Zarządzanie klastrami lokalnymi platformy Azure przy użyciu centrum administracyjnego systemu Windows na platformie Azure (wersja zapoznawcza)

• Dotyczy:

  ✅ Azure Local, versions 23H2 and 22H2

Ważny

Centrum administracyjne systemu Windows w witrynie Azure Portal jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure, aby uzyskać postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione publicznie.

Ważny

Wersja 1.36 i 1.35 agenta połączonej maszyny platformy Azure (agent usługi Arc) przerywa połączenie z centrum administracyjnym systemu Windows. Naprawiono to w nowszych wersjach agenta usługi Arc (1.37 lub nowszego) Można to pobrać tutaj.

Za pomocą Windows Admin Center w Azure Portal można zarządzać systemem operacyjnym Azure Local na klastrze. Możesz bezpiecznie zarządzać klastrem z dowolnego miejsca bez konieczności korzystania z sieci VPN, publicznego adresu IP lub innej łączności przychodzącej z maszyną.

Rozszerzenie Windows Admin Center na platformie Azure zapewnia funkcje zarządzania, konfiguracji, rozwiązywania problemów i konserwacji na potrzeby zarządzania klastrem lokalnym platformy Azure w witrynie Azure Portal. Zarządzanie lokalnym klastrem i obciążeniami platformy Azure nie wymaga już ustanawiania łączności liniowej ani korzystania z protokołu RDP — wszystko można zrobić natywnie z poziomu portalu Azure. Centrum administracyjne systemu Windows udostępnia narzędzia, które zwykle można znaleźć w Menedżerze klastra trybu failover, Menedżerze urządzeń, Menedżerze zadań, Hyper-V Manager i większości innych narzędzi programu Microsoft Management Console (MMC).

Ten artykuł zawiera omówienie korzystania z programu Windows Admin Center w witrynie Azure Portal, wymaganiach oraz sposobie instalowania centrum administracyjnego systemu Windows i używania go do zarządzania klastrem. Zawiera również odpowiedzi na często zadawane pytania i zawiera listę znanych problemów i wskazówek dotyczących rozwiązywania problemów w przypadku, gdy coś nie działa.

Omówienie centrum administracyjnego systemu Windows na platformie Azure

Centrum administracyjne systemu Windows w witrynie Azure Portal udostępnia podstawowe narzędzia do zarządzania klastrem lokalnym platformy Azure. Można zarządzać klastrami bez konieczności otwierania dowolnego portu przychodzącego w zaporze.

Za pomocą centrum administracyjnego systemu Windows w witrynie Azure Portal można zarządzać:

• Serwerów
• Woluminów
• Napędy
• Infrastruktura sieci SDN
• Diagnostyka
• Bezpieczeństwo
• Certyfikaty
• Urządzenia
• Zdarzenia
• Pliki i udostępnianie plików
• Zapora
• Zainstalowane aplikacje
• Lokalni użytkownicy i grupy
• Monitor wydajności
• PowerShell
• Procesy
• Rejestr
• Pulpit zdalny
• Role i funkcje
• Zaplanowane zadania
• Usługi
• Przechowywanie
• Maszyny wirtualne
• Przełączniki wirtualne

Obecnie nie obsługujemy innych rozszerzeń programu Windows Admin Center w witrynie Azure Portal.

Ostrzeżenie

Jeśli program Windows Admin Center został ręcznie zainstalowany w klastrze w celu zarządzania wieloma systemami, włączenie programu Windows Admin Center na platformie Azure spowoduje zastąpienie istniejącego wystąpienia programu Windows Admin Center i usunięcie możliwości zarządzania innymi maszynami. Utracisz dostęp do wcześniej wdrożonego wystąpienia centrum administracyjnego systemu Windows.

Wymagania

Ta sekcja zawiera wymagania dotyczące korzystania z centrum administracyjnego systemu Windows w witrynie Azure Portal do zarządzania maszyną hybrydową:

• konto platformy Azure z aktywną subskrypcją
• uprawnienia platformy Azure
• dostępność regionów platformy Azure
• wymagania lokalne platformy Azure
• wymagania dotyczące sieci

Konto platformy Azure z aktywną subskrypcją

Do wdrożenia centrum administracyjnego systemu Windows potrzebne będzie konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz utworzyć bezpłatne konto.

Podczas wdrażania Windows Admin Center zarejestrujesz dostawcę zasobów Microsoft.HybridConnectivity dla subskrypcji.

Ważny

Musisz mieć uprawnienia do rejestrowania dostawcy zasobów, który wymaga operacji */register/action. Jest to uwzględnione, jeśli masz przypisaną rolę współautora lub właściciela w ramach subskrypcji.

