Registrace počítačů a přiřazení oprávnění pro místní nasazení Azure verze 23H2

Platí pro: Azure Local, verze 23H2

Tento článek popisuje, jak zaregistrovat místní počítače Azure a pak nastavit požadovaná oprávnění k nasazení Místního Prostředí Azure verze 23H2.

Požadavky

Než začnete, ujistěte se, že jste dokončili následující požadavky:

• Splnění požadavků a dokončení kontrolního seznamu nasazení

• Připravte prostředí služby Active Directory .

• Nainstalujte operační systém Azure Stack HCI verze 23H2 na každý počítač.

• Zaregistrujte své předplatné u požadovaných poskytovatelů prostředků (RPS). K registraci můžete použít Azure Portal nebo Azure PowerShell . Abyste mohli zaregistrovat následující RSP prostředků, musíte být vlastníkem nebo přispěvatelem předplatného:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Poznámka:

  Předpokladem je, že osoba, která registruje předplatné Azure u poskytovatelů prostředků, je jiná osoba než osoba, která registruje místní počítače Azure ve službě Arc.

• Pokud počítače registrujete jako prostředky Arc, ujistěte se, že máte ve skupině prostředků, ve které byly počítače zřízeny, následující oprávnění:

  • Onboarding připojených počítačů Azure
  • Správce prostředků Azure Connected Machine

  Pokud chcete ověřit, že máte tyto role, postupujte podle těchto kroků na webu Azure Portal:

  1. Přejděte k předplatnému, které používáte pro místní nasazení Azure.
  2. Přejděte do skupiny prostředků, ve které plánujete zaregistrovat počítače.
  3. V levém podokně přejděte na Řízení přístupu (IAM).
  4. V pravém podokně přejděte k přiřazení rolí. Ověřte, že máte přiřazené role Onboardingu připojených počítačů Azure a Správce prostředků připojeného počítače Azure.

• Zkontrolujte zásady Azure. Ujistěte se, že:

  • Zásady Azure neblokují instalaci rozšíření.
  • Zásady Azure neblokují vytváření určitých typů prostředků ve skupině prostředků.
  • Zásady Azure neblokují nasazení prostředků v určitých umístěních.

Registrace počítačů ve službě Azure Arc

Důležité

Tyto kroky spusťte na každém místním počítači Azure, který chcete clusterovat.

1. Nastavte parametry. Skript přebírá následující parametry:

   Parametry	Popis
   SubscriptionID	ID předplatného použitého k registraci počítačů ve službě Azure Arc.
   TenantID	ID tenanta použité k registraci počítačů ve službě Azure Arc. Přejděte na své ID Microsoft Entra a zkopírujte vlastnost ID tenanta.
   ResourceGroup	Skupina prostředků předem vytvořila pro registraci počítačů Arc. Pokud skupina prostředků neexistuje, vytvoří se.
   Region	Oblast Azure použitá k registraci. Podívejte se na podporované oblasti , které je možné použít.
   AccountID	Uživatel, který zaregistruje a nasadí instanci.
   ProxyServer	Volitelný parametr. Adresa proxy serveru, pokud je vyžadována pro odchozí připojení.
   DeviceCode	Kód zařízení zobrazený v konzole https://microsoft.com/devicelogin a slouží k přihlášení k zařízení.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Výstup

   Tady je ukázkový výstup parametrů:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Připojte se ke svému účtu Azure a nastavte předplatné. Budete muset otevřít prohlížeč na klientovi, kterého používáte pro připojení k počítači, a otevřít tuto stránku: https://microsoft.com/devicelogin a zadat zadaný kód do výstupu Azure CLI pro ověření. Získejte přístupový token a ID účtu pro registraci.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Výstup

   Tady je ukázkový výstup nastavení předplatného a ověřování:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Nakonec spusťte registrační skript Arc. Spuštění tohoto skriptu trvá několik minut.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Pokud přistupujete k internetu přes proxy server, musíte předat -proxy parametr a poskytnout proxy server jako http://<Proxy server FQDN or IP address>:Port při spuštění skriptu.

   Seznam podporovaných oblastí Azure najdete v požadavcích Azure.

   Výstup

   Tady je ukázkový výstup úspěšné registrace vašich počítačů:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Po úspěšném dokončení skriptu na všech počítačích ověřte, že:

   1. Vaše počítače jsou zaregistrované ve službě Arc. Přejděte na web Azure Portal a pak přejděte do skupiny prostředků přidružené k registraci. Počítače se zobrazí v zadané skupině prostředků jako prostředky typu Machine – Azure Arc .

      

   2. Na počítačích jsou nainstalovaná povinná místní rozšíření Azure. Ve skupině prostředků vyberte zaregistrovaný počítač. Přejděte na rozšíření. Povinná rozšíření se zobrazí v pravém podokně.

      

Přiřazení požadovaných oprávnění pro nasazení

Tato část popisuje, jak přiřadit oprávnění Azure pro nasazení z webu Azure Portal.

1. Na webu Azure Portal přejděte k předplatnému použitému k registraci počítačů. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

2. Projděte karty a přiřaďte uživateli, který instanci nasadí, následující oprávnění role:

   • Správce Azure Stack HCI
   • Čtenář

3. Na webu Azure Portal přejděte do skupiny prostředků použité k registraci počítačů ve vašem předplatném. V levém podokně vyberte Řízení přístupu (IAM). V pravém podokně vyberte + Přidat a v rozevíracím seznamu vyberte Přidat přiřazení role.

   

4. Projděte karty a přiřaďte uživateli, který instanci nasadí, následující oprávnění:

   • Správce přístupu k datům služby Key Vault: Toto oprávnění se vyžaduje ke správě oprávnění roviny dat k trezoru klíčů používanému k nasazení.
   • Key Vault Secrets Officer: Toto oprávnění se vyžaduje ke čtení a zápisu tajných kódů v trezoru klíčů používaném k nasazení.
   • Přispěvatel služby Key Vault: Toto oprávnění se vyžaduje k vytvoření trezoru klíčů používaného k nasazení.
   • Přispěvatel účtu úložiště: Toto oprávnění se vyžaduje k vytvoření účtu úložiště použitého k nasazení.

5. V pravém podokně přejděte na přiřazení rolí. Ověřte, že má uživatel nasazení všechny nakonfigurované role.

6. Na webu Azure Portal přejděte na role a správce Microsoft Entra a přiřaďte oprávnění role Správce cloudových aplikací na úrovni tenanta Microsoft Entra.

   

   Poznámka:

   K vytvoření instančního objektu je dočasně potřeba oprávnění správce cloudových aplikací. Po nasazení je možné toto oprávnění odebrat.

Další kroky

Po nastavení prvního počítače ve vaší instanci jste připraveni k nasazení pomocí webu Azure Portal:

• Nasazení pomocí webu Azure Portal