Budete muset otevřít prohlížeč na klientovi, kterého používáte pro připojení k serveru, a otevřít tuto stránku: https://microsoft.com/devicelogin a zadejte zadaný kód do výstupu Azure CLI pro ověření. Získejte přístupový token a ID účtu pro registraci.

   • PowerShell
   • Výstup

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

4. Nakonec spusťte registrační skript Arc. Spuštění tohoto skriptu trvá několik minut.

   • PowerShell
   • Výstup

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Pokud přistupujete k internetu přes proxy server, musíte předat -proxy parametr a poskytnout proxy server jako http://<Proxy server FQDN or IP address>:Port při spuštění skriptu.

   Seznam podporovaných oblastí Azure najdete v požadavcích Azure.

5. Po úspěšném dokončení skriptu na všech serverech ověřte, že:

   1. Vaše servery jsou zaregistrované ve službě Arc. Přejděte na web Azure Portal a pak přejděte do skupiny prostředků přidružené k registraci. Servery se zobrazí v zadané skupině prostředků jako prostředky typu Machine – Azure Arc .

      

   2. Na vaše servery se nainstalují povinná rozšíření Azure Stack HCI. Ve skupině prostředků vyberte registrovaný server. Přejděte na rozšíření. Povinná rozšíření se zobrazí v pravém podokně.

      

Přiřazení požadovaných oprávnění pro nasazení

Tato část popisuje, jak přiřadit oprávnění Azure pro nasazení z webu Azure Portal.

1. Na webu Azure Portal přejděte k předplatnému použitému k registraci serverů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

2. Projděte karty a přiřaďte uživateli, který nasadí cluster, následující oprávnění role:

   • Správce Azure Stack HCI
   • Čtenář

3. Na webu Azure Portal přejděte do skupiny prostředků použité k registraci serverů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

4. Projděte karty a přiřaďte uživateli, který nasadí cluster, následující oprávnění:

   • Správce přístupu k datům služby Key Vault: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
   • Key Vault Secrets Officer: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů v trezoru klíčů používaném k nasazení.
   • Přispěvatel služby Key Vault: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů používaného k nasazení.
   • Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.

5. V pravém podokně přejděte na přiřazení rolí. Ověřte, že má uživatel nasazení všechny nakonfigurované role.

6. Na webu Azure Portal přejděte na role a správce Microsoft Entra a přiřaďte oprávnění role Správce cloudových aplikací na úrovni tenanta Microsoft Entra.

   

   Poznámka:

   K vytvoření instančního objektu je dočasně potřeba oprávnění správce cloudových aplikací. Po nasazení je možné toto oprávnění odebrat.

Další kroky

Po nastavení prvního serveru v clusteru jste připraveni k nasazení pomocí webu Azure Portal:

• Nasazení pomocí webu Azure Portal