Notatka

Rejestracja dostawcy zasobów to jednorazowe zadanie dla każdej subskrypcji.

Aby sprawdzić stan dostawcy zasobów i zarejestrować się w razie potrzeby:

1. Zaloguj się do witryny Azure Portal.
2. Wybierz pozycję Subskrypcje.
3. Wybierz nazwę subskrypcji.
4. Wybierz dostawców zasobów .
5. Wyszukaj Microsoft.HybridConnectivity.
6. Sprawdź, czy stan Microsoft.HybridConnectivity to Zarejestrowany.
   1. Jeśli stan to NotRegistered, wybierz pozycję Microsoft.HybridConnectivity, a następnie wybierz pozycję Zarejestruj.

Uprawnienia platformy Azure

Nawiązywanie połączenia z Centrum administracyjnym Windows wymaga posiadania uprawnień Czytnika i Logowania Administratora Centrum administracyjnego Windows do zasobu lokalnego Azure z obsługą Arc.

dowiedz się więcej o przypisywaniu ról platformy Azure przy użyciu witryny Azure Portal.

Dostępność regionów platformy Azure

Usługa Windows Admin Center jest obsługiwana w wszystkich regionach publicznych obsługiwanych jest lokalna platformy Azure.

Notatka

Centrum administracyjne systemu Windows nie jest obsługiwane w usługach Azure China 21Vianet, Azure Government ani innych chmurach innych niż publiczne

Wymagania lokalne platformy Azure

Aby można było używać centrum administracyjnego systemu Windows w witrynie Azure Portal, agent Centrum administracyjnego systemu Windows musi być zainstalowany w każdym węźle klastra za pośrednictwem rozszerzenia maszyny wirtualnej platformy Azure. Każdy węzeł klastra powinien spełniać następujące wymagania:

• Azure Local, wersja 21H2 lub nowsza
• 3 GB pamięci lub więcej
• Klaster lokalny platformy Azure musi być połączony z platformą Azure przy użyciu usługi Azure Arc
• Agent usługi Azure Arc w wersji 1.13.21320.014 lub nowszej

Wymagania dotyczące sieci

Każdy węzeł klastra lokalnego platformy Azure musi spełniać następujące wymagania dotyczące sieci:

• Wychodzący dostęp do Internetu lub reguła portu wychodzącego zezwalająca na ruch HTTPS do następujących punktów końcowych:

  • *.service.waconazure.com lub tag usługi WindowsAdminCenter
  • pas.windows.net
  • *.servicebus.windows.net

Notatka

Do korzystania z Centrum administracyjnego systemu Windows nie są wymagane żadne porty wejściowe.

Maszyna zarządzania, na której działa witryna Azure Portal, musi spełniać następujące wymagania dotyczące sieci:

• Wychodzący dostęp do Internetu przez port 443

Przed uzyskaniem dostępu do witryny Azure Portal z komputera lub systemu upewnij się, że zapoznasz się z obsługiwanymi urządzeniami i zalecanymi przeglądark ami.

Instalowanie centrum administracyjnego systemu Windows w witrynie Azure Portal

Aby można było używać centrum administracyjnego systemu Windows w witrynie Azure Portal, należy wdrożyć rozszerzenie maszyny wirtualnej centrum administracyjnego systemu Windows, wykonując następujące kroki:

1. Otwórz witrynę Azure Portal i przejdź do klastra lokalnego platformy Azure.
2. W grupie Ustawienia wybierz pozycję Windows Admin Center.
3. Określ port, na którym chcesz zainstalować program Windows Admin Center, a następnie wybierz pozycję Zainstaluj.

Nawiązywanie połączenia z centrum administracyjnym systemu Windows w witrynie Azure Portal

Po zainstalowaniu programu Windows Admin Center w klastrze wykonaj następujące kroki, aby nawiązać z nim połączenie i użyć go do zarządzania platformą Azure Lokalnie:

1. Otwórz witrynę Azure Portal i przejdź do klastra lokalnego platformy Azure, a następnie w obszarze grupy Settings wybierz pozycję Windows Admin Center.
2. Wybierz pozycję Connect.

Notatka

Od kwietnia 2023 r. centrum administracyjne systemu Windows umożliwia teraz korzystanie z uwierzytelniania opartego na identyfikatorze Entra firmy Microsoft dla klastrów 22H2 lub nowszych z rozszerzeniem AdminCenter większym niż 0.0.0.313. Nie będzie już wyświetlany monit o podanie poświadczeń lokalnego konta administratora. Jednak w Windows Admin Center mogą pojawić się pewne sytuacje, które mogą wymagać poświadczeń administratora lokalnego. Na przykład, gdy jest wymagany CredSSP. Klastry z systemem 21H2 lub nowszym będą nadal wymagać poświadczeń administratora lokalnego.

