註冊伺服器並指派 Azure Stack HCI 23H2 版部署的許可權

適用於：Azure Stack HCI 版本 23H2

本文說明如何註冊 Azure Stack HCI 伺服器，然後設定部署 Azure Stack HCI 23H2 版叢集的必要許可權。

必要條件

開始之前，請確定您已完成下列必要條件：

• 滿足必要條件並完成部署檢查清單。

• 準備您的 Active Directory 環境。

• 在每個伺服器上安裝 Azure Stack HCI 版本 23H2 操作系統 。

• 向必要的資源提供者註冊您的訂用帳戶（RPs）。 您可以使用 Azure 入口網站 或 Azure PowerShell 來註冊。 您必須是訂用帳戶的擁有者或參與者，才能註冊下列資源 IP：

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  注意

  假設向資源提供者註冊 Azure 訂用帳戶的人員與向 Arc 註冊 Azure Stack HCI 伺服器的人員不同。

• 如果您要將伺服器註冊為 Arc 資源，請確定您在布建伺服器所在的資源群組上具有下列許可權：

  • Azure Connected Machine 上線
  • Azure Connected Machine 資源管理員

  若要確認您有這些角色，請遵循 Azure 入口網站 中的下列步驟：

  1. 移至您用於 Azure Stack HCI 部署的訂用帳戶。
  2. 移至您打算註冊伺服器的資源群組。
  3. 在左窗格中，移至 [存取控制 （IAM）]。
  4. 在右窗格中，移至 [ 角色指派]。 確認您已 指派 Azure Connected Machine Onboarding 和 Azure Connected Machine Resource Administrator 角色。

• 檢查您的 Azure 原則。 請確定：

  • Azure 原則不會封鎖擴充功能安裝。
  • Azure 原則不會封鎖在資源群組中建立特定資源類型。
  • Azure 原則不會封鎖特定位置的資源部署。

向 Azure Arc 註冊伺服器

1. 設定參數。 文稿會採用下列參數：

   參數	描述
   SubscriptionID	用來向 Azure Arc 註冊伺服器的訂用帳戶標識碼。
   TenantID	用來向 Azure Arc 註冊伺服器的租用戶標識碼。移至您的Microsoft Entra ID，並複製租用戶標識碼屬性。
   ResourceGroup	針對伺服器的 Arc 註冊預先建立的資源群組。 如果資源群組不存在，就會建立資源群組。
   Region	用於註冊的 Azure 區域。 請參閱可使用的支持區域。
   AccountID	註冊和部署叢集的使用者。
   ProxyServer	選擇性的 參數。 輸出連線所需的 Proxy 伺服器位址。
   DeviceCode	在主控台 https://microsoft.com/devicelogin 中顯示的裝置程式代碼，用來登入裝置。

   • PowerShell
   • 輸出

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

2. 聯機到您的 Azure 帳戶並設定訂用帳戶。 您必須在用來連線到伺服器的用戶端上開啟瀏覽器，並開啟此頁面： https://microsoft.com/devicelogin 並在 Azure CLI 輸出中輸入所提供的程式代碼進行驗證。 取得註冊的存取令牌和帳戶標識碼。

   • PowerShell
   • 輸出

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

3. 最後執行 Arc 註冊腳本。 指令碼需要幾分鐘的執行時間。

   • PowerShell
   • 輸出

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   如果您要透過 Proxy 伺服器存取因特網，您必須傳遞 -proxy 參數，並在執行腳本時提供 http://<Proxy server FQDN or IP address>:Port Proxy 伺服器。

   如需支援的 Azure 區域清單，請參閱 Azure 需求。

4. 文稿在所有伺服器上成功完成之後，請確認：

   1. 您的伺服器會向 Arc 註冊。移至 Azure 入口網站，然後移至與註冊相關聯的資源群組。 伺服器會顯示在指定的資源群組中，做為 Machine - Azure Arc 類型資源。

      

   2. 強制的 Azure Stack HCI 擴充功能會安裝在您的伺服器上。 從資源群組中，選取已註冊的伺服器。 移至 [ 擴充功能]。 強制延伸模組會顯示在右窗格中。

      

指派部署的必要許可權

本節說明如何從 Azure 入口網站 指派 Azure 許可權以進行部署。

1. 在 Azure 入口網站 中，移至用來註冊伺服器的訂用帳戶。 從左側窗格中，選取 [存取控制 (IAM)]。 在右窗格中，選取 [+ 新增 ]，然後從下拉式清單中選取 [ 新增角色指派]。

   

2. 瀏覽索引標籤，並將下列角色許可權指派給部署叢集的使用者：

   • Azure Stack HCI 系統管理員
   • 讀取者

3. 在 Azure 入口網站 中，移至用來在您的訂用帳戶上註冊伺服器的資源群組。 從左側窗格中，選取 [存取控制 (IAM)]。 在右窗格中，選取 [+ 新增 ]，然後從下拉式清單中選取 [ 新增角色指派]。

   

4. 瀏覽索引標籤，並將下列許可權指派給部署叢集的使用者：

   • 金鑰保存庫 數據存取系統管理員：管理用於部署之金鑰保存庫的數據平面許可權需要此許可權。
   • 金鑰保存庫 秘密人員：在用於部署的密鑰保存庫中讀取和寫入秘密需要此許可權。
   • 金鑰保存庫 參與者：建立用於部署的密鑰保存庫需要此許可權。
   • 記憶體帳戶參與者：建立用於部署的記憶體帳戶需要此許可權。

5. 在右窗格中，移至 [ 角色指派]。 確認部署使用者具有所有已設定的角色。

6. 在 Azure 入口網站 中，移至 Microsoft Entra 角色和系統管理員，並在 Microsoft Entra 租使用者層級指派雲端應用程式管理員角色許可權。

   

   注意

   暫時需要雲端應用程式管理員許可權，才能建立服務主體。 部署之後，即可移除此許可權。

下一步

設定叢集中的第一部伺服器之後，您就可以使用 Azure 入口網站 進行部署：

• 使用 Azure 入口網站 進行部署。