Registro de las máquinas y asignación de permisos para la implementación de Azure Local, versión 23H2

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo registrar las máquinas locales de Azure y, a continuación, configurar los permisos necesarios para implementar Azure Local, versión 23H2.

Requisitos previos

Antes de comenzar, asegúrese de que ha completado los siguientes requisitos previos:

• Cumpla los requisitos previos y complete la lista de comprobación de implementación.

• Prepare el entorno de Active Directory .

• Instale el sistema operativo Azure Stack HCI, versión 23H2 en cada máquina.

• Registre la suscripción con los proveedores de recursos necesarios (CSP). Puede usar Azure Portal o Azure PowerShell para registrarse. Debe ser propietario o colaborador de la suscripción para registrar los siguientes CSP de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota:

  La suposición es que la persona que registra la suscripción de Azure con los proveedores de recursos es una persona diferente a la que registra las máquinas locales de Azure con Arc.

• Si va a registrar las máquinas como recursos de Arc, asegúrese de que tiene los permisos siguientes en el grupo de recursos donde se aprovisionaron las máquinas:

  • Incorporación de Azure Connected Machine
  • Administrador de recursos de Azure Connected Machine

  Para comprobar que tiene estos roles, siga estos pasos en Azure Portal:

  1. Vaya a la suscripción que usa para la implementación local de Azure.
  2. Vaya al grupo de recursos donde planea registrar las máquinas.
  3. En el panel izquierdo, vaya a Control de acceso (IAM) .
  4. En el panel derecho, vaya a Asignaciones de roles. Compruebe que tiene asignados los roles de administrador de recursos de Azure Connected Machine Onboarding y Azure Connected Machine.

• Compruebe las directivas de Azure. Compruebe los siguiente:

  • Las directivas de Azure no bloquean la instalación de extensiones.
  • Las directivas de Azure no bloquean la creación de determinados tipos de recursos en un grupo de recursos.
  • Las directivas de Azure no bloquean la implementación de recursos en determinadas ubicaciones.

Registro de máquinas con Azure Arc

Importante

Ejecute estos pasos en cada máquina local de Azure que quiera agrupar en clústeres.

1. Establezca los parámetros. El script toma los parámetros siguientes:

   Parámetros	Descripción
   SubscriptionID	Identificador de la suscripción que se usa para registrar las máquinas con Azure Arc.
   TenantID	Identificador de inquilino que se usa para registrar las máquinas con Azure Arc. Vaya al identificador de Microsoft Entra y copie la propiedad id. de inquilino.
   ResourceGroup	El grupo de recursos creado previamente para el registro de Arc de las máquinas. Se crea un grupo de recursos si no existe uno.
   Region	Región de Azure que se usa para el registro. Consulte las regiones admitidas que se pueden usar.
   AccountID	El usuario que registra e implementa la instancia.
   ProxyServer	Parámetro opcional. Dirección del servidor proxy cuando es necesario para la conectividad saliente.
   DeviceCode	El código de dispositivo que se muestra en la consola de https://microsoft.com/devicelogin y se usa para iniciar sesión en el dispositivo.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Salida

   Esta es una salida de ejemplo de los parámetros:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Conéctese a su cuenta de Azure y establezca la suscripción. Tendrá que abrir el explorador en el cliente que usa para conectarse al equipo y abrir esta página: https://microsoft.com/devicelogin y escribir el código proporcionado en la salida de la CLI de Azure para autenticarse. Obtenga el token de acceso y el identificador de cuenta para el registro.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Salida

   Esta es una salida de ejemplo de configuración de la suscripción y la autenticación:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Por último, ejecute el script de registro de Arc. El script tarda unos minutos en ejecutarse.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Si accede a Internet a través de un servidor proxy, debe pasar el parámetro y proporcionar el -proxy servidor proxy como http://<Proxy server FQDN or IP address>:Port al ejecutar el script.

   Para obtener una lista de las regiones de Azure admitidas, consulte Requisitos de Azure.

   Salida

   Esta es una salida de ejemplo de un registro correcto de las máquinas:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Una vez que el script se complete correctamente en todas las máquinas, compruebe que:

   1. Las máquinas están registradas con Arc. Vaya a Azure Portal y, a continuación, vaya al grupo de recursos asociado al registro. Las máquinas aparecen dentro del grupo de recursos especificado como recursos de tipo Machine - Azure Arc .

      

   2. Las extensiones locales de Azure obligatorias se instalan en las máquinas. En el grupo de recursos, seleccione la máquina registrada. Vaya a extensiones. Las extensiones obligatorias aparecen en el panel derecho.

      

Asignación de permisos necesarios para la implementación

En esta sección se describe cómo asignar permisos de Azure para la implementación desde Azure Portal.

1. En Azure Portal, vaya a la suscripción que se usa para registrar las máquinas. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

2. Recorra las pestañas y asigne los siguientes permisos de rol al usuario que implementa la instancia:

   • Administrador de Azure Stack HCI
   • Lector

3. En Azure Portal, vaya al grupo de recursos que se usa para registrar las máquinas de la suscripción. En el panel izquierdo, seleccione Control de acceso (IAM) . En el panel derecho, seleccione + Agregar y, en la lista desplegable, seleccione Agregar asignación de roles.

   

4. Recorra las pestañas y asigne los permisos siguientes al usuario que implementa la instancia:

   • Administrador de acceso a datos de Key Vault: este permiso es necesario para administrar los permisos del plano de datos en el almacén de claves que se usa para la implementación.
   • Director de secretos de Key Vault: este permiso es necesario para leer y escribir secretos en el almacén de claves que se usa para la implementación.
   • Colaborador de Key Vault: este permiso es necesario para crear el almacén de claves que se usa para la implementación.
   • Colaborador de la cuenta de almacenamiento: este permiso es necesario para crear la cuenta de almacenamiento que se usa para la implementación.

5. En el panel derecho, vaya a Asignaciones de roles. Compruebe que el usuario de implementación tiene todos los roles configurados.

6. En Azure Portal, vaya a Roles y administradores de Microsoft Entra y asigne el permiso de rol Administrador de aplicaciones en la nube en el nivel de inquilino de Microsoft Entra.

   

   Nota:

   El permiso Administrador de aplicaciones en la nube es necesario temporalmente para crear la entidad de servicio. Después de la implementación, este permiso se puede quitar.

Pasos siguientes

Después de configurar la primera máquina de la instancia, está listo para implementarlo mediante Azure Portal:

• Implementación mediante Azure Portal.