注册计算机并分配 Azure 本地版本 23H2 部署的权限

适用于:Azure 本地版本 23H2

本文介绍如何注册 Azure 本地计算机,然后设置部署 Azure 本地版本 23H2 所需的权限。

先决条件

在开始之前,请确保已完成以下先决条件:

  • 满足先决条件并完成部署清单

  • 准备 Active Directory 环境。

  • 在每台计算机上安装 Azure Stack HCI 操作系统版本 23H2

  • 将订阅注册到所需的资源提供程序(RP)。 可以使用Azure 门户Azure PowerShell 进行注册。 需要是订阅的所有者或参与者才能注册以下资源 IP:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
    • Microsoft.HybridConnectivity
    • Microsoft.AzureStackHCI

    注意

    假设向资源提供程序注册 Azure 订阅的人员与向 Arc 注册 Azure 本地计算机的人员不同。

  • 如果要将计算机注册为 Arc 资源,请确保对预配计算机的资源组具有以下权限:

    • Azure Connected Machine 加入
    • Azure Connected Machine 资源管理员

    若要验证你是否拥有这些角色,请按照Azure 门户中的以下步骤操作:

    1. 转到用于 Azure 本地部署的订阅。
    2. 转到计划在其中注册计算机的资源组。
    3. 在左窗格中,转到访问控制(IAM)。
    4. 在右窗格中,转到 角色分配。 验证是否分配了 Azure Connected Machine OnboardingAzure Connected Machine Resource Administrator 角色。
  • 检查 Azure 策略。 请确保:

    • Azure 策略不会阻止安装扩展。
    • Azure 策略不会阻止在资源组中创建某些资源类型。
    • Azure 策略不会阻止特定位置的资源部署。

向 Azure Arc 注册计算机

重要

在要群集的每个 Azure 本地计算机上运行这些步骤。

  1. 设置参数。 该脚本采用以下参数:

    参数 说明
    SubscriptionID 用于将计算机注册到 Azure Arc 的订阅的 ID。
    TenantID 用于向 Azure Arc 注册计算机的租户 ID。转到Microsoft Entra ID 并复制租户 ID 属性。
    ResourceGroup 为计算机的 Arc 注册预先创建的资源组。 如果资源组不存在,则会创建一个资源组。
    Region 用于注册的 Azure 区域。 请参阅可以使用的支持区域
    AccountID 注册和部署实例的用户。
    ProxyServer 可选参数。 当出站连接需要时,代理服务器地址。
    DeviceCode 控制台 https://microsoft.com/devicelogin 中显示的设备代码用于登录到设备。
    #Define the subscription where you want to register your machine as Arc device
    $Subscription = "YourSubscriptionID"
    
    #Define the resource group where you want to register your machine as Arc device
    $RG = "YourResourceGroupName"
    
    #Define the region to use to register your server as Arc device
    #Do not use spaces or capital letters when defining region
    $Region = "eastus"
    
    #Define the tenant you will use to register your machine as Arc device
    $Tenant = "YourTenantID"
    
    #Define the proxy address if your Azure Local deployment accesses the internet via proxy
    $ProxyServer = "http://proxyaddress:port"
    
  2. 连接到 Azure 帐户并设置订阅。 需要在用于连接到计算机的客户端上打开浏览器并打开此页面: https://microsoft.com/devicelogin 并在 Azure CLI 输出中输入提供的代码进行身份验证。 获取注册的访问令牌和帐户 ID。

    #Connect to your Azure account and Subscription
    Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
    
    #Get the Access Token for the registration
    $ARMtoken = (Get-AzAccessToken).Token
    
    #Get the Account ID for the registration
    $id = (Get-AzContext).Account.Id   
    
  3. 最后运行 Arc 注册脚本。 此脚本需要花几分钟运行。

    #Invoke the registration script. Use a supported region.
    Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
    

    如果要通过代理服务器访问 Internet,则需要传递 -proxy 参数并提供代理服务器,就像运行脚本时一样 http://<Proxy server FQDN or IP address>:Port

    有关受支持的 Azure 区域的列表,请参阅 Azure 要求

  4. 脚本在所有计算机上成功完成后,请验证:

    1. 计算机注册到 Arc。转到Azure 门户,然后转到与注册关联的资源组。 计算机在指定的资源组中显示为 Machine - Azure Arc 类型资源。

      成功注册后资源组中 Azure 本地计算机的屏幕截图。

    2. 必须在计算机上安装必需的 Azure 本地扩展。 从资源组中选择已注册的计算机。 转到 “扩展”。 强制扩展显示在右窗格中。

      安装了强制扩展的 Azure 本地注册计算机的屏幕截图。

分配部署所需的权限

本部分介绍如何从Azure 门户分配用于部署的 Azure 权限。

  1. Azure 门户中,转到用于注册计算机的订阅。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加,然后从下拉列表中选择“添加角色分配”。

    Azure 本地部署订阅中访问控制中“添加角色分配”的屏幕截图。

  2. 浏览选项卡并向部署实例的用户分配以下角色权限:

    • Azure Stack HCI 管理员
    • 读者
  3. 在Azure 门户中,转到用于在订阅中注册计算机的资源组。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加,然后从下拉列表中选择“添加角色分配”。

    Azure 本地部署资源组中“在访问控制中添加角色分配”的屏幕截图。

  4. 浏览选项卡并向部署实例的用户分配以下权限:

    • 密钥库数据访问管理员:管理用于部署的密钥保管库的数据平面权限需要此权限。
    • 密钥库机密官员:在用于部署的密钥保管库中读取和写入机密需要此权限。
    • 密钥库参与者:创建用于部署的密钥保管库需要此权限。
    • 存储帐户参与者:创建用于部署的存储帐户需要此权限。
  5. 在右窗格中,转到 “角色分配”。 验证部署用户是否具有所有已配置的角色。

  6. 在Azure 门户转到Microsoft Entra 角色和管理员,并在 Microsoft Entra 租户级别分配云应用程序管理员角色权限。

    租户级别的云应用程序管理员权限的屏幕截图。

    注意

    暂时需要云应用程序管理员权限才能创建服务主体。 部署后,可以删除此权限。

后续步骤

在实例中设置第一台计算机后,可以使用Azure 门户进行部署: