註冊您的計算機並指派 Azure 本機版本 23H2 部署的許可權
適用於:Azure 本機版本 23H2
本文說明如何註冊 Azure 本機計算機,然後設定部署 Azure Local 版本 23H2 的必要許可權。
必要條件
開始之前,請確定您已完成下列必要條件:
準備您的 Active Directory 環境。
向必要的資源提供者註冊您的訂用帳戶(RPs)。 您可以使用 Azure 入口網站 或 Azure PowerShell 來註冊。 您必須是訂用帳戶的擁有者或參與者,才能註冊下列資源 IP:
- Microsoft.HybridCompute
- Microsoft.GuestConfiguration
- Microsoft.HybridConnectivity
- Microsoft.AzureStackHCI
注意
假設向資源提供者註冊 Azure 訂用帳戶的人員與向 Arc 註冊 Azure 本機機器的人員不同。
如果您要將機器註冊為 Arc 資源,請確定您在布建機器的資源群組上具有下列許可權:
- Azure Connected Machine 上線
- Azure Connected Machine 資源管理員
若要確認您有這些角色,請遵循 Azure 入口網站 中的下列步驟:
- 移至您用於 Azure 本機部署的訂用帳戶。
- 移至您打算註冊機器的資源群組。
- 在左窗格中,移至 存取控制 (IAM)。
- 在右窗格中,移至 [ 角色指派]。 確認您已 指派 Azure Connected Machine Onboarding 和 Azure Connected Machine Resource Administrator 角色。
檢查您的 Azure 原則。 請確定:
- Azure 原則不會封鎖擴充功能安裝。
- Azure 原則不會封鎖在資源群組中建立特定資源類型。
- Azure 原則不會封鎖特定位置的資源部署。
向 Azure Arc 註冊機器
重要
在您想要叢集的每個 Azure 本機電腦上執行這些步驟。
設定參數。 文稿會採用下列參數:
參數 描述 SubscriptionID用來向 Azure Arc 註冊機器的訂用帳戶標識碼。 TenantID用來向 Azure Arc 註冊機器的租用戶標識碼。移至您的Microsoft Entra ID,並複製租用戶標識碼屬性。 ResourceGroup針對機器的 Arc 註冊預先建立的資源群組。 如果資源群組不存在,就會建立資源群組。 Region用於註冊的 Azure 區域。 請參閱可使用的支持區域。 AccountID註冊及部署 實例的使用者。 ProxyServer選擇性的 參數。 輸出連線所需的 Proxy 伺服器位址。 DeviceCode在主控台 https://microsoft.com/devicelogin中顯示的裝置程式代碼,用來登入裝置。#Define the subscription where you want to register your machine as Arc device $Subscription = "YourSubscriptionID" #Define the resource group where you want to register your machine as Arc device $RG = "YourResourceGroupName" #Define the region to use to register your server as Arc device #Do not use spaces or capital letters when defining region $Region = "eastus" #Define the tenant you will use to register your machine as Arc device $Tenant = "YourTenantID" #Define the proxy address if your Azure Local deployment accesses the internet via proxy $ProxyServer = "http://proxyaddress:port"聯機到您的 Azure 帳戶並設定訂用帳戶。 您必須在用來連線到計算機的用戶端上開啟瀏覽器,並開啟此頁面:
https://microsoft.com/devicelogin並在 Azure CLI 輸出中輸入所提供的程式代碼進行驗證。 取得註冊的存取令牌和帳戶標識碼。#Connect to your Azure account and Subscription Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode #Get the Access Token for the registration $ARMtoken = (Get-AzAccessToken).Token #Get the Account ID for the registration $id = (Get-AzContext).Account.Id最後執行 Arc 註冊腳本。 指令碼需要幾分鐘的執行時間。
#Invoke the registration script. Use a supported region. Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer如果您要透過 Proxy 伺服器存取因特網,您必須傳遞
-proxy參數,並在執行腳本時提供http://<Proxy server FQDN or IP address>:PortProxy 伺服器。如需支援的 Azure 區域清單,請參閱 Azure 需求。
文稿在所有電腦上成功完成之後,請確認:
您的電腦會向Arc註冊。移至 Azure 入口網站,然後移至與註冊相關聯的資源群組。 機器會顯示在指定的資源群組中,做為 Machine - Azure Arc 類型資源。
強制的 Azure 本機擴充功能會安裝在您的機器上。 從資源群組中,選取已註冊的計算機。 移至 [ 擴充功能]。 強制延伸模組會顯示在右窗格中。
指派部署的必要許可權
本節說明如何從 Azure 入口網站 指派 Azure 許可權以進行部署。
在 Azure 入口網站 中,移至用來註冊計算機的訂用帳戶。 從左側窗格中,選取 [存取控制 (IAM)]。 在右窗格中,選取 [+ 新增 ],然後從下拉式清單中選取 [ 新增角色指派]。
瀏覽索引標籤,並將下列角色許可權指派給部署實例的使用者:
- Azure Stack HCI 系統管理員
- 讀取者
在 Azure 入口網站 中,移至用來在您的訂用帳戶上註冊機器的資源群組。 從左側窗格中,選取 [存取控制 (IAM)]。 在右窗格中,選取 [+ 新增 ],然後從下拉式清單中選取 [ 新增角色指派]。
瀏覽索引標籤,並將下列許可權指派給部署實例的使用者:
- 金鑰保存庫 資料存取管理員:管理用於部署之金鑰保存庫的數據平面許可權需要此許可權。
- 金鑰保存庫 秘密官員:在用於部署的密鑰保存庫中讀取和寫入秘密需要此許可權。
- 金鑰保存庫 參與者:建立用於部署的密鑰保存庫需要此許可權。
- 記憶體帳戶參與者:建立用於部署的記憶體帳戶需要此許可權。
在右窗格中,移至 [ 角色指派]。 確認部署使用者具有所有已設定的角色。
在 Azure 入口網站 中,移至 Microsoft Entra 角色和系統管理員,並在 Microsoft Entra 租使用者層級指派雲端應用程式管理員角色許可權。
注意
暫時需要雲端應用程式管理員許可權,才能建立服務主體。 部署之後,即可移除此許可權。
下一步
在實例中設定第一部機器之後,您就可以使用 Azure 入口網站 進行部署:
- 使用 Azure 入口網站 進行部署。