Inscrire vos serveurs et attribuer des autorisations pour le déploiement d’Azure Stack HCI version 23H2

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment inscrire vos serveurs Azure Stack HCI, puis configurer les autorisations requises pour déployer un cluster Azure Stack HCI version 23H2.

Prérequis

Avant de commencer, vérifiez que vous avez rempli les conditions préalables suivantes :

  • Remplissez les conditions préalables et remplissez la liste de contrôle de déploiement.

  • Préparez votre environnement Active Directory .

  • Installez le système d’exploitation Azure Stack HCI version 23H2 sur chaque serveur.

  • Inscrivez votre abonnement auprès des fournisseurs de ressources requis. Vous pouvez utiliser l’Portail Azure ou Azure PowerShell pour vous inscrire. Vous devez être propriétaire ou contributeur sur votre abonnement pour inscrire les adresses RPS de ressources suivantes :

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    Remarque

    L’hypothèse est que la personne qui inscrit l’abonnement Azure auprès des fournisseurs de ressources est une personne différente de celle qui inscrit les serveurs Azure Stack HCI auprès d’Arc.

  • Si vous inscrivez les serveurs en tant que ressources Arc, vérifiez que vous disposez des autorisations suivantes sur le groupe de ressources où les serveurs ont été provisionnés :

    • Intégration de machine connectée à Azure
    • Administrateur des ressources de la machine connectée à Azure

    Pour vérifier que vous avez ces rôles, procédez comme suit dans la Portail Azure :

    1. Accédez à l’abonnement que vous utilisez pour le déploiement Azure Stack HCI.
    2. Accédez au groupe de ressources dans lequel vous envisagez d’inscrire les serveurs.
    3. Dans le volet gauche, accédez au contrôle d’accès (IAM).
    4. Dans le volet droit, accédez aux attributions de rôles. Vérifiez que vous disposez des rôles Azure Connected Machine Onboarding et Azure Connected Machine Resource Administrator .
  • Vérifiez vos stratégies Azure. Assurez-vous que :

    • Les stratégies Azure ne bloquent pas l’installation des extensions.
    • Les stratégies Azure ne bloquent pas la création de certains types de ressources dans un groupe de ressources.
    • Les stratégies Azure ne bloquent pas le déploiement de ressources dans certains emplacements.

Inscrire des serveurs auprès d’Azure Arc

Important

Exécutez ces étapes sur chaque serveur Azure Stack HCI que vous envisagez de cluster.

  1. Installez le script d’inscription Arc à partir de PSGallery. Cette étape n’est requise que si vous utilisez une ISO de système d’exploitation antérieure à 2408. Pour plus d’informations, consultez Nouveautés de la version 2408.

    #Register PSGallery as a trusted repo
    Register-PSRepository -Default -InstallationPolicy Trusted
    
    #Install required PowerShell modules in your node for registration
    Install-Module Az.Accounts -RequiredVersion 3.0.0
    Install-Module Az.Resources -RequiredVersion 6.12.0
    Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
    
    
    #Install Arc registration script from PSGallery 
    Install-Module AzsHCI.ARCinstaller
    
  2. Définissez les paramètres. Le script prend les paramètres suivants :

    Paramètres Description
    SubscriptionID ID de l’abonnement utilisé pour inscrire vos serveurs auprès d’Azure Arc.
    TenantID ID de locataire utilisé pour inscrire vos serveurs auprès d’Azure Arc. Accédez à votre ID Microsoft Entra et copiez la propriété ID de locataire.
    ResourceGroup Groupe de ressources précréé pour l’inscription Arc des serveurs. Un groupe de ressources est créé s’il n’existe pas.
    Region Région Azure utilisée pour l’inscription. Consultez les régions prises en charge qui peuvent être utilisées.
    AccountID L’utilisateur qui inscrit et déploie le cluster.
    ProxyServer Paramètre facultatif. Adresse du serveur proxy quand elle est requise pour la connectivité sortante.
    DeviceCode Le code de l’appareil affiché dans la console à https://microsoft.com/devicelogin l’adresse et utilisé pour se connecter à l’appareil.
    #Define the subscription where you want to register your server as Arc device
    $Subscription = "YourSubscriptionID"
    
    #Define the resource group where you want to register your server as Arc device
    $RG = "YourResourceGroupName"
    
    #Define the region you will use to register your server as Arc device
    $Region = "eastus"
    
    #Define the tenant you will use to register your server as Arc device
    $Tenant = "YourTenantID"
    
    #Define the proxy address if your HCI deployment access internet via proxy
    $ProxyServer = "http://proxyaddress:port"
    
  3. Connectez-vous à votre compte Azure et définissez l’abonnement. Vous devez ouvrir le navigateur sur le client que vous utilisez pour vous connecter au serveur et ouvrir cette page : https://microsoft.com/devicelogin entrez le code fourni dans la sortie Azure CLI pour vous authentifier. Obtenez le jeton d’accès et l’ID de compte pour l’inscription.

