Registrera dina servrar och tilldela behörigheter för Azure Stack HCI, version 23H2-distribution

Artikel
09/11/2024

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du registrerar dina Azure Stack HCI-servrar och sedan konfigurerar de behörigheter som krävs för att distribuera ett Azure Stack HCI- version 23H2-kluster.

Förutsättningar

Kontrollera att du har slutfört följande krav innan du börjar:

Uppfylla kraven och slutför distributionschecklistan.
Förbered Din Active Directory-miljö .
Installera operativsystemet Azure Stack HCI version 23H2 på varje server.
Registrera din prenumeration med de nödvändiga resursprovidrar (RPs). Du kan använda antingen Azure Portal eller Azure PowerShell för att registrera dig. Du måste vara ägare eller deltagare i din prenumeration för att registrera följande resurs-RP:er:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
Kommentar

Antagandet är att personen som registrerar Azure-prenumerationen med resursprovidrar är en annan person än den som registrerar Azure Stack HCI-servrarna med Arc.
Om du registrerar servrarna som Arc-resurser kontrollerar du att du har följande behörigheter för resursgruppen där servrarna etablerades:
- Azure Connected Machine Onboarding
- Azure Connected Machine resursadministratör
Kontrollera att du har dessa roller genom att följa dessa steg i Azure Portal:
1. Gå till den prenumeration som du använder för Azure Stack HCI-distributionen.
2. Gå till den resursgrupp där du planerar att registrera servrarna.
3. I det vänstra fönstret går du till Åtkomstkontroll (IAM).
4. I den högra rutan går du till Rolltilldelningar. Kontrollera att rollerna Azure Connected Machine Onboarding och Azure Connected Machine Resource Administrator har tilldelats.
Kontrollera dina Azure-principer. Se till att:
- Azure-principerna blockerar inte installationen av tillägg.
- Azure-principerna blockerar inte skapandet av vissa resurstyper i en resursgrupp.
- Azure-principerna blockerar inte resursdistributionen på vissa platser.

Registrera servrar med Azure Arc

Viktigt!

Kör de här stegen på varje Azure Stack HCI-server som du tänker klustra.

Installera Arc-registreringsskriptet från PSGallery. Det här steget krävs bara om du använder en OS ISO som är äldre än 2408. Mer information finns i Nyheter 2408.

PowerShell
Output

#Register PSGallery as a trusted repo
Register-PSRepository -Default -InstallationPolicy Trusted

#Install required PowerShell modules in your node for registration
Install-Module Az.Accounts -RequiredVersion 3.0.0
Install-Module Az.Resources -RequiredVersion 6.12.0
Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0


#Install Arc registration script from PSGallery 
Install-Module AzsHCI.ARCinstaller

Här är ett exempel på utdata från installationen:

PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 3.0.0
PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
NuGet provider is required to continue                                                                                  
PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
and import the NuGet provider now?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
PS C:\Users\SetupUser>

Ange parametrarna. Skriptet använder följande parametrar:

Parametrar	beskrivning
`SubscriptionID`	ID:t för prenumerationen som används för att registrera dina servrar med Azure Arc.
`TenantID`	Klientorganisations-ID:t som användes för att registrera dina servrar med Azure Arc. Gå till ditt Microsoft Entra-ID och kopiera egenskapen klient-ID.
`ResourceGroup`	Resursgruppen har skapats för Arc-registrering av servrarna. En resursgrupp skapas om den inte finns.
`Region`	Den Azure-region som används för registrering. Se de regioner som stöds som kan användas.
`AccountID`	Den användare som registrerar och distribuerar klustret.
`ProxyServer`	Valfri parameter. Proxyserveradress när det krävs för utgående anslutning.
`DeviceCode`	Enhetskoden som visas i konsolen på `https://microsoft.com/devicelogin` och används för att logga in på enheten.

