Registrare i computer e assegnare le autorizzazioni per la distribuzione locale di Azure

Si applica a: Azure locale 2311.2 e versioni successive

Questo articolo descrive come registrare i computer locali di Azure e quindi configurare le autorizzazioni necessarie per distribuire Azure Locale.

Prerequisiti

Prima di iniziare, assicurarsi di aver completato i prerequisiti seguenti:

• Soddisfare i prerequisiti e completare l'elenco di controllo per la distribuzione.

• Configura l'ambiente Active Directory.

• Installare il sistema operativo Azure Stack HCI versione 23H2 in ogni computer.

• Registra la tua sottoscrizione con i provider di risorse necessari. È possibile usare il portale di Azure o Azure PowerShell per la registrazione. Per registrare i provider di risorse seguenti, è necessario essere un proprietario o un collaboratore nel vostro abbonamento:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Nota

  Si presuppone che la persona che registra la sottoscrizione di Azure con i provider di risorse sia una persona diversa da quella che registra i computer locali di Azure con Arc.

• Se si registrano i computer come risorse Arc, assicurarsi di disporre delle autorizzazioni seguenti per il gruppo di risorse in cui è stato effettuato il provisioning dei computer:

  • Integrazione di Azure Connected Machine
  • Amministratore delle risorse di Azure Connected Machine

  Per verificare di avere questi ruoli, seguire questa procedura nella portale di Azure:

  1. Passare alla sottoscrizione usata per la distribuzione locale di Azure.
  2. Passare al gruppo di risorse in cui si prevede di registrare i computer.
  3. Nel riquadro a sinistra passare a Controllo di accesso (IAM).
  4. Nel riquadro destro, accedere a Role assignments. Verificare che vi siano assegnati i ruoli di Onboarding di Azure Connected Machine e di Amministratore delle risorse di Azure Connected Machine.

• Controlla i criteri di Azure. Assicurati che:

  • I criteri di Azure non bloccano l'installazione delle estensioni.
  • I criteri di Azure non bloccano la creazione di determinati tipi di risorse in un gruppo di risorse.
  • I criteri di Azure non bloccano la distribuzione delle risorse in determinate posizioni.

Registrare le macchine con Azure Arc

Importante

Eseguire questi passaggi come amministratore locale in ogni computer locale di Azure che si intende raggruppare.

1. Imposta i parametri. Lo script accetta i parametri seguenti:

   Parametri	Descrizione
   SubscriptionID	ID della sottoscrizione usata per registrare i computer con Azure Arc.
   TenantID	ID tenant utilizzato per registrare i propri computer con Azure Arc. Accedere all'ID Microsoft Entra e copiare la proprietà dell'ID tenant.
   ResourceGroup	Gruppo di risorse predisposto per la registrazione delle macchine Arc. Se non esiste, viene creato un gruppo di risorse.
   Region	Area di Azure usata per la registrazione. Vedere le aree supportate che è possibile usare.
   AccountID	L'utente che registra e distribuisce l'istanza.
   ProxyServer	Parametro facoltativo. Indirizzo del server proxy quando è necessario per la connettività in uscita.
   DeviceCode	Il codice del dispositivo visualizzato nella console in https://microsoft.com/devicelogin viene utilizzato per accedere al dispositivo.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Output

   Ecco un output di esempio dei parametri:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Connettersi all'account Azure e impostare la sottoscrizione. Sarà necessario aprire il browser nel client che si sta usando per connettersi al computer e aprire questa pagina: https://microsoft.com/devicelogin e immettere il codice fornito nell'output dell'interfaccia della riga di comando di Azure per l'autenticazione. Ottenere il token di accesso e l'ID dell'account per la registrazione.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Output

   Ecco un output di esempio dell'impostazione della sottoscrizione e dell'autenticazione:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                ----------- 
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Eseguire infine lo script di registrazione Arc. L'esecuzione dello script richiede alcuni minuti.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Se si accede a Internet tramite un server proxy, è necessario passare il -proxy parametro e fornire il server proxy come http://<Proxy server FQDN or IP address>:Port quando si esegue lo script.

   Per un elenco delle aree di Azure supportate, vedere Requisiti di Azure.

   Output

   Ecco un esempio del risultato di una registrazione riuscita delle tue macchine.

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Dopo che lo script è stato completato con successo su tutti i computer, verificare che:

   1. I computer sono registrati con Arc. Passare al portale di Azure e quindi passare al gruppo di risorse associato alla registrazione. I computer vengono visualizzati all'interno del gruppo di risorse specificato come risorse del tipo Machine - Azure Arc .

      

   2. Le estensioni locali di Azure obbligatorie vengono installate nei computer. Nel gruppo di risorse selezionare il computer registrato. Vai a Estensioni. Le estensioni obbligatorie sono visualizzate nel riquadro destro.

      

Nota

Dopo aver registrato un computer locale di Azure con Azure Arc, l'unico modo per annullare la registrazione consiste nell'installare nuovamente il sistema operativo nel computer.

Assegnare le autorizzazioni necessarie per la distribuzione

Questa sezione descrive come assegnare le autorizzazioni di Azure per la distribuzione dal portale di Azure.

1. Nel portale di Azure, vai alla sottoscrizione usata per registrare le macchine. Nel riquadro a sinistra, selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.

   

2. Passare attraverso le schede e assegnare le autorizzazioni di ruolo seguenti all'utente che distribuisce l'istanza:

   • Amministratore di Azure Stack HCI
   • Lettore

3. Nel portale di Azure, passare al gruppo di risorse utilizzato per registrare le macchine della tua sottoscrizione. Nel riquadro a sinistra, selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.

   

4. Passare attraverso le schede e assegnare le autorizzazioni seguenti all'utente che distribuisce l'istanza:

   • Amministratore dell'accesso ai dati di Key Vault: questa autorizzazione è necessaria per gestire le autorizzazioni del piano dati per il key vault utilizzato per la distribuzione.
   • Amministratore dei Segreti del Key Vault: questa autorizzazione è necessaria per leggere e scrivere segreti nel Key Vault utilizzato per la distribuzione.
   • Collaboratore del Key Vault: questa autorizzazione è necessaria per creare il Key Vault usato per la distribuzione.
   • Contributore dell'Account di Archiviazione: questo permesso è richiesto per creare l'account di archiviazione usato per la distribuzione.

5. Nel riquadro destro passare a Assegnazioni di ruolo. Verificare che l'utente della distribuzione disponga di tutti i ruoli configurati.

6. Nel portale di Azure passare a Ruoli e amministratori di Microsoft Entra e assegnare l'autorizzazione di amministratore di applicazioni cloud a livello di tenant di Microsoft Entra.

   

   Nota

   L'autorizzazione Amministratore delle applicazioni cloud è temporaneamente necessaria per creare l'entità del servizio. Dopo la distribuzione, questa autorizzazione può essere rimossa.

Passaggi successivi

Dopo aver configurato il primo computer nell'istanza, si è pronti per la distribuzione usando portale di Azure:

• Eseguire la distribuzione con portale di Azure.