Registrera dina datorer och tilldela behörigheter för Azure Local, version 23H2-distribution

Gäller för: Azure Local, version 23H2

I den här artikeln beskrivs hur du registrerar dina lokala Azure-datorer och sedan konfigurerar de behörigheter som krävs för att distribuera Azure Local version 23H2.

Förutsättningar

Kontrollera att du har slutfört följande krav innan du börjar:

• Uppfylla kraven och slutför distributionschecklistan.

• Förbered Din Active Directory-miljö .

• Installera operativsystemet Azure Stack HCI version 23H2 på varje dator.

• Registrera din prenumeration med de nödvändiga resursprovidrar (RPs). Du kan använda antingen Azure Portal eller Azure PowerShell för att registrera dig. Du måste vara ägare eller deltagare i din prenumeration för att registrera följande resurs-RP:er:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Kommentar

  Antagandet är att den person som registrerar Azure-prenumerationen med resursprovidrar är en annan person än den som registrerar de lokala Azure-datorerna med Arc.

• Om du registrerar datorerna som Arc-resurser kontrollerar du att du har följande behörigheter för resursgruppen där datorerna etablerades:

  • Azure Connected Machine Onboarding
  • Azure Connected Machine resursadministratör

  Kontrollera att du har dessa roller genom att följa dessa steg i Azure Portal:

  1. Gå till den prenumeration som du använder för den lokala Azure-distributionen.
  2. Gå till den resursgrupp där du planerar att registrera datorerna.
  3. I det vänstra fönstret går du till Åtkomstkontroll (IAM).
  4. I den högra rutan går du till Rolltilldelningar. Kontrollera att rollerna Azure Connected Machine Onboarding och Azure Connected Machine Resource Administrator har tilldelats.

• Kontrollera dina Azure-principer. Se till att:

  • Azure-principerna blockerar inte installationen av tillägg.
  • Azure-principerna blockerar inte skapandet av vissa resurstyper i en resursgrupp.
  • Azure-principerna blockerar inte resursdistributionen på vissa platser.

Registrera datorer med Azure Arc

Viktigt!

Kör de här stegen på varje lokal Azure-dator som du tänker klustra.

1. Ange parametrarna. Skriptet använder följande parametrar:

   Parametrar	beskrivning
   SubscriptionID	ID:t för prenumerationen som används för att registrera dina datorer med Azure Arc.
   TenantID	Klientorganisations-ID:t som användes för att registrera dina datorer med Azure Arc. Gå till ditt Microsoft Entra-ID och kopiera egenskapen klient-ID.
   ResourceGroup	Resursgruppen som har skapats för Arc-registrering av datorerna. En resursgrupp skapas om den inte finns.
   Region	Den Azure-region som används för registrering. Se de regioner som stöds som kan användas.
   AccountID	Den användare som registrerar och distribuerar instansen.
   ProxyServer	Valfri parameter. Proxyserveradress när det krävs för utgående anslutning.
   DeviceCode	Enhetskoden som visas i konsolen på https://microsoft.com/devicelogin och används för att logga in på enheten.

   PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Output

   Här är ett exempel på parametrarnas utdata:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Anslut till ditt Azure-konto och ange prenumerationen. Du måste öppna webbläsaren på klienten som du använder för att ansluta till datorn och öppna den här sidan: https://microsoft.com/devicelogin och ange den angivna koden i Azure CLI-utdata för att autentisera. Hämta åtkomsttoken och konto-ID:t för registreringen.

   PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Output

   Här är ett exempel på utdata om hur du ställer in prenumerationen och autentiseringen:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Kör slutligen Arc-registreringsskriptet. Det tar några minuter att köra skriptet.

   PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Om du använder Internet via en proxyserver måste du skicka parametern -proxy och ange proxyservern som http://<Proxy server FQDN or IP address>:Port när du kör skriptet.

   En lista över Azure-regioner som stöds finns i Azure-krav.

   Output

   Här är ett exempel på utdata från en lyckad registrering av dina datorer:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. När skriptet har slutförts på alla datorer kontrollerar du att:

   1. Dina datorer är registrerade med Arc. Gå till Azure Portal och gå sedan till resursgruppen som är associerad med registreringen. Datorerna visas i den angivna resursgruppen som Machine – Azure Arc-typresurser .

      

   2. De obligatoriska lokala Azure-tilläggen är installerade på dina datorer. Välj den registrerade datorn i resursgruppen. Gå till Tilläggen. De obligatoriska tilläggen visas i den högra rutan.

      

Tilldela nödvändiga behörigheter för distribution

I det här avsnittet beskrivs hur du tilldelar Azure-behörigheter för distribution från Azure Portal.

1. I Azure Portal går du till den prenumeration som används för att registrera datorerna. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.

   

2. Gå igenom flikarna och tilldela följande rollbehörigheter till den användare som distribuerar instansen:

   • Azure Stack HCI-administratör
   • Läsare

3. I Azure Portal går du till resursgruppen som används för att registrera datorerna i din prenumeration. Välj Åtkomstkontroll (IAM) i den vänstra rutan. I den högra rutan väljer du + Lägg till och i listrutan väljer du Lägg till rolltilldelning.

   

4. Gå igenom flikarna och tilldela följande behörigheter till den användare som distribuerar instansen:

   • Key Vault-dataåtkomstadministratör: Den här behörigheten krävs för att hantera dataplansbehörigheter till nyckelvalvet som används för distribution.
   • Key Vault Secrets Officer: Den här behörigheten krävs för att läsa och skriva hemligheter i nyckelvalvet som används för distribution.
   • Key Vault-deltagare: Den här behörigheten krävs för att skapa nyckelvalvet som används för distribution.
   • Lagringskontodeltagare: Den här behörigheten krävs för att skapa det lagringskonto som används för distribution.

5. I den högra rutan går du till Rolltilldelningar. Kontrollera att distributionsanvändaren har alla konfigurerade roller.

6. I Azure Portal gå till Microsoft Entra-roller och administratörer och tilldela rollen Molnprogramadministratör på klientnivå för Microsoft Entra.

   

   Kommentar

   Behörigheten Molnprogramadministratör krävs tillfälligt för att skapa tjänstens huvudnamn. Efter distributionen kan den här behörigheten tas bort.

Nästa steg

När du har konfigurerat den första datorn i din instans är du redo att distribuera med hjälp av Azure Portal:

• Distribuera med hjälp av Azure Portal.