将 Azure Stack HCI 注册到 Azure

适用于:Azure 本地版本 22H2

重要

Azure Stack HCI 现在是 Azure 本地的一部分。 产品文档重命名正在进行中。 但是,旧版 Azure Stack HCI(例如 22H2)将继续引用 Azure Stack HCI,不会反映名称更改。 了解详细信息

警告

本文中提供的部署说明适用于较旧版本 Azure Stack HCI 版本 22H2。 对于新部署,建议使用最新的正式发布版本 Azure Stack HCI 版本 23H2。 有关部署说明,请参阅 关于 Azure Stack HCI 版本 23H2 部署

部署 Azure Stack HCI 操作系统创建一个群集后,必须将该群集注册到 Azure。

本文介绍如何通过 Windows Admin Center 或 PowerShell 将 Azure Stack HCI 注册到 Azure。 有关如何管理群集注册的信息,请参阅管理群集注册

关于 Azure Stack HCI 注册

Azure Stack HCI 作为 Azure 服务提供。 根据 Azure 联机服务条款,必须在安装后的 30 天内注册群集。 在注册生效之前,群集不会获得完整的支持。 如果未在部署时将群集注册到 Azure,或者群集已注册但未连接到 Azure 的时间超过 30 天,系统将不允许创建或添加新的虚拟机 (VM)。 有关详细信息,请参阅尝试创建 VM 时作业失败

注册后,将创建一个 Azure 资源管理器资源来表示本地 Azure Stack HCI 群集。 从 Azure Stack HCI 版本 21H2 开始,注册群集会自动为 Azure Stack HCI 群集中的每个服务器创建服务器资源的 Azure Arc。 此 Azure Arc 集成将 Azure 管理平面扩展到了 Azure Stack HCI。 通过 Azure Arc 集成,可以在 Azure 资源与本地群集之间定期同步信息。

先决条件

在开始注册群集之前,请确保满足以下先决条件:

  • Azure Stack HCI 系统已部署并处于联机状态。 确保系统已部署,并且所有服务器都处于联机状态。

  • 网络连接。 Azure Stack HCI 需要定期连接到 Azure 公有云。 有关如何准备防火墙和设置代理服务器的信息,请参阅 Azure Stack HCI 的防火墙要求为 Azure Stack HCI 配置代理设置

  • Azure 订阅和权限。 确保拥有 Azure 订阅并且知道应在哪个 Azure 区域创建群集资源。 有关 Azure 订阅和支持的 Azure 区域的详细信息,请参阅 Azure 要求

  • 管理计算机。 确保你能够访问一台可访问 Internet 的管理计算机。 该管理计算机必须已加入你在其中创建了 Azure Stack HCI 群集的 Active Directory 域。

  • Windows Admin Center。 如果使用 Windows Admin Center 来注册群集,请确保:

    • 在管理计算机上安装 Windows Admin Center,并将 Windows Admin Center 注册到 Azure。 对于注册,请使用你打算用于群集注册的同一个 Microsoft Entra ID(租户)ID。 若要获取 Azure 订阅 ID,请访问 Azure 门户,导航到“订阅”,然后从列表中复制粘贴你的 ID。 若要获取你的租户 ID,请访问 Azure 门户,导航到“Microsoft Entra ID”,然后复制/粘贴你的租户 ID

    • 若要在 Azure 中国区域注册群集,请安装 Windows Admin Center 版本 2103.2 或更高版本。

  • Azure 策略。 确保没有任何有冲突的 Azure 策略会干扰群集注册。 常见的有冲突策略可能包括:

    • 资源组命名:Azure Stack HCI 注册提供两个配置参数来为资源组命名:-ResourceGroupName-ArcServerResourceGroupName。 有关资源组命名的详细信息,请参阅 Register-AzStackHCI。 确保命名不会与现有策略冲突。

    • 资源组标记:Azure Stack HCI 目前不支持在群集注册期间将标记添加到资源组。 请确保策略考虑到了此行为。

    • .msi 下载:在群集注册期间,Azure Stack HCI 会在群集节点上下载 Arc 代理。 请确保不要限制这些下载。

    • 凭据生存期:默认情况下,Azure Stack HCI 服务会请求 2 年的凭据生存期。 请确保 Azure 策略没有任何配置冲突。

      注意

      如果你为 Arc-for-Server 资源使用单独的资源组,建议使用一个仅包含与 Azure Stack HCI 相关的 Arc-for-Server 资源的资源组。 Azure Stack HCI 资源提供程序有权管理 ArcServer 资源组中的任何其他 Arc-for-Server 资源。

为注册分配 Azure 权限

本部分介绍如何从 Azure 门户或使用 PowerShell 为注册分配 Azure 权限。

从 Azure 门户分配 Azure 权限

如果你的 Azure 订阅是通过 EA 或 CSP 进行的,请让你的 Azure 订阅管理员分配以下 Azure 订阅级别权限:

  • “用户访问管理员”角色:需要为 Azure Stack HCI 群集的每个服务器启用 Arc。

  • “参与者”角色:注册和注销 Azure Stack HCI 群集所必需的。

    “分配权限”屏幕的屏幕截图。

使用 PowerShell 分配 Azure 权限

某些管理员可能更倾向于使用更严格的选项。 在这种情况下,可以专门为 Azure Stack HCI 注册创建一个自定义 Azure 角色。 以下过程为自定义角色提供一组典型权限;若要设置限制性更高的权限,请参阅如何使用限制性更高的自定义权限角色?

