注册计算机并分配 Azure 本地部署的权限

适用于：Azure Local 2311.2 及更高版本

本文介绍如何注册 Azure 本地计算机，然后设置部署 Azure 本地所需的权限。

先决条件

在开始之前，请确保完成以下先决条件：

Azure 本地计算机先决条件

• 完成环境的前提条件并完成部署清单。
• 准备 Active Directory 环境。
• 下载软件，并在每台计算机上安装 Azure Stack HCI作系统版本 23H2 。

Azure 先决条件

• 注册所需的资源提供程序。 确保你的 Azure 订阅已在所需资源提供程序注册。 若要注册，你必须是订阅的所有者或参与者。 还可以要求管理员注册。

  运行以下 PowerShell 命令 进行注册：

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  

  注意

  假设向资源提供程序注册 Azure 订阅的人员与向 Arc 注册 Azure 本地计算机的人员不同。

• 创建资源组。 按照步骤创建要在其中注册计算机的 资源组 。 记下资源组名称和关联的订阅 ID。

• 获取租户 ID。 按照通过 Azure 门户获取 Microsoft Entra 租户的租户 ID 中的步骤操作：

  1. 在 Azure 门户中，转到 Microsoft Entra ID>属性。

  2. 向下滚动到“租户 ID”部分，复制 租户 ID 值以供以后使用。

• 验证权限。 将计算机注册为 Arc 资源时，请确保你是资源组所有者，或者对预配计算机的资源组具有以下权限：

  • Azure Connected Machine Onboarding。
  • Azure Connected Machine Resource Administrator。

  若要验证你是否拥有这些角色，请按照Azure 门户中的以下步骤操作：

  1. 转到用于 Azure Local 部署的订阅。

  2. 转到你计划在其中注册计算机的资源组。

  3. 在左窗格中，转到访问控制（IAM）。

  4. 在右窗格中，转到 “角色分配”。 验证是否已分配 Azure Connected Machine Onboarding 和 Azure Connected Machine Resource Administrator 角色。

• 检查 Azure 策略。 请确保：

  • Azure 策略不会阻止安装扩展。
  • Azure 策略不会阻止在资源组中创建某些资源类型。
  • Azure 策略不会阻止特定位置的资源部署。

向 Azure Arc 注册计算机

1. 设置参数。 该脚本采用以下参数：

   参数	说明
   SubscriptionID	用于向 Azure Arc 注册计算机的订阅的 ID。
   TenantID	用于在 Azure Arc 中注册计算机的租户 ID。转到 Microsoft Entra ID 并复制租户 ID 属性。
   ResourceGroup	为计算机的 Arc 注册预先创建的资源组。 如果资源组不存在，则会创建一个资源组。
   Region	用于注册的 Azure 区域。 请参阅可以使用的支持区域。
   AccountID	注册和部署实例的用户。
   ProxyServer	可选参数。 出站连接需要时提供的代理服务器地址。
   DeviceCode	控制台 https://microsoft.com/devicelogin 中显示的设备代码用于登录到设备。

   • PowerShell
   • 输出

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

2. 连接到 Azure 帐户并设置订阅。 在用于连接到计算机的客户端上打开浏览器并打开此页面： https://microsoft.com/devicelogin 并在 Azure CLI 输出中输入提供的代码进行身份验证。 获取注册的访问令牌和帐户 ID。

   • PowerShell
   • 输出

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

3. 最后运行 Arc 注册脚本。 此脚本需要花几分钟运行。

   • PowerShell
   • 输出

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   

   如果使用代理服务器访问 Internet，则需要添加 -Proxy 参数并在运行脚本时以格式 http://<Proxy server FQDN or IP address>:Port 提供代理服务器。

   有关受支持的 Azure 区域的列表，请参阅 Azure 要求。

4. 脚本在所有计算机上成功完成后，请验证：

   1. 计算机已向 Arc 注册。转到 Azure 门户，然后转到与注册关联的资源组。 计算机在指定的资源组中显示为 Machine - Azure Arc 类型资源。

      

分配部署所需的权限

本部分介绍如何从Azure 门户分配用于部署的 Azure 权限。

1. 在Azure 门户中，转到用于注册计算机的订阅。 在左窗格中，选择“访问控制(IAM)”。 在右窗格中，选择“+ 添加”，然后从下拉列表中选择“添加角色分配”。

   

2. 浏览选项卡并向部署实例的用户分配以下角色权限：

   • Azure Stack HCI 管理员
   • 读取者

3. 在Azure 门户中，转到用于在订阅中注册计算机的资源组。 在左窗格中，选择“访问控制(IAM)”。 在右窗格中，选择“+ 添加”，然后从下拉列表中选择“添加角色分配”。

   

4. 浏览选项卡并向部署实例的用户分配以下权限：

   • 密钥库数据访问管理员：管理用于部署的密钥保管库的数据平面权限需要此权限。
   • 密钥库机密官员：在用于部署的密钥保管库中读取和写入机密需要此权限。
   • 密钥库参与者：创建用于部署的密钥保管库需要此权限。
   • 存储帐户参与者：创建用于部署的存储帐户需要此权限。

5. 在右窗格中，转到 “角色分配”。 验证部署用户是否具有所有已配置的角色。

6. 在 Azure 门户中，转到 Microsoft Entra 角色和管理员 ，并在 Microsoft Entra 租户级别分配 云应用程序管理员 角色权限。

   

   注意

   暂时需要云应用程序管理员权限才能创建服务主体。 部署后，可以删除此权限。

后续步骤

在实例中设置第一台计算机后，可以使用Azure 门户进行部署：

• 使用Azure 门户进行部署。