Registrieren Sie Ihre Computer, und weisen Sie Berechtigungen für die Azure Local, Version 23H2-Bereitstellung, zu.

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre lokalen Azure-Computer registrieren und dann die erforderlichen Berechtigungen für die Bereitstellung von Azure Local, Version 23H2, einrichten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben:

• Erfüllen Sie die Voraussetzungen und füllen Sie die Prüfliste für die Bereitstellung aus.

• Bereiten Sie Ihre Active Directory-Umgebung vor.

• Installieren Sie das Azure Stack HCI-Betriebssystem, Version 23H2 , auf jedem Computer.

• Registrieren Sie Ihr Abonnement bei den erforderlichen Ressourcenanbietern (RPs). Sie können entweder das Azure-Portal oder die Azure PowerShell verwenden, um sich zu registrieren. Sie müssen Besitzer oder Mitwirkender in Ihrem Abonnement sein, um die folgenden Ressourcen-RPs zu registrieren:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Hinweis

  Die Annahme besteht darin, dass die Person, die das Azure-Abonnement bei den Ressourcenanbietern registriert, eine andere Person als die Person ist, die die lokalen Azure-Computer bei Arc registriert.

• Wenn Sie die Computer als Arc-Ressourcen registrieren, stellen Sie sicher, dass Sie über die folgenden Berechtigungen für die Ressourcengruppe verfügen, in der die Computer bereitgestellt wurden:

  • Onboarding von Azure Connected Machine
  • Ressourcenadministrator für Azure Connected Machine

  Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob Sie über diese Rollen verfügen:

  1. Wechseln Sie zu dem Abonnement, das Sie für die lokale Azure-Bereitstellung verwenden.
  2. Wechseln Sie zu der Ressourcengruppe, in der Sie planen, die Computer zu registrieren.
  3. Wechseln Sie im linken Bereich zu Access Control (IAM).
  4. Wechseln Sie im rechten Bereich zu den Rollenzuweisungen. Stellen Sie sicher, dass Ihnen die Azure Connected Machine Onboarding - und Azure Connected Machine Resource Administrator-Rollen zugewiesen sind.

• Überprüfen Sie Ihre Azure-Richtlinien. Stellen Sie Folgendes sicher:

  • Die Azure-Richtlinien blockieren nicht die Installation von Erweiterungen.
  • Die Azure-Richtlinien blockieren nicht die Erstellung bestimmter Ressourcentypen in einer Ressourcengruppe.
  • Die Azure-Richtlinien blockieren die Ressourcenbereitstellung nicht an bestimmten Standorten.

Registrieren von Computern mit Azure Arc

Wichtig

Führen Sie diese Schritte auf jedem lokalen Azure-Computer aus, den Sie clustern möchten.

1. Legen Sie die Parameter fest. Das Skript verwendet die folgenden Parameter:

   Parameter	Beschreibung
   SubscriptionID	Die ID des Abonnements, das zum Registrieren Ihrer Computer bei Azure Arc verwendet wird.
   TenantID	Die Mandanten-ID, die zum Registrieren Ihrer Computer bei Azure Arc verwendet wird. Wechseln Sie zu Ihrer Microsoft Entra-ID, und kopieren Sie die Mandanten-ID-Eigenschaft.
   ResourceGroup	Die Ressourcengruppe wurde für die Arc-Registrierung der Computer vorkonfiguriert. Wenn keine Ressourcengruppe vorhanden ist, wird eine Ressourcengruppe erstellt.
   Region	Die Azure-Region, die für die Registrierung verwendet wird. Siehe die unterstützten Regionen , die verwendet werden können.
   AccountID	Der Benutzer, der die Instanz registriert und bereitstellt.
   ProxyServer	Optionaler Parameter. Proxyserveradresse, wenn für ausgehende Verbindungen erforderlich ist.
   DeviceCode	Der in der Konsole https://microsoft.com/devicelogin angezeigte Gerätecode wird verwendet, um sich beim Gerät anzumelden.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Output

