Регистрация компьютеров и назначение разрешений для локального развертывания Azure

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как зарегистрировать локальные компьютеры Azure, а затем настроить необходимые разрешения для развертывания Локальной службы Azure.

Необходимые условия

Прежде чем начать, убедитесь, что вы выполнили следующие предварительные требования:

• Удовлетворите предварительные условия и выполните контрольный список развертывания.

• Подготовьте среду Active Directory.

• Установите операционную систему Azure Stack HCI версии 23H2 на каждом компьютере.

• Зарегистрируйте свою подписку у необходимых поставщиков ресурсов (ПР). Для регистрации можно использовать портал Azure или Azure PowerShell. Чтобы зарегистрировать следующих поставщиков ресурсов, необходимо быть владельцем или участником подписки.

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Примечание.

  Предполагается, что пользователь, регистрирующий подписку Azure, с поставщиками ресурсов, отличается от того, кто регистрирует локальные компьютеры Azure с помощью Arc.

• Если вы регистрируете компьютеры в качестве ресурсов Arc, убедитесь, что у вас есть следующие разрешения на группу ресурсов, в которой были подготовлены компьютеры:

  • Присоединение подключенной машины к Azure.
  • Администратор ресурсов Azure Connected Machine

  Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:

  1. Перейдите к подписке, используемой для локального развертывания Azure.
  2. Перейдите в группу ресурсов, в которой планируется зарегистрировать компьютеры.
  3. В левой области перейдите к контроль доступа (IAM).
  4. В правой панели перейдите к назначениям ролей. Убедитесь, что вам назначены роли Azure Connected Machine Onboarding и Azure Connected Machine Resource Administrator.

• Проверьте политики Azure. Убедитесь, что:

  • Политики Azure не блокируют установку расширений.
  • Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
  • Политики Azure не блокируют развертывание ресурсов в определенных расположениях.

Регистрация компьютеров с помощью Azure Arc

Внимание

Выполните эти действия от имени локального администратора на каждом локальном компьютере Azure, который вы планируете кластерировать.

1. Задайте параметры. Скрипт принимает следующие параметры:

   Параметры	Описание
   SubscriptionID	Идентификатор подписки, используемой для регистрации компьютеров в Azure Arc.
   TenantID	Идентификатор арендатора, используемый для регистрации компьютеров в Azure Arc. Перейдите к вашему идентификатору Microsoft Entra и скопируйте свойство идентификатора арендатора.
   ResourceGroup	Группа ресурсов, предварительно созданная для регистрации машин в Arc. Группа ресурсов создается, если она не существует.
   Region	Регион Azure, используемый для регистрации. См. поддерживаемые регионы , которые можно использовать.
   AccountID	Пользователь, который регистрирует и развертывает экземпляр.
   ProxyServer	Необязательный параметр. Адрес прокси-сервера при необходимости для исходящего подключения.
   DeviceCode	Код устройства, отображаемый в консоли https://microsoft.com/devicelogin и используется для входа на устройство.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Выходные данные

   Ниже приведен пример выходных данных параметров:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Подключитесь к учетной записи Azure и задайте подписку. Вам потребуется открыть браузер на клиенте, который вы используете для подключения к компьютеру и открыть эту страницу: https://microsoft.com/devicelogin и введите предоставленный код в выходных данных Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Выходные данные

   Ниже приведен пример выходных данных по настройке подписки и проверки подлинности:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                ----------- 
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Если вы обращаетесь к Интернету через прокси-сервер, необходимо передать -proxy параметр и указать прокси-сервер, как http://<Proxy server FQDN or IP address>:Port при запуске скрипта.

   Список поддерживаемых регионов Azure см. в разделе "Требования к Azure".

   Выходные данные

   Ниже приведен пример выходных данных успешной регистрации компьютеров:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. После успешного завершения скрипта на всех компьютерах убедитесь, что:

   1. Ваши машины зарегистрированы в Arc. Перейдите к порталу Azure и затем перейдите в группу ресурсов, связанную с регистрацией. Компьютеры отображаются в указанной группе ресурсов как ресурсы типа Machine — Azure Arc .

      

   2. На компьютерах установлены обязательные локальные расширения Azure. В группе ресурсов выберите зарегистрированный компьютер. Перейдите к расширениям. Обязательные расширения отображаются на правой панели.

      

Примечание.

После регистрации локального компьютера Azure Arc единственным способом отмены регистрации является установка операционной системы на компьютере.

Назначение необходимых разрешений для развертывания

В этом разделе описывается, как назначить разрешения Azure для развертывания из портала Azure.

1. В портал Azure перейдите в подписку, используемую для регистрации компьютеров. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

2. Перейдите на вкладки и назначьте следующие разрешения роли пользователю, который развертывает экземпляр:

   • Администратор Azure Stack HCI
   • Читатель

3. В портал Azure перейдите в группу ресурсов, используемую для регистрации компьютеров в подписке. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

4. Перейдите по вкладкам и назначьте следующие разрешения пользователю, который развертывает экземпляр.

   • Администратор доступа к данным в Key Vault: Это разрешение требуется для управления разрешениями на доступ к данным в хранилище ключей, используемом для развертывания.
   • Специалист по секретам Key Vault: Это разрешение необходимо для чтения и записи секретов в хранилище ключей, используемом для развертывания.
   • Сотрудник хранилища ключей: Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
   • Вкладчик учетной записи хранения: Эти права доступа необходимы для создания учетной записи хранения, используемой для развертывания.

5. В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.

6. В портале Azure перейдите к ролям и администраторам Microsoft Entra и назначьте разрешение роли администратора облачных приложений на уровне арендатора Microsoft Entra.

   

   Примечание.

   Разрешение администратора облачных приложений временно необходимо для создания субъекта-службы. После развертывания это разрешение можно удалить.

Следующие шаги

После установки первой машины в вашем экземпляре вы готовы развернуть через портал Azure.

• Развертывание с помощью портал Azure.