Управление регистрацией кластера Azure Stack HCI

Область применения: Azure Stack HCI версии 22H2

Внимание

Azure Stack HCI теперь является частью Azure Local. Однако старые версии Azure Stack HCI, например 22H2, будут продолжать ссылаться на Azure Stack HCI и не отражают изменение имени. Подробнее.

В зависимости от конфигурации и требований кластера может потребоваться выполнить дополнительные действия после регистрации кластера в Azure. В этой статье описывается управление регистрацией кластера с помощью Windows Admin Center, PowerShell или портал Azure. Он также предоставляет ответы на часто задаваемые вопросы о регистрации кластера.

При регистрации кластера в Azure создается ресурс Azure Resource Manager для представления локального кластера Azure Stack HCI. Начиная с Azure Stack HCI версии 21H2, регистрация кластера автоматически создает Azure Arc ресурса сервера для каждого сервера в кластере Azure Stack HCI. Эта интеграция Azure Arc расширяет плоскость управления Azure до Azure Stack HCI. Интеграция Azure Arc позволяет периодически синхронизировать информацию между ресурсом Azure и локальными кластерами.

Просмотр регистрации и состояния серверов с поддержкой Arc

Windows Admin Center

При подключении к кластеру с помощью Windows Admin Center отображается панель мониторинга, которая отображает состояние регистрации Azure Stack HCI и состояния серверов с поддержкой Arc.

• Для Azure Stack HCI статус Подключено означает, что кластер уже зарегистрирован в Azure и был успешно синхронизирован с облаком в течение последнего дня.

• Для серверов с поддержкой Arc "Подключено" означает, что все физические серверы имеют поддержку Arc и могут управляться из портала Azure.

  

Дополнительные сведения можно получить, выбрав Azure Arc в меню "Сервис " слева.

Примечание.

Панель мониторинга Azure Arc в настоящее время доступна в общедоступной предварительной версии.

На странице Обзор показана высокоуровневая информация о состоянии регистрации Azure Stack HCI и серверах с поддержкой Arc. Вы можете щелкнуть любую плитку, чтобы перейти на отдельные страницы.

На странице регистрации Azure Stack HCI можно просмотреть состояние системы и сервера Azure Stack HCI. Эта информация включает состояние подключения Azure и последнюю синхронизацию Azure. Вы можете найти полезные ссылки к документации по устранению неполадок и расширениям кластера. При необходимости можно отменить регистрацию .

Если кластер зарегистрирован в Azure, но физические серверы еще не поддерживают Arc, вы можете сделать это на странице серверов с поддержкой Arc. Если физические серверы включены в Arc, вы можете просмотреть состояние и идентификатор версии Azure Arc для каждого сервера. Также можно найти полезные ссылки на сведения об устранении неполадок.

PowerShell

Get-AzureStackHCI Используйте командлет PowerShell для просмотра состояния регистрации, состояния кластера и свойств состояния подключения.

Например, после установки операционной системы Azure Stack HCI, но до создания или присоединения к кластеру, свойство ClusterStatus отображает состояние NotYet:

После создания кластера только RegistrationStatus отображает состояние NotYet.

Вы должны зарегистрировать кластер Azure Stack HCI в течение 30 дней после установки, как определено в условиях azure Online Services. Если вы не создаете или не присоединяетесь к кластеру в течение 30 дней, ClusterStatus показывает OutOfPolicy. Если вы не зарегистрируете кластер в течение 30 дней, RegistrationStatus покажет OutOfPolicy.

После регистрации кластера можно просмотреть ConnectionStatus и время LastConnected. Время LastConnected обычно находится в пределах последнего дня, если кластер временно подключён к интернету. Кластер Azure Stack HCI может работать полностью в автономном режиме до 30 дней подряд.

Если превышен максимальный период работы в автономном режиме, ConnectionStatus показывает OutOfPolicy.

Примечание.

Конфигурация встроенного ПО BIOS\UEFI должна совпадать с оборудованием каждого узла кластера HCI. Все узлы с разными конфигурациями BIOS по сравнению с большинством могут отображать ConnectionStatus как OutOfPolicy.

Портал Azure

Чтобы просмотреть состояние кластера и ресурсов Arc, перейдите к группе ресурсов, используемой во время регистрации в портал Azure:

Включение интеграции Azure Arc

Начиная с Azure Stack HCI версии 21H2 кластеры автоматически включены при регистрации. Интеграция Azure Arc недоступна в Azure Stack HCI версии 20H2.

