Správa registrace clusteru Azure Stack HCI
Platí pro: Místní Azure verze 22H2
Důležité
Azure Stack HCI je teď součástí Azure Local. Probíhá přejmenování dokumentace k produktu. Starší verze Azure Stack HCI, například 22H2, ale budou dál odkazovat na Azure Stack HCI a nebudou odrážet změnu názvu. Další informace.
V závislosti na konfiguraci a požadavcích clusteru možná budete muset provést další kroky po registraci clusteru v Azure. Tento článek popisuje, jak spravovat registraci clusteru pomocí Centra pro správu Windows, PowerShellu nebo webu Azure Portal. Poskytuje také odpovědi na nejčastější dotazy týkající se registrace clusteru.
Když zaregistrujete cluster v Azure, vytvoří se prostředek Azure Resource Manageru, který představuje místní cluster Azure Stack HCI. Od Azure Stack HCI verze 21H2 se při registraci clusteru automaticky vytvoří Azure Arc prostředku serveru pro každý server v clusteru Azure Stack HCI. Tato integrace Azure Arc rozšiřuje rovinu správy Azure na Azure Stack HCI. Integrace Azure Arc umožňuje pravidelnou synchronizaci informací mezi prostředkem Azure a místními clustery.
Zobrazení stavu serverů s podporou registrace a arc
Když se připojíte ke clusteru pomocí Centra pro správu Windows, zobrazí se řídicí panel, který zobrazuje stav registrace Azure Stack HCI a serverů s podporou arc.
U registrace Azure Stack HCI znamená, že cluster je už zaregistrovaný v Azure a během posledního dne se úspěšně synchronizoval do cloudu.
U serverů s podporou Arc znamená připojení, že všechny fyzické servery jsou s podporou Arc a dají se spravovat z webu Azure Portal.
Další informace získáte tak, že v nabídce Nástroje na levé straně vyberete Azure Arc.
Poznámka:
Řídicí panel Azure Arc je aktuálně ve verzi Public Preview.
Na stránce Přehled najdete základní informace o registraci Azure Stack HCI a serverech s podporou arc. Kliknutím na dlaždici můžete přejít na jednotlivé stránky.
Na stránce registrace Azure Stack HCI můžete zobrazit stav systému Azure Stack HCI i serveru. To zahrnuje stav připojení Azure a poslední synchronizaci Azure. Užitečné odkazy na dokumentaci k řešení potíží a rozšíření clusteru. V případě potřeby můžete zrušit registraci .
Pokud je váš cluster zaregistrovaný v Azure, ale fyzické servery ještě nejsou povolené arc, můžete to udělat ze stránky serverů s podporou Arc. Pokud jsou fyzické servery s podporou Arc, můžete zobrazit stav a ID verze Azure Arc pro každý server. Můžete také najít užitečné odkazy na informace o řešení potíží.
Povolení integrace Azure Arc
Od Azure Stack HCI verze 21H2 se clustery při registraci automaticky aktivují arc. Integrace Azure Arc není dostupná ve službě Azure Stack HCI verze 20H2.
Integraci azure Arc je potřeba povolit ručně v následujících scénářích:
- Aktualizovali jste servery clusteru z Azure Stack HCI verze 20H2 (které dříve nebyly ručně povolené arc) na verzi 21H2.
- Pokud jste dříve povolili clustery 20H2 s podporou Arc a po upgradu na 21H2 se povolení služby Arc stále nedaří, přečtěte si pokyny k řešení potíží.
- Povolení služby Arc jste dříve zakázali a teď máte v úmyslu povolit cluster Azure Stack HCI 21H2 nebo novější.
