Регистрация компьютеров и назначение разрешений для локального развертывания Azure

2025-07-07

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как зарегистрировать локальные компьютеры Azure, а затем настроить необходимые разрешения для развертывания Локальной службы Azure.

Необходимые условия

Прежде чем начать, убедитесь, что выполнены следующие предварительные требования:

Предварительные требования для локального компьютера Azure

Выполните предварительные требования и полный контрольный список развертывания для вашей среды.
Подготовка среды Active Directory .
Скачайте программное обеспечение и установите операционную систему Azure Stack HCI версии 23H2 на каждом компьютере.

Предварительные требования Azure

Зарегистрируйте обязательных поставщиков ресурсов. Убедитесь, что подписка Azure зарегистрирована для необходимых поставщиков ресурсов. Чтобы зарегистрировать, вы должны быть владельцем или участником подписки. Вы также можете попросить администратора зарегистрировать.

Выполните следующие команды PowerShell , чтобы зарегистрировать:
```
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"
```
Примечание.
- Предполагается, что пользователь, регистрирующий подписку Azure, с поставщиками ресурсов, отличается от того, кто регистрирует локальные компьютеры Azure с помощью Arc.
- Microsoft.Insights поставщик ресурсов необходим для мониторинга и ведения журнала. Если этот RP не зарегистрирован, во время валидации учетная запись диагностики и ведение журнала аудита Key Vault происходит сбой.
Создайте группу ресурсов. Выполните действия по созданию группы ресурсов , в которой необходимо зарегистрировать компьютеры. Запишите имя группы ресурсов и связанный идентификатор подписки.
Получите идентификатор клиента. Выполните действия, описанные в разделе "Получение идентификатора клиента Microsoft Entra" на портале Azure.
1. На портале Azure перейдите к свойствам идентификатора> Microsoft Entra.
2. Прокрутите вниз до раздела "Идентификатор клиента" и скопируйте значение идентификатора клиента для последующего использования.
Проверка разрешений. При регистрации машин в качестве ресурсов Azure Arc убедитесь, что вы являетесь владельцем группы ресурсов или имеете следующие разрешения в группе ресурсов, где подготовлены машины:
- Azure Connected Machine Onboarding.
- Azure Connected Machine Resource Administrator.
Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:
1. Перейдите в подписку, используемую для локального развертывания Azure.
2. Перейдите в группу ресурсов, в которой планируется зарегистрировать компьютер.
3. В левой области перейдите к элементу управления доступом (IAM).
4. В правой области перейдите к назначениям ролей. Убедитесь, что у вас назначены роли Azure Connected Machine Onboarding и Azure Connected Machine Resource Administrator.
Проверьте политики Azure. Убедитесь, что:
- Политики Azure не блокируют установку расширений.
- Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
- Политики Azure не блокируют развертывание ресурсов в определенных расположениях.

Регистрация компьютеров с помощью Azure Arc

Внимание

Выполните эти действия от имени локального администратора на каждом локальном компьютере Azure, который вы планируете кластерировать.

Задайте параметры. Скрипт принимает следующие параметры:

Параметры	Описание
`SubscriptionID`	Идентификатор подписки, используемой для регистрации компьютеров в Azure Arc.
`TenantID`	Идентификатор арендатора, используемый для регистрации компьютеров в Azure Arc. Перейдите к вашему идентификатору Microsoft Entra и скопируйте свойство идентификатора арендатора.
`ResourceGroup`	Группа ресурсов, предварительно созданная для регистрации машин в Arc. Группа ресурсов создается, если она не существует.
`Region`	Регион Azure, используемый для регистрации. См. поддерживаемые регионы , которые можно использовать.
`AccountID`	Пользователь, который регистрирует и развертывает экземпляр.
`ProxyServer`	Необязательный параметр. Адрес прокси-сервера при необходимости для исходящего подключения.
`DeviceCode`	Код устройства, отображаемый в консоли `https://microsoft.com/devicelogin` и используется для входа на устройство.

PowerShell
Выпуск

#Define the subscription where you want to register your machine as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your machine as Arc device
$RG = "YourResourceGroupName"

#Define the region to use to register your server as Arc device
#Do not use spaces or capital letters when defining region
$Region = "eastus"

#Define the tenant you will use to register your machine as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your Azure Local deployment accesses the internet via proxy
$ProxyServer = "http://proxyaddress:port"

Ниже приведен пример выходных данных параметров:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Подключитесь к учетной записи Azure и задайте подписку. Откройте браузер на клиенте, который вы используете для подключения к компьютеру и откройте эту страницу: https://microsoft.com/devicelogin и введите предоставленный код в выходных данных Azure CLI для проверки подлинности. Получите маркер доступа и идентификатор учетной записи для регистрации.

PowerShell
Выпуск

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Ниже приведен пример выходных данных по настройке подписки и проверки подлинности:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                ----------- 
[email protected] AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Наконец, запустите скрипт регистрации Arc. Выполнение сценария занимает несколько минут.

PowerShell
Выпуск

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Если вы обращаетесь к Интернету с помощью прокси-сервера, необходимо добавить -Proxy параметр и предоставить прокси-сервер в формате http://<Proxy server FQDN or IP address>:Port при запуске скрипта.

Список поддерживаемых регионов Azure см. в разделе "Требования к Azure".

Ниже приведен пример выходных данных успешной регистрации компьютеров:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
Triggering bootstrap on the device...
Waiting for bootstrap to complete... Current Status: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete... Current Status: InProgress
Waiting for bootstrap to complete... Current Status: Succeeded
Bootstrap succeeded.

Triggering bootstrap log collection as a best effort.
Version Response                                                    
------- --------                                                    
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response


PS C:\Users\Administrator>

После успешного завершения скрипта на всех компьютерах убедитесь, что:
1. Ваши машины зарегистрированы в Arc. Перейдите к порталу Azure и затем перейдите в группу ресурсов, связанную с регистрацией. Компьютеры отображаются в указанной группе ресурсов как ресурсы типа Machine — Azure Arc .

Примечание.

После регистрации локального компьютера Azure Arc единственным способом отмены регистрации является установка операционной системы на компьютере.

Назначение необходимых разрешений для развертывания

В этом разделе описывается, как назначить разрешения Azure для развертывания из портала Azure.

На портале Azure перейдите к подписке, используемой для регистрации компьютеров. В левой области выберите элемент управления доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите по вкладкам и назначьте следующие разрешения роли пользователю, который развертывает инстанцию:
- Администратор Azure Stack HCI
- Читатель
В портал Azure перейдите в группу ресурсов, используемую для регистрации компьютеров в подписке. В левой области выберите элемент управления доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите по вкладкам и назначьте следующие разрешения пользователю, который развертывает экземпляр.
- Администратор доступа к данным Key Vault: Это разрешение необходимо для управления разрешениями плоскости управления данными в хранилище ключей, используемом для развертывания.
- Ответственный за секреты Key Vault: Это разрешение требуется для чтения и записи секретов в Key Vault, используемом для развертывания.
- Соавтор Key Vault: Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
- Участник учетной записи хранилища: Это разрешение необходимо для создания учетной записи хранения, используемой для развертывания.
В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.
На портале Azure перейдите к ролям и администраторам Microsoft Entra и назначьте разрешение роли администратора облачных приложений на уровне клиента Microsoft Entra.

Примечание.

Разрешение администратора облачных приложений временно необходимо для создания субъекта-службы. После развертывания это разрешение можно удалить.

Следующие шаги

После установки первой машины в вашем экземпляре вы готовы развернуть через портал Azure.

Развертывание с помощью портала Azure.