  1. 使用以下内容创建名为 customHCIRole.json 的 json 文件。 确保将 <subscriptionID> 更改为你的 Azure 订阅 ID。 若要获取订阅 ID,请访问 Azure 门户,导航到“订阅”,然后从列表中复制粘贴你的 ID。

    {
      "Name": "Azure Stack HCI registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/delete", 
        "Microsoft.AzureStackHCI/register/action",
        "Microsoft.AzureStackHCI/Unregister/Action",
        "Microsoft.AzureStackHCI/clusters/*",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.HybridCompute/register/action",
        "Microsoft.GuestConfiguration/register/action",
        "Microsoft.HybridConnectivity/register/action"
      ],
      "NotActions": [
      ],
    "AssignableScopes": [
        "/subscriptions/<subscriptionId>"
      ]
    }
    
  2. 创建自定义角色:

    New-AzRoleDefinition -InputFile <path to customHCIRole.json>
    
  3. 向用户分配自定义角色:

    $user = get-AzAdUser -DisplayName <userdisplayname>
    $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
    New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
    

下表解释了为什么需要这些权限:

权限 原因
"Microsoft.Resources/subscriptions/resourceGroups/read"、
"Microsoft.Resources/subscriptions/resourceGroups/write"、
"Microsoft.Resources/subscriptions/resourceGroups/delete"、
"Microsoft.AzureStackHCI/register/action"、
"Microsoft.AzureStackHCI/Unregister/Action"、
"Microsoft.AzureStackHCI/clusters/*"、
"Microsoft.Authorization/roleAssignments/read"
注册和注销 Azure Stack HCI 群集。
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.HybridCompute/register/action",
"Microsoft.GuestConfiguration/register/action",
"Microsoft.HybridConnectivity/register/action"
为服务器资源注册和注销 Arc。

注册群集

可以使用 Windows Admin Center 或 PowerShell 注册 Azure Stack HCI 群集。

按照以下步骤通过 Windows Admin Center 向 Azure 注册 Azure Stack HCI:

  1. 确保满足所有先决条件

  2. 启动 Windows Admin Center 并登录到你的 Azure 帐户。 转到“设置”>“帐户”,然后在“Azure 帐户”下选择“登录”。

  3. 在 Windows Admin Center 中,从顶部下拉箭头中选择“群集管理器”。

  4. 在“群集连接”下,选择要注册的群集。

  5. 在“仪表板”上的“Azure Arc”下,检查“Azure Stack HCI 注册”和“已启用 Arc 的服务器”的状态。

    • “未配置”表示群集未注册。
    • “已连接”表示群集已在 Azure 中注册并在过去一天内成功同步到云。 跳过其余的注册步骤,并参阅管理群集来管理你的群集。
  6. 如果群集未注册,请在“Azure Stack HCI 注册”下选择“注册”以继续。

    注意

    如果之前未将 Windows Admin Center 注册到 Azure,系统现在会要求你注册。 你会看到 Windows Admin Center 注册向导,而不是群集注册向导。

  7. 指定要向其注册群集的 Azure 订阅 ID。 若要获取 Azure 订阅 ID,请访问 Azure 门户,导航到“订阅”,然后从列表中复制粘贴你的 ID。

  8. 在下拉菜单中选择 Azure 区域。

  9. 选择以下选项之一以选择 Azure Stack HCI 资源组:

    • 选择“使用现有项”在现有资源组中为服务器资源创建 Azure Stack HCI 群集和 Arc。

    • 选择“新建”来创建一个新的资源组。 输入新资源组的名称。

      群集注册向导的屏幕截图。

  10. 选择“注册”。 需要几分钟才能完成注册。

其他注册选项

还可以使用其他选项来注册群集:

管理群集注册

将群集注册到 Azure 后,可以通过 Windows Admin Center、PowerShell 或 Azure 门户管理其注册。

根据你的群集配置和要求,可能需要执行以下操作来管理群集注册:

  • 查看注册状态和已启用 Arc 的服务器
  • 启用 Azure Arc 集成
  • 升级群集服务器上的 Arc 代理
  • 取消注册群集
  • 查看常见问题解答

有关如何管理群集注册的信息,请参阅管理群集注册

后续步骤

若要执行与本文相关的下一个管理任务,请参阅: