Registrieren Sie Ihre Server, und weisen Sie Berechtigungen für die Bereitstellung von Azure Stack HCI, Version 23H2, zu.

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre Azure Stack HCI-Server registrieren und dann die erforderlichen Berechtigungen einrichten, um einen Azure Stack HCI, Version 23H2-Cluster bereitzustellen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben:

• Erfüllen Sie die Voraussetzungen und füllen Sie die Prüfliste für die Bereitstellung aus.

• Bereiten Sie Ihre Active Directory-Umgebung vor.

• Installieren Sie das Betriebssystem Azure Stack HCI, Version 23H2 , auf jedem Server.

• Registrieren Sie Ihr Abonnement bei den erforderlichen Ressourcenanbietern (RPs). Sie können entweder das Azure-Portal oder die Azure PowerShell verwenden, um sich zu registrieren. Sie müssen Besitzer oder Mitwirkender in Ihrem Abonnement sein, um die folgenden Ressourcen-RPs zu registrieren:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Hinweis

  Die Annahme besteht darin, dass die Person, die das Azure-Abonnement bei den Ressourcenanbietern registriert, eine andere Person ist als die Person, die die Azure Stack HCI-Server bei Arc registriert.

• Wenn Sie die Server als Arc-Ressourcen registrieren, stellen Sie sicher, dass Sie über die folgenden Berechtigungen für die Ressourcengruppe verfügen, in der die Server bereitgestellt wurden:

  • Onboarding von Azure Connected Machine
  • Ressourcenadministrator für Azure Connected Machine

  Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob Sie über diese Rollen verfügen:

  1. Wechseln Sie zu dem Abonnement, das Sie für die Azure Stack HCI-Bereitstellung verwenden.
  2. Wechseln Sie zu der Ressourcengruppe, in der Sie die Server registrieren möchten.
  3. Wechseln Sie im linken Bereich zu Access Control (IAM).
  4. Wechseln Sie im rechten Bereich zu den Rollenzuweisungen. Stellen Sie sicher, dass Ihnen die Azure Connected Machine Onboarding - und Azure Connected Machine Resource Administrator-Rollen zugewiesen sind.

• Überprüfen Sie Ihre Azure-Richtlinien. Stellen Sie Folgendes sicher:

  • Die Azure-Richtlinien blockieren nicht die Installation von Erweiterungen.
  • Die Azure-Richtlinien blockieren nicht die Erstellung bestimmter Ressourcentypen in einer Ressourcengruppe.
  • Die Azure-Richtlinien blockieren die Ressourcenbereitstellung nicht an bestimmten Standorten.

Registrieren von Servern mit Azure Arc

Wichtig

Führen Sie diese Schritte auf jedem Azure Stack HCI-Server aus, den Sie clustern möchten.

1. Installieren Sie das Arc-Registrierungsskript von PSGallery. Dieser Schritt ist nur erforderlich, wenn Sie eine Betriebssystem-ISO verwenden, die älter als 2408 ist. Weitere Informationen finden Sie unter What's new in 2408.

   PowerShell

   #Register PSGallery as a trusted repo
   Register-PSRepository -Default -InstallationPolicy Trusted
   
   #Install required PowerShell modules in your node for registration
   Install-Module Az.Accounts -RequiredVersion 3.0.0
   Install-Module Az.Resources -RequiredVersion 6.12.0
   Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   
   
   #Install Arc registration script from PSGallery 
   Install-Module AzsHCI.ARCinstaller
   

   Output

   Hier ist eine Beispielausgabe der Installation:

   PS C:\Users\SetupUser> Install-Module Az.Accounts -RequiredVersion 3.0.0
   PS C:\Users\SetupUser> Install-Module Az.Resources -RequiredVersion 6.12.0
   PS C:\Users\SetupUser> Install-Module Az.ConnectedMachine -RequiredVersion 0.8.0
   PS C:\Users\SetupUser> Install-Module -Name AzSHCI.ARCInstaller                                           
   NuGet provider is required to continue                                                                                  
   PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet  provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or
   'C:\Users\SetupUser\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by
   running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet to install
   and import the NuGet provider now?
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
   PS C:\Users\SetupUser>
   

2. Legen Sie die Parameter fest. Das Skript verwendet die folgenden Parameter:

   Parameter	Beschreibung
   SubscriptionID	Die ID des Abonnements, das zum Registrieren Ihrer Server bei Azure Arc verwendet wird.
   TenantID	Die Mandanten-ID, die zum Registrieren Ihrer Server bei Azure Arc verwendet wird. Wechseln Sie zu Ihrer Microsoft Entra-ID, und kopieren Sie die Mandanten-ID-Eigenschaft.
   ResourceGroup	Die Ressourcengruppe wurde für die Arc-Registrierung der Server vorkonfiguriert. Wenn keine Ressourcengruppe vorhanden ist, wird eine Ressourcengruppe erstellt.
   Region	Die Azure-Region, die für die Registrierung verwendet wird. Siehe die unterstützten Regionen , die verwendet werden können.
   AccountID	Der Benutzer, der den Cluster registriert und bereitstellt.
   ProxyServer	Optionaler Parameter. Proxyserveradresse, wenn für ausgehende Verbindungen erforderlich ist.
   DeviceCode	Der in der Konsole https://microsoft.com/devicelogin angezeigte Gerätecode wird verwendet, um sich beim Gerät anzumelden.