Pokud chcete povolit integraci Azure Arc, postupujte takto:
Nainstalujte na počítač pro správu nejnovější verzi
Az.Resources
modulu:Install-Module -Name Az.Resources
Nainstalujte na počítač pro správu nejnovější verzi
Az.StackHCI
modulu:Install-Module -Name Az.StackHCI
Znovu spusťte rutinu
Register-AzStackHCI
a zadejte ID předplatného Azure, které musí být stejné ID, se kterým byl cluster původně zaregistrovaný. Parametrem-ComputerName
může být název libovolného serveru v clusteru. Tento krok umožňuje integraci Azure Arc na všech serverech v clusteru. Nebude mít vliv na vaši aktuální registraci clusteru v Azure a nemusíte nejprve zrušit registraci clusteru:Register-AzStackHCI -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
Důležité
Pokud byl cluster původně zaregistrovaný pomocí objektu
-Region
,-ResourceName
nebo-ResourceGroupName
se liší od výchozího nastavení, musíte zde zadat stejné parametry a hodnoty. SpuštěníGet-AzureStackHCI
zobrazí tyto hodnoty.
Informace o selháních při povolování služby Arc najdete v doprovodných materiálech k řešení potíží.
Upgrade agenta Arc na serverech clusteru
Počínaje službou Azure Stack HCI verze 21H2, která automaticky aktualizuje agenta Arc, když je k dispozici nová verze, ujistěte se, že jsou servery clusteru nakonfigurované se službou Microsoft Update. Další informace naleznete v tématu Konfigurace služby Microsoft Update.
Při upgradu agenta Arc na serverech clusteru postupujte takto:
V nástroji Konfigurace serveru (SConfig) vyberte možnost Instalovat aktualizace (možnost 6):
Vyberte možnost Pro všechny aktualizace kvality (možnost 1).
Můžete se rozhodnout konkrétně aktualizovat agenta Arc nebo nainstalovat všechny dostupné aktualizace:
Spuštěním
azcmagent version
z PowerShellu na každém uzlu ověřte verzi agenta Arc.
Zrušení registrace Azure Stack HCI
Registraci Azure Stack HCI můžete zrušit pomocí Centra pro správu Windows nebo pomocí PowerShellu.
Proces zrušení registrace automaticky vyčistí prostředek Azure, který představuje cluster, skupinu prostředků Azure (pokud byla skupina vytvořena během registrace a neobsahuje žádné další prostředky) a identitu aplikace Microsoft Entra. Toto vyčištění zastaví všechny funkce monitorování, podpory a fakturace prostřednictvím služby Azure Arc.
Pokud chcete zrušit registraci clusteru Azure Stack HCI přes Windows Admin Center, postupujte takto:
Připojte se ke clusteru pomocí centra Windows Admin Center.
V nabídce na levé straně vyberte Azure Arc .
Vyberte registraci Azure Stack HCI, vyberte tlačítko Zrušit registraci a pak znovu vyberte Zrušit registraci .
Poznámka:
Pokud je brána centra Windows Admin Center zaregistrovaná v jiném ID tenanta Microsoft Entra, které bylo použito k počáteční registraci clusteru, může dojít k problémům při pokusu o zrušení registrace clusteru pomocí Centra pro správu Systému Windows. Pokud k tomu dojde, můžete použít pokyny PowerShellu v další části.
Vyčištění po clusteru, který nebyl správně zrušený
Pokud uživatel zničí cluster Azure Stack HCI bez jeho registrace, například opětovným vytvářením image hostitelských serverů nebo odstraněním uzlů virtuálního clusteru, artefakty zůstanou v Azure. Tyto artefakty jsou neškodné a nebudou se účtovat ani používat prostředky, ale můžou nepotřebné na webu Azure Portal. Pokud je chcete vyčistit, můžete je odstranit ručně.
Pokud chcete odstranit prostředek Azure Stack HCI, přejděte na prostředek na webu Azure Portal a na panelu akcí vyberte Odstranit . Podrobnosti o prostředku můžete získat spuštěním rutiny Get-AzureStackHCI
.
Azure Stack HCI vytvoří v rámci registrace dvě aplikace Microsoft Entra: resourceName a resourceName.arc. Pokud je chcete odstranit, přejděte do registrace>aplikací Microsoft Entra ID>Všechny aplikace. Vyberte Odstranit a potvrďte akci.