W portalu zostanie otwarte Centrum administracyjne systemu Windows, co zapewnia dostęp do tych samych narzędzi, które mogą być znane z korzystania z Centrum administracyjnego systemu Windows we wdrożeniu lokalnym.

Konfigurowanie przypisań ról

Dostęp do centrum administracyjnego systemu Windows jest kontrolowany przez rolę logowania administratora platformy Azure Centrum administracyjnego systemu Windows. Należy mieć tę rolę skonfigurowaną w zasobie lokalnym platformy Azure, i każdym z serwerów z obsługą usługi Azure Arc skojarzonych z tym klastrem.

Notatka

Rola logowania administratora centrum administracyjnego systemu Windows używa funkcji dataActions i w związku z tym nie można jej przypisać w zakresie grupy zarządzania. Obecnie te role można przypisać tylko w ramach subskrypcji, grupy zasobów lub zakresu zasobów.

Aby skonfigurować przypisania ról dla klastra przy użyciu centrum administracyjnego Microsoft Entra:

1. Wybierz grupę zasobów zawierającą klaster i skojarzone zasoby usługi Azure Arc.

2. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).

3. Wybierz , aby dodać,>,, a następnie przypisanie roli, co otworzy stronę Dodawanie przypisania roli.

4. Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról usługi Azure za pomocą Azure Portal.

   Ustawienie	Wartość
   Rola	Logowanie administratora Centrum Administracyjnego systemu Windows
   Przypisz dostęp do	Użytkownik, grupa, jednostka usługi lub tożsamość zarządzana

Aby uzyskać więcej informacji, jak używać Azure RBAC do zarządzania dostępem do zasobów subskrypcji platformy Azure, zobacz następujące artykuły:

• Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure
• Przypisywanie ról platformy Azure za pomocą przykładów Azure CLI. Interfejs wiersza polecenia platformy Azure może być również używany w środowisku usługi Azure Cloud Shell.
• Przypisywanie ról platformy Azure przy użyciu portalu Azure
• Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Jak to działa

Za pomocą Centrum administracyjnego systemu Windows na platformie Azure można nawiązać połączenie z klastrem bez konieczności włączania żadnego portu przychodzącego w zaporze. Centrum administracyjne systemu Windows za pośrednictwem agenta usługi Arc jest w stanie bezpiecznie ustanowić połączenie sesji zwrotnego serwera proxy z usługą Azure Arc w sposób wychodzący.

Dla każdego klastra lokalnego platformy Azure, którym chcesz zarządzać za pomocą programu Windows Admin Center w witrynie Azure Portal, należy wdrożyć agenta we wszystkich węzłach w klastrze.

Agent komunikuje się z usługą zewnętrzną, która zarządza certyfikatami, dzięki czemu można łatwo nawiązać połączenie z klastrem.

Kliknięcie Zainstaluj wykonuje następujące czynności:

1. Rejestruje dostawcę zasobów Microsoft.HybridConnectivity w ramach subskrypcji. Dostawca zasobów hostuje serwer proxy używany do komunikacji z klastrem obsługującym usługę Arc.
2. Wdraża zasób punktu końcowego usługi Azure na każdym z zasobów z obsługą usługi Arc w klastrze, który umożliwia odwrotne połączenie serwera proxy na określonym porcie. Jest to po prostu zasób logiczny na platformie Azure i nie wdraża niczego na samym serwerze.
3. Instaluje agenta programu Windows Admin Center na maszynie hybrydowej z prawidłowym certyfikatem TLS.

Notatka

Odinstalowanie centrum administracyjnego systemu Windows nie powoduje usunięcia logicznego zasobu punktu końcowego platformy Azure. Jest to przechowywane w przypadku innych środowisk, które mogą korzystać z tego zasobu, takiego jak SSH.

Kliknięcie „Connect” wykonuje następujące czynności:

1. Portal Azure prosi dostawcę zasobów Microsoft.HybridConnectivity o dostęp do serwera z obsługą Arc.
2. Dostawca zasobów komunikuje się z serwerem proxy SNI warstwy 4 w celu ustanowienia krótkotrwałego dostępu specyficznego dla sesji do jednego z węzłów klastra z obsługą usługi Arc na porcie centrum administracyjnego systemu Windows.
3. Generowany jest unikatowy krótkotrwały adres URL, a połączenie z centrum administracyjnym systemu Windows jest ustanawiane w witrynie Azure Portal.