Интеграцию Azure Arc необходимо включить вручную в следующих сценариях:

• Вы обновили серверы кластера, работающие на Azure Stack HCI версии 20H2 (которые ранее не были вручную подключены к Arc), до версии 21H2.
• Если вы ранее активировали свои кластеры с поддержкой Arc версии 20H2, и после обновления до 21H2 поддержка Arc по-прежнему не активируется, ознакомьтесь с инструкциями по устранению неполадок.
• Вы отключили включение Arc ранее, и теперь вы планируете включить кластер Azure Stack HCI 21H2 или более поздней версии.

Выполните следующие действия, чтобы включить интеграцию Azure Arc:

1. Установите последнюю версию Az.Resources модуля на компьютере управления:

   Install-Module -Name Az.Resources
   

2. Установите последнюю версию Az.StackHCI модуля на компьютере управления:

   Install-Module -Name Az.StackHCI
   

3. Повторно запустите Register-AzStackHCI командлет и укажите идентификатор подписки Azure, который должен быть таким же идентификатором, с которым был первоначально зарегистрирован кластер. Параметр -ComputerName может быть именем любого сервера в кластере. Этот шаг позволяет интегрировать Azure Arc на каждом сервере в кластере. Это не влияет на текущую регистрацию кластера в Azure, и вам не нужно сначала отменить регистрацию кластера:

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
   

   Внимание

   Если кластер был первоначально зарегистрирован с помощью -Region, -ResourceName или -ResourceGroupName, которые отличаются от параметров по умолчанию, необходимо указать здесь те же параметры и значения. При выполнении Get-AzureStackHCI отображаются эти значения.

Сведения о сбоях при включении Arc см. в руководстве по устранению неполадок.

Обновление агента Arc на серверах кластера

Начиная с Azure Stack HCI версии 21H2, чтобы автоматически обновлять агент Arc, когда доступна новая версия, убедитесь, что серверы кластера настроены с помощью Microsoft Update. Дополнительные сведения см. в разделе "Конфигурация Центра обновления Майкрософт".

Выполните следующие действия, чтобы обновить агент Arc на серверах кластера:

1. В средстве настройки сервера (SConfig) выберите параметр установки обновлений (вариант 6):

   

2. Выберите параметр все обновления качества (вариант 1).

3. Вы можете специально обновить агент Arc или установить все доступные обновления:

   

4. Чтобы проверить версию агента Arc, выполните azcmagent version из PowerShell на каждом узле.

Отмена регистрации Azure Stack HCI

Вы можете отменить регистрацию Azure Stack HCI с помощью Windows Admin Center или PowerShell.

Процесс отмены регистрации автоматически очищает ресурс Azure, представляющий кластер, группу ресурсов Azure (если группа была создана во время регистрации и не содержит других ресурсов), а также удостоверение приложения Microsoft Entra. Эта очистка останавливает все функции мониторинга, поддержки и выставления счетов с помощью Azure Arc.

Windows Admin Center

Выполните следующие действия, чтобы отменить регистрацию кластера Azure Stack HCI с помощью Центра администрирования Windows:

1. Подключитесь к кластеру с помощью Windows Admin Center.

2. Выберите Azure Arc в меню слева.

3. Выберите регистрацию Azure Stack HCI, нажмите кнопку "Отменить регистрацию " и снова нажмите кнопку "Отменить регистрацию ".

Примечание.

Если шлюз Windows Admin Center зарегистрирован в другом идентификаторе клиента Microsoft Entra, который использовался для первоначальной регистрации кластера, могут возникнуть проблемы при попытке отменить регистрацию кластера с помощью Центра администрирования Windows. В этом случае можно использовать инструкции PowerShell в следующем разделе.

PowerShell

Вы можете использовать командлет Unregister-AzStackHCI для аннулирования регистрации кластера Azure Stack HCI с помощью PowerShell.

Возможно, потребуется установить последнюю версию модуля Az.StackHCI . Если появится запрос, который говорит , что вы уверены, что хотите установить модули из PSGallery?, ответьте да (Y):

Install-Module -Name Az.StackHCI

Отменить регистрацию узла кластера

Используйте Unregister-AzStackHCI с параметрами subscriptionID и TenantID для отмены регистрации кластера непосредственно из узла кластера.

Unregister-AzStackHCI -SubscriptionId "<subscription ID GUID>" -TenantID "<tenant_id>"

Отмена регистрации с компьютера управления

Используйте командлет Unregister-AzStackHCI с параметрами subscriptionID, TenantID и ComputerName для отмены регистрации кластера на управляющем компьютере.

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "<subscription_ID>" -TenantId "<tenant_id>"

Если на компьютере управления есть графический интерфейс, вы получите запрос на вход, в котором вы предоставляете учетные данные для доступа к узлу кластера. Если на компьютере управления отсутствует графический интерфейс, используйте параметр -credentials <credentials to log in to cluster nodes> в командлете Unregister-AzStackHCI.