Prostředek Azure Stack HCI můžete také odstranit pomocí PowerShellu:
Remove-AzResource -ResourceId "<resource_name>"
Možná budete muset nainstalovat Az.Resources
modul:
Install-Module -Name Az.Resources
Pokud byla skupina prostředků vytvořená během registrace a neobsahuje žádné další prostředky, můžete ji také odstranit:
Remove-AzResourceGroup -Name "<resourceGroupName>"
Řešení problému
Informace o běžných chybách a krocích pro jejich řešení najdete v tématu Řešení potíží s registrací Azure Stack HCI.
Nejčastější dotazy
Najděte odpovědi na některé nejčastější dotazy:
Návody použít omezenější vlastní roli oprávnění?
Dále můžete snížit oprávnění potřebná k provedení registrace Azure Stack HCI, jak je popsáno v tématu Přiřazení oprávnění Azure pomocí PowerShellu za předpokladu, že některé z níže popsaných operací už provádí uživatel, který má role přispěvatele a správce přístupu uživatelů.
Zaregistrujte požadované poskytovatele prostředků. Přihlaste se k předplatnému, které použijete k registraci clusteru. V části Nastavení Poskytovatelé prostředků vyberte následující poskytovatele prostředků a pak vyberte Zaregistrovat>:
- Microsoft.AzureStackHCI
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
Vytvořte skupiny prostředků. Ujistěte se, že skupiny prostředků, do kterých budou prostředky Azure Stack HCI projektovány, jsou předem vytvořeny privilegovaným uživatelem. Další podrobnosti najdete v části Požadavky .
Jakmile jsou tyto dva požadavky nastaveny, vytvořte vlastní roli a použijte ji k registraci, jak je popsáno níže. Nejprve vytvořte soubor JSON s názvem customHCIRole.json s následujícím obsahem. Nezapomeňte změnit
<subscriptionID>
ID předplatného Azure. Pokud chcete získat ID předplatného, přejděte na web Azure Portal, přejděte na Předplatná a pak zkopírovat nebo vložit SVÉ ID ze seznamu:{ "Name": "Azure Stack HCI registration role", "Id": null, "IsCustom": true, "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStackHCI/clusters/*", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/read" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<subscriptionId>" ] }
Vytvořte vlastní roli:
New-AzRoleDefinition -InputFile <path to customHCIRole.json>
Přiřaďte uživateli vlastní roli:
$user = get-AzAdUser -DisplayName <userdisplayname> $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role" New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
Teď můžete cluster zaregistrovat pomocí Register-AzStackHCI.
Pokud potřebujete zrušit registraci tohoto clusteru, přidejte do souboru JSON oprávnění Microsoft.Resources/subscriptions/resourceGroups/delete při vytváření vlastní role.
Návody registraci clusteru pomocí ArmAccessToken/SPN?
Před registrací se ujistěte, že jsou splněné požadavky.
Poznámka:
Tyto přihlašovací údaje SPN slouží k počátečnímu onboardingu do Azure Stack HCI. Azure Stack HCI stále vytváří samostatné přihlašovací údaje hlavního názvu služby pro onboarding Arc. Pokud chcete použít vlastní hlavní název služby (SPN) pro onboarding Arc, přečtěte si téma Návody registrace clusteru pomocí hlavního názvu služby (SPN) pro onboarding Arc?
Spuštěním příkazu Connect-AzAccount se připojte k Azure. Pokud chcete k připojení použít hlavní název služby (SPN), můžete použít:
- Ověřování na základě kódu zařízení Použijte
-DeviceCode
v rutině. - Ověřování na základě certifikátů V tomto článku najdete informace o konfiguraci hlavního názvu služby (SPN) pro ověřování na základě certifikátů. Pak v rutině
Connect-AzAccount
použijte příslušné parametry, které přijímají informace o certifikátu. Hlavní název služby, který používáte, by měl mít všechna požadovaná oprávnění k předplatným , jak je uvedeno tady.
- Ověřování na základě kódu zařízení Použijte
Přiřadit
$token = Get-AzAccessToken
.Pomocí register-AzStackHCI s
TenantId
,SubscriptionId
ArmAccessToken
, aAccountId
parametry, následujícím způsobem:Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
Návody registraci clusteru pomocí hlavního názvu služby (SPN) pro onboarding Arc?