Połączenie z usługą Windows Admin Center jest szyfrowane od końca do końca, a zakończenie SSL odbywa się w klastrze.

Automatyzowanie wdrażania programu Windows Admin Center przy użyciu programu PowerShell

Wdrożenie programu Windows Admin Center można zautomatyzować w witrynie Azure Portal przy użyciu tego przykładowego skryptu programu PowerShell.

$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
        
#Allow connectivity
$patch = @{ "properties" =  @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload

Rozwiązywanie problemów

Poniżej przedstawiono kilka wskazówek, które warto wypróbować, jeśli coś nie działa. Aby uzyskać ogólne informacje dotyczące rozwiązywania problemów z centrum administracyjnym systemu Windows (nie dotyczy to platformy Azure), zobacz Troubleshooting Windows Admin Center.

Nie udało się połączyć: "Nie znaleziono punktu końcowego 404"

1. Wersja 1.36 i 1.35 agenta połączonej maszyny platformy Azure (agent usługi Arc) przerywa połączenie z centrum administracyjnym systemu Windows. Naprawiono to w nowszych wersjach agenta Arc (1.37 lub nowszego). Można to pobrać tutaj.

Błąd podczas nawiązywania połączenia.

1. Uruchom ponownie usługę HIMDS.

   1. Protokół RDP do każdego węzła klastra.

   2. Otwórz program PowerShell jako administrator i uruchom polecenie:

      Restart-Service -Name himds
      

2. Upewnij się, że usługa Windows Admin Center jest uruchomiona w klastrze.

   1. Połącz się za pomocą RDP z każdym węzłem klastra.
   2. Otwórz menedżera zadań (Ctrl+Shift+Esc) i przejdź do Services.
   3. Upewnij się, że ServerManagementGateway/Windows Admin Center jest uruchomiona.
   4. Jeśli tak nie jest, uruchom usługę.

3. Sprawdź, czy port jest włączony dla sesji zwrotnego serwera proxy.

   1. Połącz się z każdym węzłem klastra za pomocą RDP.

   2. Otwórz program PowerShell jako administrator i uruchom polecenie:

      azcmagent config list
      

   3. Powinno to zwrócić listę portów w konfiguracji incomingconnections.ports (wersja zapoznawcza), które są włączone do połączenia z platformy Azure. Upewnij się, że port, na którym zainstalowano program Windows Admin Center, znajduje się na tej liście. Na przykład jeśli na porcie 443 zainstalowano centrum administracyjne systemu Windows, wynik będzie:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. W przypadku, gdy nie znajduje się na tej liście, uruchom

      azcmagent config set incomingconnections.ports <port>
      

      Jeśli używasz innego środowiska (takiego jak SSH) przy użyciu tego rozwiązania, możesz określić wiele portów rozdzielonych przecinkami.

4. Upewnij się, że masz łączność wychodzącą z wymaganymi portami.

   1. Każdy węzeł klastra powinien mieć łączność wychodzącą z następującym punktem końcowym
      • *.wac.azure.com, *.waconazure.com lub WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Jedno z narzędzi Centrum administracyjnego systemu Windows nie jest ładowane lub powoduje błąd

1. Przejdź do dowolnego innego narzędzia w Centrum administracyjnym systemu Windows i wróć do narzędzia, które nie jest ładowane.

2. Jeśli żadne inne narzędzie nie jest ładowane, może wystąpić problem z łącznością sieciową. Spróbuj zamknąć ostrze, a następnie ponownie nawiąż połączenie. Jeśli to nie zadziała, otwórz bilet pomocy technicznej.

Nie można zainstalować rozszerzenia Windows Admin Center

1. Sprawdź dwukrotnie, aby upewnić się, że klaster spełnia wymagania .

2. Upewnij się, że ruch wychodzący do Centrum administracyjnego systemu Windows jest dozwolony w każdym węźle klastra.

   1. Przetestuj łączność, uruchamiając następujące polecenie przy użyciu programu PowerShell wewnątrz maszyny wirtualnej:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Jeśli zezwalasz na cały ruch wychodzący i występuje błąd z powyższego polecenia, sprawdź, czy nie ma reguł zapory blokujących połączenie.

Jeśli nic nie wydaje się nieprawidłowe, a program Windows Admin Center nadal nie zostanie zainstalowany, otwórz wniosek o pomoc techniczną z następującymi informacjami:

• Dzienniki w portalu Azure. Można to znaleźć w obszarze SettingsExtensionsAdminCenterView Detailed Status(Wyświetl szczegółowy stan).