   Hier ist eine Beispielausgabe der Parameter:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Stellen Sie eine Verbindung mit Ihrem Azure-Konto her, und legen Sie das Abonnement fest. Sie müssen den Browser auf dem Client öffnen, den Sie verwenden, um eine Verbindung mit dem Computer herzustellen und diese Seite zu öffnen: https://microsoft.com/devicelogin und geben Sie den bereitgestellten Code in die Azure CLI-Ausgabe ein, um sich zu authentifizieren. Rufen Sie das Zugriffstoken und die Konto-ID für die Registrierung ab.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Output

   Hier ist eine Beispielausgabe zum Festlegen des Abonnements und der Authentifizierung:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Führen Sie schließlich das Arc-Registrierungsskript aus. Die Skriptausführung kann einige Minuten dauern.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Wenn Sie über einen Proxyserver auf das Internet zugreifen, müssen Sie den -proxy Parameter übergeben und den Proxyserver wie http://<Proxy server FQDN or IP address>:Port beim Ausführen des Skripts bereitstellen.

   Eine Liste der unterstützten Azure-Regionen finden Sie unter Azure-Anforderungen.

   Output

   Hier ist eine Beispielausgabe einer erfolgreichen Registrierung Ihrer Computer:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Überprüfen Sie nach erfolgreichem Abschluss des Skripts auf allen Computern folgendes:

   1. Ihre Computer sind bei Arc registriert. Wechseln Sie zum Azure-Portal, und wechseln Sie dann zur Ressourcengruppe, die der Registrierung zugeordnet ist. Die Computer werden innerhalb der angegebenen Ressourcengruppe als Computer - Azure Arc-Typressourcen angezeigt.

      

   2. Die obligatorischen lokalen Azure-Erweiterungen werden auf Ihren Computern installiert. Wählen Sie in der Ressourcengruppe den registrierten Computer aus. Wechseln Sie zu den Erweiterungen. Die obligatorischen Erweiterungen werden im rechten Bereich angezeigt.

      

Zuweisen erforderlicher Berechtigungen für die Bereitstellung

In diesem Abschnitt wird beschrieben, wie Sie Azure-Berechtigungen für die Bereitstellung aus dem Azure-Portal zuweisen.

1. Wechseln Sie im Azure-Portal zum Abonnement, das zum Registrieren der Computer verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.

   

2. Durchlaufen Sie die Registerkarten, und weisen Sie dem Benutzer, der die Instanz bereitstellt, die folgenden Rollenberechtigungen zu:

   • Azure Stack HCI-Administrator
   • Leser

3. Wechseln Sie im Azure-Portal zur Ressourcengruppe, die zum Registrieren der Computer in Ihrem Abonnement verwendet wird. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.

   

4. Durchlaufen Sie die Registerkarten, und weisen Sie dem Benutzer, der die Instanz bereitstellt, die folgenden Berechtigungen zu:

   • Key Vault-Datenzugriffsadministrator: Diese Berechtigung ist erforderlich, um Berechtigungen für die Datenebene für den schlüsseltresor zu verwalten, der für die Bereitstellung verwendet wird.
   • Key Vault Secrets Officer: Diese Berechtigung ist erforderlich, um geheime Schlüssel im schlüsseltresor zu lesen und zu schreiben, der für die Bereitstellung verwendet wird.
   • Key Vault-Mitwirkender: Diese Berechtigung ist erforderlich, um den für die Bereitstellung verwendeten Schlüsseltresor zu erstellen.
   • Mitwirkender des Speicherkontos: Diese Berechtigung ist erforderlich, um das für die Bereitstellung verwendete Speicherkonto zu erstellen.

5. Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Stellen Sie sicher, dass der Bereitstellungsbenutzer über alle konfigurierten Rollen verfügt.

6. Wechseln Sie im Azure-Portal zu Microsoft Entra-Rollen und -Administratoren, und weisen Sie die Rollenberechtigung für Cloudanwendungsadministratoren auf Microsoft Entra-Mandantenebene zu.

   

   Hinweis

   Die Berechtigung "Cloudanwendungsadministrator" ist vorübergehend erforderlich, um den Dienstprinzipal zu erstellen. Nach der Bereitstellung kann diese Berechtigung entfernt werden.

Nächste Schritte

Nachdem Sie den ersten Computer in Ihrer Instanz eingerichtet haben, können Sie mit Azure-Portal bereitstellen:

• Bereitstellen mithilfe von Azure-Portal.