Následující pokyny platí pro uživatele, který spouští registrační rutinu, která nemůže získat přiřazené oprávnění Microsoft.Authorization/roleAssignments/write . V takových případech můžou použít předem vytvořený hlavní název služby (SPN) s rolemi onboardingu Arc (onboarding Azure Connected Machine a Azure Connected Machine Resource Administrator) přiřazenými k hlavnímu názvu služby (SPN) a pomocí této možnosti zadat přihlašovací údaje rutině -ArcSpnCredential
registrace.
Poznámka:
Azure Stack HCI tímto způsobem neaktualizuje přihlašovací údaje hlavního názvu služby vytvořeného tímto způsobem. Pokud se přihlašovací údaje hlavního názvu služby blíží vypršení platnosti, musíte znovu vygenerovat přihlašovací údaje a spustit tok "registrace opravy", aby se aktualizovaly přihlašovací údaje hlavního názvu služby v clusteru.
Poznámka:
Pokud nemůžete přiřadit oprávnění Microsoft.Authorization/roleAssignments/write k registrační roli, použijte modul PowerShellu verze 1.4.1 nebo starší.
Před registrací se ujistěte, že jsou splněny požadavky a předběžné kontroly. Uživatel, který cluster registruje, má přiřazenou roli přispěvatele pro předplatné, které se používá pro registraci clusteru, nebo má následující seznam oprávnění, pokud je přiřazena vlastní role:
- "Microsoft.Resources/subscriptions/resourceGroups/read",
- "Microsoft.Resources/subscriptions/resourceGroups/write",
- "Microsoft.AzureStackHCI/register/action",
- Microsoft.AzureStackHCI/Unregister/Action,
- Microsoft.AzureStackHCI/clusters/*,
- "Microsoft.Authorization/roleAssignments/read",
- Microsoft.HybridCompute/register/action,
- "Microsoft.GuestConfiguration/register/action",
- Microsoft.HybridConnectivity/register/action
Pokud chcete registraci zrušit, ujistěte se, že máte také oprávnění Microsoft.Resources/subscriptions/resourceGroups/delete .
Pokud chcete cluster zaregistrovat a servery povolit Arc, spusťte po aktualizaci pomocí informací o prostředí následující příkazy PowerShellu. Následující příkazy vyžadují Az.Resources (minimálně verze 5.6.0) a Az.Accounts (minimálně verze 2.7.6). Pomocí této rutiny get-installedModule <module name>
můžete zkontrolovat nainstalovanou verzi modulu PowerShellu.
#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process
#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"
#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId $app.AppId -Role "Reader"
#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"
#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null
# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force
# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null
# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred
Podporuje se přesun prostředků Azure Stack HCI?
Nepodporujeme přesun prostředků pro žádné prostředky Azure Stack HCI. Pokud chcete změnit umístění prostředků, musíte nejprve zrušit registraci clusteru a pak ho znovu zaregistrovat v novém umístění předáním příslušných parametrů v rutině Register-AzStackHCI .
Jaké jsou některé z běžně používaných registrací a rutin Arc?
- Informace o rutinách modulu PowerShellu Az.StackHCI najdete v dokumentaci k Prostředí PowerShell pro HCI.
- Get-AzureStackHCI: Vrátí informace o aktuálním připojení a zásadách uzlu pro Azure Stack HCI.
- Get-AzureStackHCIArcIntegration: Vrátí stav integrace arc uzlu.
- Sync-AzureStackHCI:
- Provádí synchronizaci fakturace, licencování a sčítání lidu s Azure.
- Systém tuto rutinu spouští automaticky každých 12 hodin.
- Tuto rutinu byste měli použít jenom v případě, že je připojení k internetu clusteru po delší dobu nedostupné.
- Tuto rutinu nespustíte okamžitě po restartování serveru; nechat automatickou synchronizaci proběhnout. Jinak může dojít ke špatnému stavu.
Další kroky
Podrobnější informace najdete také: