サーバーを登録し、Azure Stack HCI バージョン 23H2 デプロイのアクセス許可を割り当てる

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Azure Stack HCI サーバーを登録し、Azure Stack HCI バージョン 23H2 クラスターをデプロイするために必要なアクセス許可を設定する方法について説明します。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

  • 前提条件と完全なデプロイ チェックリストを満たす

  • Active Directory 環境を準備します。

  • 各サーバーに Azure Stack HCI バージョン 23H2 オペレーティング システム をインストールします。

  • サブスクリプションを必要なリソース プロバイダー (RP) に登録します。 Azure ポータルまたは Azure PowerShell を使用して登録できます。 次のリソース RP を登録するには、サブスクリプションの所有者または共同作成者である必要があります。

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    Note

    Azure サブスクリプションをリソース プロバイダーに登録するユーザーは、Azure Stack HCI サーバーを Arc に登録しているユーザーとは異なる人物であることが前提です。

  • サーバーを Arc リソースとして登録する場合は、サーバーがプロビジョニングされたリソース グループに対して次のアクセス許可があることを確認します。

    • Azure Connected Machine のオンボード
    • Azure Connected Machine のリソース管理者

    これらのロールがあることを確認するには、Azure portal で次の手順を実行します。

    1. Azure Stack HCI デプロイに使用するサブスクリプションに移動します。
    2. サーバーの登録を計画しているリソース グループに移動します。
    3. 左側のウィンドウで、 Access Control (IAM) に移動します。
    4. 右側のウィンドウで、 ロールの割り当てに移動します。 Azure Connected Machine Onboarding azure Connected Machine Resource Administrator ロールが割り当てられていることを確認します。
  • Azure ポリシーを確認します。 次のことを確認してください。

    • Azure ポリシーによって拡張機能のインストールがブロックされることはありません。
    • Azure ポリシーは、リソース グループ内の特定のリソースの種類の作成を妨げているわけではありません。
    • Azure ポリシーは、特定の場所でのリソースのデプロイをブロックしていません。

Azure Arc にサーバーを登録する

重要

クラスター化するすべての Azure Stack HCI サーバーで次の手順を実行します。

  1. PSGallery から Arc 登録スクリプト をインストールします。 この手順は、2408 より古い OS ISO を使用している場合にのみ必要です。 詳細については、 2408 の新機能を参照してください。

    #Register PSGallery as a trusted repo
    Register-PSRepository -Default -InstallationPolicy Trusted
    
    #Install required PowerShell modules in your node for registration
    Install-Module Az.Accounts -RequiredVersion 3.0.0
    Install-Module Az.Resources -RequiredVersion 6.12.0
    Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
    
    
    #Install Arc registration script from PSGallery 
    Install-Module AzsHCI.ARCinstaller
    
  2. パラメーターを設定します。 スクリプトは次のパラメーターを受け取ります。

    パラメーター 説明
    SubscriptionID サーバーを Azure Arc に登録するために使用するサブスクリプションの ID。
    TenantID サーバーを Azure Arc に登録するために使用されるテナント ID。Microsoft Entra ID に移動し、テナント ID プロパティをコピーします。
    ResourceGroup サーバーの Arc 登録用に事前に作成されたリソース グループ。 リソース グループが存在しない場合は作成されます。
    Region 登録に使用される Azure リージョン。 使用できる サポートされているリージョン を参照してください。
    AccountID クラスターを登録してデプロイするユーザー。
    ProxyServer 省略可能な 型のパラメーターです。 送信接続に必要な場合のプロキシ サーバー アドレス。
    DeviceCode https://microsoft.com/deviceloginコンソールに表示され、デバイスへのサインインに使用されるデバイス コード。
    #Define the subscription where you want to register your server as Arc device
    $Subscription = "YourSubscriptionID"
    
    #Define the resource group where you want to register your server as Arc device
    $RG = "YourResourceGroupName"
    
    #Define the region you will use to register your server as Arc device
    $Region = "eastus"
    
    #Define the tenant you will use to register your server as Arc device
    $Tenant = "YourTenantID"
    
    #Define the proxy address if your HCI deployment access internet via proxy
    $ProxyServer = "http://proxyaddress:port"
    
