Регистрация компьютеров и назначение разрешений для локального развертывания Azure версии 23H2

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как зарегистрировать локальные компьютеры Azure, а затем настроить необходимые разрешения для развертывания локальной версии Azure версии 23H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы выполнили следующие предварительные требования:

• Выполните необходимые условия и полный контрольный список развертывания.

• Подготовьте среду Active Directory.

• Установите операционную систему Azure Stack HCI версии 23H2 на каждом компьютере.

• Зарегистрируйте подписку с помощью необходимых поставщиков ресурсов (RPS). Для регистрации можно использовать портал Azure или Azure PowerShell. Чтобы зарегистрировать следующие RPS ресурсов, необходимо быть владельцем или участником подписки:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Примечание.

  Предполагается, что пользователь, регистрирующий подписку Azure, с поставщиками ресурсов, отличается от того, кто регистрирует локальные компьютеры Azure с помощью Arc.

• Если вы регистрируете компьютеры в качестве ресурсов Arc, убедитесь, что у вас есть следующие разрешения на группу ресурсов, в которой были подготовлены компьютеры:

  • Подключение Azure Connected Machine
  • Администратор ресурсов Azure Connected Machine

  Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:

  1. Перейдите к подписке, используемой для локального развертывания Azure.
  2. Перейдите в группу ресурсов, в которой планируется зарегистрировать компьютеры.
  3. В левой области перейдите к контроль доступа (IAM).
  4. В правой области перейдите к назначениям ролей. Убедитесь, что у вас назначены роли "Подключенный компьютер Azure" и "Администратор подключенных компьютеров Azure".

• Проверьте политики Azure. Убедитесь, что:

  • Политики Azure не блокируют установку расширений.
  • Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
  • Политики Azure не блокируют развертывание ресурсов в определенных расположениях.

Регистрация компьютеров с помощью Azure Arc

Внимание

Выполните эти действия на каждом локальном компьютере Azure, который планируется кластерировать.

1. Задайте параметры. Скрипт принимает следующие параметры:

   Параметры	Description
   SubscriptionID	Идентификатор подписки, используемой для регистрации компьютеров в Azure Arc.
   TenantID	Идентификатор клиента, используемый для регистрации компьютеров в Azure Arc. Перейдите к идентификатору Microsoft Entra и скопируйте свойство идентификатора клиента.
   ResourceGroup	Предварительно созданная группа ресурсов для регистрации компьютеров Arc. Группа ресурсов создается, если она не существует.
   Region	Регион Azure, используемый для регистрации. См. поддерживаемые регионы , которые можно использовать.
   AccountID	Пользователь, который регистрирует и развертывает экземпляр.
   ProxyServer	Необязательный параметр. Адрес прокси-сервера при необходимости для исходящего подключения.
   DeviceCode	Код устройства, отображаемый в консоли https://microsoft.com/devicelogin и используется для входа на устройство.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Выходные данные

   Ниже приведен пример выходных данных параметров:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Подключитесь к учетной записи Azure и задайте подписку. Вам потребуется открыть браузер на клиенте, который вы используете для подключения к компьютеру и открыть эту страницу: https://microsoft.com/devicelogin и введите предоставленный код в выходных данных Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Выходные данные

   Ниже приведен пример выходных данных по настройке подписки и проверки подлинности:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Если вы обращаетесь к Интернету через прокси-сервер, необходимо передать -proxy параметр и указать прокси-сервер, как http://<Proxy server FQDN or IP address>:Port при запуске скрипта.

   Список поддерживаемых регионов Azure см. в разделе "Требования к Azure".

   Выходные данные

   Ниже приведен пример выходных данных успешной регистрации компьютеров:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. После успешного завершения скрипта на всех компьютерах убедитесь, что:

   1. Компьютеры зарегистрированы в Arc. Перейдите к портал Azure, а затем перейдите в группу ресурсов, связанную с регистрацией. Компьютеры отображаются в указанной группе ресурсов как ресурсы типа Machine — Azure Arc .

      

   2. На компьютерах установлены обязательные локальные расширения Azure. В группе ресурсов выберите зарегистрированный компьютер. Перейдите к расширениям. Обязательные расширения отображаются на правой панели.

      

Назначение необходимых разрешений для развертывания

В этом разделе описывается назначение разрешений Azure для развертывания из портал Azure.

1. В портал Azure перейдите в подписку, используемую для регистрации компьютеров. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

2. Перейдите на вкладки и назначьте следующие разрешения роли пользователю, который развертывает экземпляр:

   • Администратор Azure Stack HCI
   • Читатель

3. В портал Azure перейдите в группу ресурсов, используемую для регистрации компьютеров в подписке. В области слева выберите Управление доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".

   

4. Перейдите на вкладки и назначьте пользователю, который развертывает экземпляр, и назначьте следующие разрешения:

   • Администратор доступа к данным Key Vault. Это разрешение необходимо для управления разрешениями плоскости данных в хранилище ключей, используемом для развертывания.
   • Сотрудник по секретам Key Vault. Это разрешение требуется для чтения и записи секретов в хранилище ключей, используемом для развертывания.
   • Участник Key Vault. Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
   • Участник учетной записи хранения. Это разрешение необходимо для создания учетной записи хранения, используемой для развертывания.

5. В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.

6. В портал Azure перейдите к ролям и администраторам Microsoft Entra и назначьте разрешение роли администратора облачных приложений на уровне клиента Microsoft Entra.

   

   Примечание.

   Разрешение администратора облачных приложений временно необходимо для создания субъекта-службы. После развертывания это разрешение можно удалить.

Следующие шаги

После настройки первого компьютера в экземпляре можно развернуть с помощью портал Azure:

• Развертывание с помощью портал Azure.