Внимание

Если вы отмените регистрацию кластера Azure Stack HCI в Китае, выполните командлет Unregister-AzStackHCI с этими дополнительными параметрами:

-EnvironmentName AzureChinaCloud -Region "ChinaEast2"

Если вы отменяете регистрацию в Azure для государственных организаций, используйте следующие дополнительные параметры:

-EnvironmentName AzureUSGovernment -Region "USGovVirginia"

Если указать -SubscriptionId параметр, убедитесь, что он правильный. Рекомендуется разрешить скрипту отмены регистрации автоматически определять подписку.

Портал Azure

Используйте Windows Admin Center или PowerShell для отмены регистрации кластера.

Очистка после неправильной регистрации кластера

Если пользователь уничтожает кластер Azure Stack HCI без его регистрации, например путем повторного создания образов серверов узлов или удаления узлов виртуального кластера, артефакты остаются в Azure. Эти артефакты безвредны и не приведут к выставлению счетов или использованию ресурсов, но могут загромождать портал Azure. Чтобы очистить их, их можно удалить вручную.

Чтобы удалить ресурс Azure Stack HCI, перейдите к ресурсу в портал Azure и выберите "Удалить" на панели действий. Сведения о ресурсе Get-AzureStackHCI можно получить, используя командлет.

Azure Stack HCI создает два приложения Microsoft Entra в рамках регистрации: resourceName и resourceName.arc. Чтобы удалить эти приложения, перейдите к идентификатору Microsoft Entra ID>регистрации приложений>все приложения. Выберите Удалить и подтвердите действие.

Вы также можете удалить ресурс Azure Stack HCI с помощью PowerShell:

Remove-AzResource -ResourceId "<resource_name>"

Возможно, потребуется установить Az.Resources модуль:

Install-Module -Name Az.Resources

Если группа ресурсов была создана во время регистрации и не содержит других ресурсов, ее также можно удалить:

Remove-AzResourceGroup -Name "<resourceGroupName>"

Устранение неполадок

Сведения о распространенных ошибках и шагах по устранению рисков см. в статье "Устранение неполадок регистрации Azure Stack HCI".

Вопросы и ответы

Найдите ответы на некоторые часто задаваемые вопросы:

Как использовать более ограниченную роль с пользовательскими разрешениями?

Если некоторые из операций, описанных ниже, уже выполняются вне основного потока пользователем с ролью участника и администратора доступа, вы можете дополнительно уменьшить разрешения, необходимые для регистрации Azure Stack HCI, как описано в разделе Назначение разрешений Azure с помощью PowerShell.

1. Зарегистрируйте необходимых поставщиков ресурсов. Войдите в подписку, используемую для регистрации кластера. В разделе Настройки > Поставщики ресурсов выберите следующих поставщиков, а затем нажмите "Зарегистрировать".

   • Microsoft.AzureStackHCI
   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity

2. Создайте группы ресурсов. Убедитесь, что группы ресурсов, в которые проектируются ресурсы Azure Stack HCI, предварительно создаются привилегированным пользователем. Дополнительные сведения см. в разделе предварительных требований.

   После настройки этих двух предварительных требований создайте пользовательскую роль и используйте ее для регистрации, как показано здесь. Сначала создайте JSON-файл с именем customHCIRole.json со следующим содержимым. Обязательно измените <subscriptionID> на идентификатор вашей подписки Azure. Чтобы получить идентификатор подписки, перейдите к портал Azure, перейдите к подпискам, а затем скопируйте и вставьте идентификатор из списка:

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/read"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
         "/subscriptions/<subscriptionId>"
      ]
   }
   

3. Создайте настраиваемую роль:

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

4. Назначьте пользовательскую роль пользователю:

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

   Теперь вы можете зарегистрировать кластер с помощью Register-AzStackHCI.

   Если необходимо отменить регистрацию этого кластера, добавьте разрешение Microsoft.Resources/subscriptions/resourceGroups/delete в JSON-файл при создании настраиваемой роли.

Как зарегистрировать кластер с помощью ArmAccessToken/SPN?

Перед регистрацией убедитесь, что выполнены предварительные требования.

Примечание.

Эти учетные данные службы используются для начальной настройки Azure Stack HCI. Azure Stack HCI по-прежнему создает отдельные учетные данные служебного принципала имени (SPN) для подключения к Arc. Чтобы использовать настраиваемое SPN для подключения Arc, см. раздел Как зарегистрировать кластер с помощью SPN для подключения Arc?.