• Dzienniki na każdym węźle klastra. Uruchom następujące polecenie programu PowerShell i udostępnij wynikowy plik .zip.

  azcmagent logs
  

• Śledzenie sieci, jeśli jest to konieczne. Dane śledzenia sieci mogą zawierać dane klienta i poufne szczegóły zabezpieczeń, takie jak hasła, dlatego zalecamy przejrzenie śladu i usunięcie wszelkich poufnych szczegółów przed ich udostępnieniem.

Znane problemy

• Tryb incognito przeglądarki Chrome nie jest obsługiwany.
• Aplikacja desktopowa portalu Azure nie jest obsługiwana.
• Szczegółowe komunikaty o błędach dla połączeń, które zakończyły się niepowodzeniem, nie są jeszcze dostępne.
• Aktualizacje nie są obsługiwane. Użytkownicy nie mogą zastosować aktualizacji do lokalnego klastra Azure za pomocą CAU (Cluster-Aware Updating).

Często zadawane pytania

Znajdź odpowiedzi na często zadawane pytania dotyczące korzystania z usługi Windows Admin Center na platformie Azure.

Ile kosztuje korzystanie z usługi Windows Admin Center?

Korzystanie z Centrum administracyjnego systemu Windows w witrynie Azure Portal nie wiąże się z żadnymi kosztami.

Czy mogę zarządzać maszynami wirtualnymi uruchomionymi w klastrze za pomocą Centrum administracyjnego systemu Windows?

Rolę Hyper-V można zainstalować przy użyciu rozszerzenia Role i funkcje. Po zainstalowaniu odśwież przeglądarkę, a w centrum administracyjnym systemu Windows zostaną wyświetlone rozszerzenia Maszyna wirtualna i Przełącznik.

Jakie klastry można zarządzać przy użyciu tego rozszerzenia?

Za pomocą tej funkcji można zarządzać klastrami lokalnymi platformy Azure z obsługą usługi Arc w wersji 21H2 lub nowszej. Możesz również zarządzać serwerami z obsługą usługi Arc za pomocą Centrum administracyjnego systemu Windows

Jak usługa Windows Admin Center obsługuje zabezpieczenia?

Ruch z witryny Azure Portal do centrum administracyjnego systemu Windows jest szyfrowany kompleksowo. Klaster obsługiwany przez Arc jest zarządzany za pomocą PowerShell i WMI przez WinRM.

Czy potrzebuję portu przychodzącego do korzystania z Centrum administracyjnego systemu Windows?

Do korzystania z programu Windows Admin Center nie jest wymagane żadne połączenie przychodzące.

Dlaczego należy utworzyć regułę portu wychodzącego?

Reguła portu wychodzącego jest wymagana dla usługi utworzonej do komunikowania się z serwerem. Nasza usługa wystawia bezpłatnie certyfikat dla Twojej instancji Windows Admin Center. Ta usługa gwarantuje, że zawsze można połączyć się z instancją Windows Admin Center z poziomu Azure portal, utrzymując certyfikat WAC w aktualności.

Ponadto uzyskiwanie dostępu do centrum administracyjnego systemu Windows z platformy Azure nie wymaga portu przychodzącego i tylko łączności wychodzącej za pośrednictwem rozwiązania zwrotnego serwera proxy. Te reguły ruchu wychodzącego są wymagane w celu nawiązania połączenia.

Jak znaleźć port używany do instalacji programu Windows Admin Center?

Aby sprawdzić wartość ustawienia rejestru SmePort:

1. Połącz się z serwerem za pomocą RDP.
2. Otwórz edytor rejestru .
3. Przejdź do klucza \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway.
4. Przeczytaj wartość SmePort, aby znaleźć używany port.

Mam już zainstalowane centrum administracyjne systemu Windows na jednym lub wszystkich węzłach mojego klastra. Czy mogę uzyskać do niego dostęp z portalu?

Tak. Możesz wykonać te same kroki opisane w tym dokumencie.

Ostrzeżenie

Włączenie tej funkcji spowoduje zastąpienie istniejącej wersji Windows Admin Center i usunięcie możliwości zarządzania innymi urządzeniami. Wcześniej wdrożone wystąpienie programu Windows Admin Center nie będzie już użyteczne.

Następne kroki

• Dowiedz się o Windows Admin Center
• Dowiedz się więcej na temat zarządzania serwerami za pomocą Windows Admin Center
• Dowiedz się więcej o lokalnej platformy Azure
• Dowiedz się więcej o łączeniu Azure Local z usługą Azure