PowerShell
Output

#Define the subscription where you want to register your server as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your server as Arc device
$RG = "YourResourceGroupName"

#Define the region you will use to register your server as Arc device
$Region = "eastus"

#Define the tenant you will use to register your server as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your HCI deployment access internet via proxy
$ProxyServer = "http://proxyaddress:port"

Här är ett exempel på parametrarnas utdata:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Anslut till ditt Azure-konto och ange prenumerationen. Du måste öppna webbläsaren på klienten som du använder för att ansluta till servern och öppna den här sidan: https://microsoft.com/devicelogin och ange den angivna koden i Azure CLI-utdata för att autentisera. Hämta åtkomsttoken och konto-ID:t för registreringen.

PowerShell
Output

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Här är ett exempel på utdata om hur du ställer in prenumerationen och autentiseringen:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                -----------
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Kör slutligen Arc-registreringsskriptet. Det tar några minuter att köra skriptet.

PowerShell
Output

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer

Om du använder Internet via en proxyserver måste du skicka parametern -proxy och ange proxyservern som http://<Proxy server FQDN or IP address>:Port när du kör skriptet.

En lista över Azure-regioner som stöds finns i Azure-krav.

Här är ett exempel på utdata från en lyckad registrering av dina servrar:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Starting AzStackHci ArcIntegration Initialization
Constructing node config using ARM Access Token
Waiting for bootstrap to complete: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: InProgress
Waiting for bootstrap to complete: Succeeded

Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
Version Response
------- --------
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
Arc boostrap support log collection completed successfully.

PS C:\Users\Administrator>

När skriptet har slutförts på alla servrar kontrollerar du att:
1. Dina servrar är registrerade med Arc. Gå till Azure Portal och gå sedan till resursgruppen som är associerad med registreringen. Servrarna visas i den angivna resursgruppen som Maskin – Azure Arc-typresurser .
2. De obligatoriska Azure Stack HCI-tilläggen är installerade på dina servrar. I resursgruppen väljer du den registrerade servern. Gå till Tilläggen. De obligatoriska tilläggen visas i den högra rutan.

Tilldela nödvändiga behörigheter för distribution

I det här avsnittet beskrivs hur du tilldelar Azure-behörigheter för distribution från Azure Portal.

I Azure Portal går du till den prenumeration som används för att registrera servrarna. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.
Gå igenom flikarna och tilldela följande rollbehörigheter till den användare som distribuerar klustret:
- Azure Stack HCI-administratör
- Läsare
I Azure Portal går du till resursgruppen som används för att registrera servrarna i din prenumeration. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.
Gå igenom flikarna och tilldela följande behörigheter till den användare som distribuerar klustret:
- Key Vault-dataåtkomstadministratör: Den här behörigheten krävs för att hantera dataplansbehörigheter till nyckelvalvet som används för distribution.
- Key Vault Secrets Officer: Den här behörigheten krävs för att läsa och skriva hemligheter i nyckelvalvet som används för distribution.
- Key Vault-deltagare: Den här behörigheten krävs för att skapa nyckelvalvet som används för distribution.
- Lagringskontodeltagare: Den här behörigheten krävs för att skapa det lagringskonto som används för distribution.
I den högra rutan går du till Rolltilldelningar. Kontrollera att distributionsanvändaren har alla konfigurerade roller.
I Azure Portal gå till Microsoft Entra-roller och administratörer och tilldela rollen Molnprogramadministratör på klientnivå för Microsoft Entra.

Kommentar

Behörigheten Molnprogramadministratör krävs tillfälligt för att skapa tjänstens huvudnamn. Efter distributionen kan den här behörigheten tas bort.

Nästa steg

När du har konfigurerat den första servern i klustret är du redo att distribuera med hjälp av Azure Portal:

Distribuera med hjälp av Azure Portal.

Dela via

Registrera dina servrar och tilldela behörigheter för Azure Stack HCI, version 23H2-distribution

Förutsättningar

Registrera servrar med Azure Arc

Tilldela nödvändiga behörigheter för distribution

Nästa steg

Feedback

Ytterligare resurser