  3. Azure アカウントに接続し、サブスクリプションを設定します。 サーバーへの接続に使用しているクライアントでブラウザーを開き、このページを開く必要があります。 https://microsoft.com/devicelogin し、Azure CLI 出力に指定されたコードを入力して認証します。 登録のアクセス トークンとアカウント ID を取得します。

    #Connect to your Azure account and Subscription
    Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
    
    #Get the Access Token for the registration
    $ARMtoken = (Get-AzAccessToken).Token
    
    #Get the Account ID for the registration
    $id = (Get-AzContext).Account.Id   
    
  4. 最後に、Arc 登録スクリプトを実行します。 スクリプトの実行には数分かかります。

    #Invoke the registration script. Use a supported region.
    Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
    

    プロキシ サーバー経由でインターネットにアクセスする場合は、 -proxy パラメーターを渡し、スクリプトの実行時にプロキシ サーバーを http://<Proxy server FQDN or IP address>:Port として指定する必要があります。

    サポートされている Azure リージョンの一覧については、 Azure の要件を参照してください。

  5. すべてのサーバーでスクリプトが正常に完了したら、次のことを確認します。

    1. サーバーは Arc に登録されています。Azure portal に移動し、登録に関連付けられているリソース グループに移動します。 サーバーは、指定したリソース グループ内に Machine - Azure Arc タイプ リソースとして表示されます。

      登録が成功した後のリソース グループ内の Azure Stack HCI サーバーのスクリーンショット。

    2. 必須の Azure Stack HCI 拡張機能がサーバーにインストールされます。 リソース グループから、登録済みサーバーを選択します。 Extensionsに移動します。 必須の拡張機能が右側のウィンドウに表示されます。

      必須の拡張機能がインストールされている Azure Stack HCI 登録済みサーバーのスクリーンショット。

デプロイに必要なアクセス許可を割り当てる

このセクションでは、Azure portal からデプロイするための Azure アクセス許可を割り当てる方法について説明します。

  1. azure portal で、サーバーの登録に使用するサブスクリプションに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。 右側のウィンドウで + 追加 を選択し、ドロップダウン リストから [ロールの割り当ての追加 選択

    Azure Stack HCI デプロイのサブスクリプションでのアクセス制御でのロールの割り当ての追加のスクリーンショット。

  2. タブを表示し、クラスターをデプロイするユーザーに次のロールのアクセス許可を割り当てます。

    • Azure Stack HCI 管理者
    • Reader
  3. Azure portal で、サブスクリプションにサーバーを登録するために使用するリソース グループに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。 右側のウィンドウで + 追加 を選択し、ドロップダウン リストから [ロールの割り当ての追加 選択

    Azure Stack HCI デプロイのリソース グループのアクセス制御でのロールの割り当ての追加のスクリーンショット。

  4. タブを表示し、クラスターをデプロイするユーザーに次のアクセス許可を割り当てます。

    • Key Vault データ アクセス管理者: このアクセス許可は、デプロイに使用されるキー コンテナーに対するデータ プレーンのアクセス許可を管理するために必要です。
    • Key Vault シークレット責任者: このアクセス許可は、デプロイに使用されるキー コンテナー内のシークレットの読み取りと書き込みに必要です。
    • Key Vault 共同作成者: このアクセス許可は、デプロイに使用するキー コンテナーを作成するために必要です。
    • ストレージ アカウント共同作成者: このアクセス許可は、デプロイに使用するストレージ アカウントを作成するために必要です。
  5. 右側のウィンドウで、 Role の割り当てに移動します。 デプロイ ユーザーに構成されているすべてのロールがあることを確認します。

  6. Azure portal で Microsoft Entra Roles and Administrators に移動し Microsoft Entra テナント レベルで Cloud アプリケーション管理者 ロールのアクセス許可を割り当てます。

    テナント レベルのクラウド アプリケーション管理者のアクセス許可のスクリーンショット。

    Note

    サービス プリンシパルを作成するには、クラウド アプリケーション管理者のアクセス許可が一時的に必要です。 デプロイ後に、このアクセス許可を削除できます。

次のステップ

クラスター内の最初のサーバーを設定したら、Azure portal を使用してデプロイする準備ができました。