    #Connect to your Azure account and Subscription
    Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
    
    #Get the Access Token for the registration
    $ARMtoken = (Get-AzAccessToken).Token
    
    #Get the Account ID for the registration
    $id = (Get-AzContext).Account.Id   
    
  4. Enfin, exécutez le script d’inscription Arc. L’exécution du script prend quelques minutes.

    #Invoke the registration script. Use a supported region.
    Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
    

    Si vous accédez à Internet via un serveur proxy, vous devez passer le -proxy paramètre et fournir le serveur proxy comme http://<Proxy server FQDN or IP address>:Port lors de l’exécution du script.

    Pour obtenir la liste des régions Azure prises en charge, consultez les exigences d’Azure.

  5. Une fois le script terminé avec succès sur tous les serveurs, vérifiez que :

    1. Vos serveurs sont inscrits auprès d’Arc. Accédez au Portail Azure, puis accédez au groupe de ressources associé à l’inscription. Les serveurs apparaissent dans le groupe de ressources spécifié en tant que ressources de type Machine - Azure Arc .

      Capture d’écran des serveurs Azure Stack HCI dans le groupe de ressources après l’inscription réussie.

    2. Les extensions Azure Stack HCI obligatoires sont installées sur vos serveurs. Dans le groupe de ressources, sélectionnez le serveur inscrit. Accédez aux extensions. Les extensions obligatoires s’affichent dans le volet droit.

      Capture d’écran des serveurs inscrits Azure Stack HCI avec des extensions obligatoires installées.

Attribuer des autorisations requises pour le déploiement

Cette section explique comment attribuer des autorisations Azure pour le déploiement à partir du Portail Azure.

  1. Dans le Portail Azure, accédez à l’abonnement utilisé pour inscrire les serveurs. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

    Capture d’écran de l’ajout d’une attribution de rôle dans le contrôle d’accès dans l’abonnement pour le déploiement d’Azure Stack HCI.

  2. Parcourez les onglets et attribuez les autorisations de rôle suivantes à l’utilisateur qui déploie le cluster :

    • Administrateur Azure Stack HCI
    • Lecteur
  3. Dans le Portail Azure, accédez au groupe de ressources utilisé pour inscrire les serveurs sur votre abonnement. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

    Capture d’écran de l’ajout d’une attribution de rôle dans le contrôle d’accès dans le groupe de ressources pour le déploiement d’Azure Stack HCI.

  4. Parcourez les onglets et attribuez les autorisations suivantes à l’utilisateur qui déploie le cluster :

    • Administrateur de l’accès aux données Key Vault : cette autorisation est requise pour gérer les autorisations de plan de données sur le coffre de clés utilisé pour le déploiement.
    • Agent des secrets Key Vault : cette autorisation est requise pour lire et écrire des secrets dans le coffre de clés utilisé pour le déploiement.
    • Contributeur Key Vault : cette autorisation est requise pour créer le coffre de clés utilisé pour le déploiement.
    • Contributeur de compte de stockage : cette autorisation est requise pour créer le compte de stockage utilisé pour le déploiement.
  5. Dans le volet droit, accédez aux attributions de rôles. Vérifiez que l’utilisateur de déploiement a tous les rôles configurés.

  6. Dans le Portail Azure accédez aux rôles et administrateurs Microsoft Entra et attribuez l’autorisation de rôle Administrateur d’application cloud au niveau du locataire Microsoft Entra.

    Capture d’écran de l’autorisation Administrateur d’application cloud au niveau du locataire.

    Remarque

    L’autorisation Administrateur d’application cloud est temporairement nécessaire pour créer le principal de service. Après le déploiement, cette autorisation peut être supprimée.

Étapes suivantes

Après avoir configuré le premier serveur de votre cluster, vous êtes prêt à déployer à l’aide de Portail Azure :