   PowerShell

   #Define the subscription where you want to register your server as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your server as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region you will use to register your server as Arc device
   $Region = "eastus"
   
   #Define the tenant you will use to register your server as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your HCI deployment access internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Output

   Hier ist eine Beispielausgabe der Parameter:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

3. Stellen Sie eine Verbindung mit Ihrem Azure-Konto her, und legen Sie das Abonnement fest. Sie müssen den Browser auf dem Client öffnen, den Sie verwenden, um eine Verbindung mit dem Server herzustellen und diese Seite zu öffnen: https://microsoft.com/devicelogin Und geben Sie den bereitgestellten Code in die Azure CLI-Ausgabe ein, um sich zu authentifizieren. Rufen Sie das Zugriffstoken und die Konto-ID für die Registrierung ab.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Output

   Hier ist eine Beispielausgabe zum Festlegen des Abonnements und der Authentifizierung:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

4. Führen Sie schließlich das Arc-Registrierungsskript aus. Die Skriptausführung kann einige Minuten dauern.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Wenn Sie über einen Proxyserver auf das Internet zugreifen, müssen Sie den -proxy Parameter übergeben und den Proxyserver wie http://<Proxy server FQDN or IP address>:Port beim Ausführen des Skripts bereitstellen.

   Eine Liste der unterstützten Azure-Regionen finden Sie unter Azure-Anforderungen.

   Output

   Hier ist eine Beispielausgabe einer erfolgreichen Registrierung Ihrer Server:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

5. Überprüfen Sie nach erfolgreichem Abschluss des Skripts auf allen Servern folgendes:

   1. Ihre Server sind bei Arc registriert. Wechseln Sie zum Azure-Portal, und wechseln Sie dann zur Ressourcengruppe, die der Registrierung zugeordnet ist. Die Server werden innerhalb der angegebenen Ressourcengruppe als Computer - Azure Arc-Typressourcen angezeigt.

      

   2. Die obligatorischen Azure Stack HCI-Erweiterungen werden auf Ihren Servern installiert. Wählen Sie in der Ressourcengruppe den registrierten Server aus. Wechseln Sie zu den Erweiterungen. Die obligatorischen Erweiterungen werden im rechten Bereich angezeigt.

      

Zuweisen erforderlicher Berechtigungen für die Bereitstellung

In diesem Abschnitt wird beschrieben, wie Sie Azure-Berechtigungen für die Bereitstellung aus dem Azure-Portal zuweisen.

1. Wechseln Sie im Azure-Portal zum Abonnement, das zum Registrieren der Server verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.

   

2. Durchlaufen Sie die Registerkarten, und weisen Sie dem Benutzer, der den Cluster bereitstellt, die folgenden Rollenberechtigungen zu:

   • Azure Stack HCI-Administrator
   • Leser

3. Wechseln Sie im Azure-Portal zur Ressourcengruppe, die zum Registrieren der Server in Ihrem Abonnement verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.

   

4. Durchlaufen Sie die Registerkarten, und weisen Sie dem Benutzer, der den Cluster bereitstellt, die folgenden Berechtigungen zu:

   • Key Vault-Datenzugriffsadministrator: Diese Berechtigung ist erforderlich, um Berechtigungen für die Datenebene für den schlüsseltresor zu verwalten, der für die Bereitstellung verwendet wird.
   • Key Vault Secrets Officer: Diese Berechtigung ist erforderlich, um geheime Schlüssel im schlüsseltresor zu lesen und zu schreiben, der für die Bereitstellung verwendet wird.
   • Key Vault-Mitwirkender: Diese Berechtigung ist erforderlich, um den für die Bereitstellung verwendeten Schlüsseltresor zu erstellen.
   • Mitwirkender des Speicherkontos: Diese Berechtigung ist erforderlich, um das für die Bereitstellung verwendete Speicherkonto zu erstellen.

5. Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Stellen Sie sicher, dass der Bereitstellungsbenutzer über alle konfigurierten Rollen verfügt.

6. Wechseln Sie im Azure-Portal zu Microsoft Entra-Rollen und -Administratoren, und weisen Sie die Rollenberechtigung für Cloudanwendungsadministratoren auf Microsoft Entra-Mandantenebene zu.

   

   Hinweis

   Die Berechtigung "Cloudanwendungsadministrator" ist vorübergehend erforderlich, um den Dienstprinzipal zu erstellen. Nach der Bereitstellung kann diese Berechtigung entfernt werden.

Nächste Schritte

Nachdem Sie den ersten Server in Ihrem Cluster eingerichtet haben, können Sie mit Azure-Portal bereitstellen:

• Bereitstellen mithilfe von Azure-Portal.