Uw machines registreren en machtigingen toewijzen voor implementatie van Azure Local, versie 23H2

Van toepassing op: Azure Local, versie 23H2

In dit artikel wordt beschreven hoe u uw lokale Azure-machines registreert en vervolgens de vereiste machtigingen instelt om Azure Local, versie 23H2 te implementeren.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

• Voldoet aan de vereisten en voltooi de controlelijst voor implementatie.

• Bereid uw Active Directory-omgeving voor.

• Installeer het Azure Stack HCI-besturingssysteem, versie 23H2 op elke computer.

• Registreer uw abonnement bij de vereiste resourceproviders (RPs). U kunt Azure Portal of Azure PowerShell gebruiken om u te registreren. U moet een eigenaar of inzender voor uw abonnement zijn om de volgende resource-RPS's te registreren:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Notitie

  De veronderstelling is dat de persoon die het Azure-abonnement registreert bij de resourceproviders een andere persoon is dan degene die de lokale Azure-machines registreert bij Arc.

• Als u de machines registreert als Arc-resources, moet u ervoor zorgen dat u de volgende machtigingen hebt voor de resourcegroep waarin de machines zijn ingericht:

  • Azure Connected Machine Onboarding
  • Azure Connected Machine Resource beheerder

  Volg deze stappen in Azure Portal om te controleren of u deze rollen hebt:

  1. Ga naar het abonnement dat u gebruikt voor de lokale Azure-implementatie.
  2. Ga naar de resourcegroep waar u de machines wilt registreren.
  3. Ga in het linkerdeelvenster naar Toegangsbeheer (IAM).
  4. Ga in het rechterdeelvenster naar de roltoewijzingen. Controleer of u de azure Connected Machine Onboarding - en Azure Connected Machine Resource Administrator-rollen hebt toegewezen.

• Controleer uw Azure-beleid. Zorg voor het volgende:

  • Het Azure-beleid blokkeert de installatie van extensies niet.
  • Het Maken van bepaalde resourcetypen in een resourcegroep wordt niet geblokkeerd door het Azure-beleid.
  • Het Azure-beleid blokkeert de resource-implementatie niet op bepaalde locaties.

Machines registreren bij Azure Arc

Belangrijk

Voer deze stappen uit op elke lokale Azure-machine die u wilt clusteren.

1. Stel de parameters in. Het script heeft de volgende parameters:

   Parameters	Beschrijving
   SubscriptionID	De id van het abonnement dat wordt gebruikt om uw machines te registreren bij Azure Arc.
   TenantID	De tenant-id die wordt gebruikt om uw machines te registreren bij Azure Arc. Ga naar uw Microsoft Entra-id en kopieer de eigenschap tenant-id.
   ResourceGroup	De resourcegroep die vooraf is gemaakt voor Arc-registratie van de machines. Er wordt een resourcegroep gemaakt als deze niet bestaat.
   Region	De Azure-regio die wordt gebruikt voor registratie. Zie de ondersteunde regio's die kunnen worden gebruikt.
   AccountID	De gebruiker die het exemplaar registreert en implementeert.
   ProxyServer	Optionele parameter. Proxyserveradres wanneer dit vereist is voor uitgaande connectiviteit.
   DeviceCode	De apparaatcode die wordt weergegeven in de console op https://microsoft.com/devicelogin en wordt gebruikt om u aan te melden bij het apparaat.

   Powershell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Uitvoer

   Hier volgt een voorbeeld van de uitvoer van de parameters:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Maak verbinding met uw Azure-account en stel het abonnement in. U moet de browser openen op de client die u gebruikt om verbinding te maken met de computer en deze pagina te openen: https://microsoft.com/devicelogin en voer de opgegeven code in de Azure CLI-uitvoer in om te verifiëren. Haal het toegangstoken en de account-id voor de registratie op.

   Powershell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Uitvoer

   Hier volgt een voorbeelduitvoer van het instellen van het abonnement en de verificatie:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Voer ten slotte het Arc-registratiescript uit. Het uitvoeren van het script duurt enkele minuten.

   Powershell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Als u toegang hebt tot internet via een proxyserver, moet u de -proxy parameter doorgeven en de proxyserver opgeven als http://<Proxy server FQDN or IP address>:Port bij het uitvoeren van het script.

   Zie Azure-vereisten voor een lijst met ondersteunde Azure-regio's.

   Uitvoer

   Hier volgt een voorbeeld van een geslaagde registratie van uw machines:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Nadat het script is voltooid op alle computers, controleert u of:

   1. Uw machines zijn geregistreerd bij Arc. Ga naar Azure Portal en ga vervolgens naar de resourcegroep die is gekoppeld aan de registratie. De machines worden weergegeven binnen de opgegeven resourcegroep als Machine - Azure Arc-typeresources .

      

   2. De verplichte lokale Azure-extensies worden geïnstalleerd op uw computers. Selecteer de geregistreerde machine in de resourcegroep. Ga naar de extensies. De verplichte extensies worden weergegeven in het rechterdeelvenster.

      

Vereiste machtigingen toewijzen voor implementatie

In deze sectie wordt beschreven hoe u Azure-machtigingen toewijst voor implementatie vanuit Azure Portal.

1. Ga in Azure Portal naar het abonnement dat wordt gebruikt om de machines te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer in het rechterdeelvenster + Toevoegen en selecteer in de vervolgkeuzelijst de optie Roltoewijzing toevoegen.

   

2. Doorloop de tabbladen en wijs de volgende rolmachtigingen toe aan de gebruiker die het exemplaar implementeert:

   • Azure Stack HCI-beheerder
   • Lezer

3. Ga in Azure Portal naar de resourcegroep die wordt gebruikt om de machines in uw abonnement te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer in het rechterdeelvenster + Toevoegen en selecteer in de vervolgkeuzelijst de optie Roltoewijzing toevoegen.

   

4. Doorloop de tabbladen en wijs de volgende machtigingen toe aan de gebruiker die het exemplaar implementeert:

   • Key Vault Data Access Administrator: deze machtiging is vereist voor het beheren van gegevensvlakmachtigingen voor de sleutelkluis die wordt gebruikt voor implementatie.
   • Key Vault Secrets Officer: deze machtiging is vereist voor het lezen en schrijven van geheimen in de sleutelkluis die wordt gebruikt voor implementatie.
   • Key Vault-inzender: deze machtiging is vereist voor het maken van de sleutelkluis die wordt gebruikt voor implementatie.
   • Inzender voor opslagaccount: deze machtiging is vereist voor het maken van het opslagaccount dat wordt gebruikt voor implementatie.

5. Ga in het rechterdeelvenster naar Roltoewijzingen. Controleer of de implementatiegebruiker alle geconfigureerde rollen heeft.

6. Ga in Azure Portal naar Microsoft Entra-rollen en -beheerders en wijs de rolmachtiging cloudtoepassingsbeheerder toe op tenantniveau van Microsoft Entra.

   

   Notitie

   De machtiging Cloudtoepassingsbeheerder is tijdelijk nodig om de service-principal te maken. Na de implementatie kan deze machtiging worden verwijderd.

Volgende stappen

Nadat u de eerste machine in uw exemplaar hebt ingesteld, bent u klaar om te implementeren met behulp van Azure Portal:

• Implementeren met behulp van Azure Portal.