1. Выполните команду Connect-AzAccount, чтобы подключиться к Azure. Чтобы использовать SPN (имя объекта службы) для подключения, можно использовать следующее:

   • Проверка подлинности на основе кода устройства. Используйте -DeviceCode в командлете.
   • Проверка подлинности на основе сертификатов. См. эту статью, чтобы настроить SPN для аутентификации на основе сертификатов. Затем используйте соответствующие параметры в командлете Connect-AzAccount, принимающие сведения о сертификате. The SPN, которое вы используете, должно иметь все необходимые разрешения для подписок , как указано здесь.

2. Назначьте $token = Get-AzAccessToken.

3. Используйте Register-AzStackHCI с параметрами TenantId, SubscriptionId, ArmAccessToken и AccountId, следующим образом:

   Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
   

Как зарегистрировать кластер с помощью SPN для подключения к Arc?

Ниже приведены рекомендации для пользователя, выполняющего командлет регистрации, который не может получить назначенное разрешение на запись Microsoft.Authorization/roleAssignments/write . В таких случаях они могут использовать предварительно созданный СПН с назначенными ролями подключения Arc (Azure Подключение машины и Администратор ресурсов Azure Подключенной машины), и указать учетные данные командлету регистрации с помощью этого параметра -ArcSpnCredential.

Примечание.

Azure Stack HCI не обновляет учетные данные объекта службы, созданного таким образом. Когда срок действия учетных данных субъекта-службы приближается к истечению, необходимо восстановить учетные данные и запустить процесс "восстановление регистрации", чтобы обновить учетные данные субъекта-службы в кластере.

Примечание.

Используйте модуль PowerShell версии 1.4.1 или более ранней, чтобы использовать учетные данные служебного принципала для подключения Arc, если вы не можете назначить разрешение Microsoft.Authorization/roleAssignments/write на назначение роли регистрации.

Перед регистрацией убедитесь, что выполнены предварительные требования и предварительные проверки. Пользователь, регистрирующий кластер, имеет роль "участник", назначенную для подписки, которая используется для регистрации кластера, или имеет следующий список разрешений, если назначена пользовательская роль:

• Microsoft.Resources/subscriptions/resourceGroups/read
• Microsoft.Resources/subscriptions/resourceGroups/write
• "Microsoft.AzureStackHCI/register/action",
• "Microsoft.AzureStackHCI/Unregister/Action",
• "Microsoft.AzureStackHCI/clusters/*",
• Microsoft.Authorization/roleAssignments/read
• "Microsoft.HybridCompute/register/action",
• "Microsoft.GuestConfiguration/register/action",
• "Microsoft.HybridConnectivity/register/action"

Для отмены регистрации убедитесь, что у вас также есть разрешение Microsoft.Resources/subscriptions/resourceGroups/delete .

Чтобы зарегистрировать кластер и включить поддержку Arc на серверах, выполните следующие команды PowerShell после обновления их данными о вашей среде. Для следующих команд требуется Az.Resources (минимальная версия 5.6.0) и Az.Accounts (минимальная версия 2.7.6). С помощью get-installedModule <module name> командлета можно проверить установленную версию модуля PowerShell.

#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process

#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"

#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId  $app.AppId -Role "Reader" 

#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"

#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null

# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force  

# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null

# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred

Поддерживается ли перемещение ресурсов для ресурсов Azure Stack HCI?

Мы не поддерживаем перемещение ресурсов для любых ресурсов Azure Stack HCI. Чтобы изменить расположение ресурсов, сначала необходимо отменить регистрацию кластера, а затем повторно зарегистрировать его в новом расположении, передав соответствующие параметры в командлете Register-AzStackHCI .

Какие командлеты для регистрации и Arc наиболее часто используются?

• См. командлеты модуля Az.StackHCI PowerShell в документации по HCI PowerShell.
• Get-AzureStackHCI: возвращает текущие сведения о подключении к узлу и политике для Azure Stack HCI.
• Get-AzureStackHCIArcIntegration: возвращает состояние интеграции узла Arc.
• Sync-AzureStackHCI:
  • Выполняет синхронизацию выставления счетов, лицензирования и переписи с Azure.
  • Система выполняет этот командлет автоматически каждые 12 часов.
  • Этот командлет следует использовать только в том случае, если подключение к Интернету кластера недоступно в течение длительного периода.
  • Не запускайте этот командлет сразу после перезагрузки сервера; пусть происходит автоматическая синхронизация. В противном случае это может привести к плохому состоянию.

Следующие шаги

• Управление кластером с помощью Windows Admin Center в Azure
• Управлять кластерами с помощью PowerShell.