Inscrire vos machines et attribuer des autorisations pour le déploiement Azure Local version 23H2

S’applique à : Azure Local, version 23H2

Cet article explique comment inscrire vos machines locales Azure, puis configurer les autorisations requises pour déployer Azure Local version 23H2.

Prérequis

Avant de commencer, vérifiez que vous avez rempli les conditions préalables suivantes :

• Remplissez les conditions préalables et remplissez la liste de contrôle de déploiement.

• Préparez votre environnement Active Directory .

• Installez le système d’exploitation Azure Stack HCI, version 23H2 sur chaque ordinateur.

• Inscrivez votre abonnement auprès des fournisseurs de ressources requis. Vous pouvez utiliser l’Portail Azure ou Azure PowerShell pour vous inscrire. Vous devez être propriétaire ou contributeur sur votre abonnement pour inscrire les adresses RPS de ressources suivantes :

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Remarque

  L’hypothèse est que la personne qui inscrit l’abonnement Azure auprès des fournisseurs de ressources est une personne différente de celle qui inscrit les machines locales Azure auprès d’Arc.

• Si vous inscrivez les machines en tant que ressources Arc, vérifiez que vous disposez des autorisations suivantes sur le groupe de ressources où les machines ont été approvisionnées :

  • Intégration de machine connectée à Azure
  • Administrateur des ressources de la machine connectée à Azure

  Pour vérifier que vous avez ces rôles, procédez comme suit dans la Portail Azure :

  1. Accédez à l’abonnement que vous utilisez pour le déploiement local Azure.
  2. Accédez au groupe de ressources dans lequel vous envisagez d’inscrire les machines.
  3. Dans le volet gauche, accédez au contrôle d’accès (IAM).
  4. Dans le volet droit, accédez aux attributions de rôles. Vérifiez que vous disposez des rôles Azure Connected Machine Onboarding et Azure Connected Machine Resource Administrator .

• Vérifiez vos stratégies Azure. Assurez-vous que :

  • Les stratégies Azure ne bloquent pas l’installation des extensions.
  • Les stratégies Azure ne bloquent pas la création de certains types de ressources dans un groupe de ressources.
  • Les stratégies Azure ne bloquent pas le déploiement de ressources dans certains emplacements.

Inscrire des machines auprès d’Azure Arc

Important

Exécutez ces étapes sur chaque ordinateur local Azure que vous envisagez de cluster.

1. Définissez les paramètres. Le script prend les paramètres suivants :

   Paramètres	Description
   SubscriptionID	ID de l’abonnement utilisé pour inscrire vos machines auprès d’Azure Arc.
   TenantID	ID de locataire utilisé pour inscrire vos machines auprès d’Azure Arc. Accédez à votre ID Microsoft Entra et copiez la propriété ID de locataire.
   ResourceGroup	Groupe de ressources précréé pour l’inscription Arc des machines. Un groupe de ressources est créé s’il n’existe pas.
   Region	Région Azure utilisée pour l’inscription. Consultez les régions prises en charge qui peuvent être utilisées.
   AccountID	L’utilisateur qui inscrit et déploie l’instance.
   ProxyServer	Paramètre facultatif. Adresse du serveur proxy quand elle est requise pour la connectivité sortante.
   DeviceCode	Le code de l’appareil affiché dans la console à https://microsoft.com/devicelogin l’adresse et utilisé pour se connecter à l’appareil.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Sortie

   Voici un exemple de sortie des paramètres :

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Connectez-vous à votre compte Azure et définissez l’abonnement. Vous devez ouvrir le navigateur sur le client que vous utilisez pour vous connecter à la machine et ouvrir cette page : https://microsoft.com/devicelogin puis entrer le code fourni dans la sortie Azure CLI pour vous authentifier. Obtenez le jeton d’accès et l’ID de compte pour l’inscription.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Sortie

   Voici un exemple de sortie de définition de l’abonnement et de l’authentification :

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Enfin, exécutez le script d’inscription Arc. L’exécution du script prend quelques minutes.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Si vous accédez à Internet via un serveur proxy, vous devez passer le -proxy paramètre et fournir le serveur proxy comme http://<Proxy server FQDN or IP address>:Port lors de l’exécution du script.

   Pour obtenir la liste des régions Azure prises en charge, consultez les exigences d’Azure.

   Sortie

   Voici un exemple de sortie d’une inscription réussie de vos machines :

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Une fois le script terminé avec succès sur toutes les machines, vérifiez que :

   1. Vos machines sont inscrites auprès d’Arc. Accédez au Portail Azure, puis accédez au groupe de ressources associé à l’inscription. Les machines apparaissent dans le groupe de ressources spécifié en tant que ressources de type Machine - Azure Arc .

      

   2. Les extensions locales Azure obligatoires sont installées sur vos machines. Dans le groupe de ressources, sélectionnez l’ordinateur inscrit. Accédez aux extensions. Les extensions obligatoires s’affichent dans le volet droit.

      

Attribuer des autorisations requises pour le déploiement

Cette section explique comment attribuer des autorisations Azure pour le déploiement à partir du Portail Azure.

1. Dans le Portail Azure, accédez à l’abonnement utilisé pour inscrire les machines. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

   

2. Parcourez les onglets et attribuez les autorisations de rôle suivantes à l’utilisateur qui déploie l’instance :

   • Administrateur Azure Stack HCI
   • Lecteur

3. Dans le Portail Azure, accédez au groupe de ressources utilisé pour inscrire les machines sur votre abonnement. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) . Dans le volet droit, sélectionnez + Ajouter et dans la liste déroulante, sélectionnez Ajouter une attribution de rôle.

   

4. Parcourez les onglets et attribuez les autorisations suivantes à l’utilisateur qui déploie l’instance :

   • Administrateur de l’accès aux données Key Vault : cette autorisation est requise pour gérer les autorisations de plan de données sur le coffre de clés utilisé pour le déploiement.
   • Agent des secrets Key Vault : cette autorisation est requise pour lire et écrire des secrets dans le coffre de clés utilisé pour le déploiement.
   • Contributeur Key Vault : cette autorisation est requise pour créer le coffre de clés utilisé pour le déploiement.
   • Contributeur de compte de stockage : cette autorisation est requise pour créer le compte de stockage utilisé pour le déploiement.

5. Dans le volet droit, accédez aux attributions de rôles. Vérifiez que l’utilisateur de déploiement a tous les rôles configurés.

6. Dans le Portail Azure accédez aux rôles et administrateurs Microsoft Entra et attribuez l’autorisation de rôle Administrateur d’application cloud au niveau du locataire Microsoft Entra.

   

   Remarque

   L’autorisation Administrateur d’application cloud est temporairement nécessaire pour créer le principal de service. Après le déploiement, cette autorisation peut être supprimée.

Étapes suivantes

Après avoir configuré la première machine de votre instance, vous êtes prêt à déployer à l’aide de Portail Azure :

• Déployez à l’aide de Portail Azure.