Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описывается, как настроить необходимые разрешения для подписки для развертывания локальной службы Azure.
Prerequisites
Предварительные требования для локального компьютера Azure
- Выполните предварительные требования и полный контрольный список развертывания для вашей среды.
- Подготовка среды Active Directory .
- Скачайте программное обеспечение и установите операционную систему Azure Stack HCI версии 23H2 на каждом компьютере.
Предварительные требования Azure
Зарегистрируйте обязательных поставщиков ресурсов. Убедитесь, что подписка Azure зарегистрирована для необходимых поставщиков ресурсов. Чтобы зарегистрировать, вы должны быть владельцем или участником подписки. Вы также можете попросить администратора зарегистрировать.
Выполните следующие команды PowerShell , чтобы зарегистрировать:
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService" Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation" Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage" Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"Note
- Предполагается, что пользователь, регистрирующий подписку Azure, с поставщиками ресурсов, отличается от того, кто регистрирует локальные компьютеры Azure с помощью Arc.
-
Microsoft.Insightsпоставщик ресурсов необходим для мониторинга и ведения журнала. Если этот RP не зарегистрирован, во время валидации учетная запись диагностики и ведение журнала аудита Key Vault происходит сбой.
Создайте группу ресурсов. Выполните действия по созданию группы ресурсов , в которой необходимо зарегистрировать компьютеры. Запишите имя группы ресурсов и связанный идентификатор подписки.
Получите идентификатор клиента. Выполните действия, описанные в разделе "Получение идентификатора клиента Microsoft Entra" на портале Azure.
На портале Azure перейдите к свойствам идентификатора> Microsoft Entra.
Прокрутите вниз до раздела "Идентификатор клиента" и скопируйте значение идентификатора клиента для последующего использования.
Проверьте разрешения. При регистрации машин в качестве ресурсов Azure Arc убедитесь, что вы являетесь владельцем группы ресурсов или имеете следующие разрешения в группе ресурсов, где подготовлены машины:
-
Azure Connected Machine Onboarding. -
Azure Connected Machine Resource Administrator.
Чтобы убедиться, что у вас есть эти роли, выполните следующие действия в портал Azure:
Перейдите в подписку, используемую для локального развертывания Azure.
Перейдите в группу ресурсов, в которой планируется зарегистрировать компьютер.
В левой области перейдите к элементу управления доступом (IAM).
В правой области перейдите к назначениям ролей. Убедитесь, что у вас назначены роли
Azure Connected Machine OnboardingиAzure Connected Machine Resource Administrator.
-
Проверьте политики Azure. Убедитесь, что:
- Политики Azure не блокируют установку расширений.
- Политики Azure не блокируют создание определенных типов ресурсов в группе ресурсов.
- Политики Azure не блокируют развертывание ресурсов в определенных расположениях.
Назначение разрешений Azure для развертывания
Выполните следующие действия, чтобы назначить разрешения Azure для развертывания на портале Azure.
На портале Azure перейдите к подписке, используемой для регистрации компьютеров. В левой области выберите элемент управления доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите по вкладкам и назначьте следующие разрешения роли пользователю, который развертывает инстанцию:
- Администратор Azure Stack HCI
- Reader
В портал Azure перейдите в группу ресурсов, используемую для регистрации компьютеров в подписке. В левой области выберите элемент управления доступом (IAM). В правой области выберите +Добавить и в раскрывающемся списке выберите "Добавить назначение ролей".
Перейдите по вкладкам и назначьте следующие разрешения пользователю, который развертывает экземпляр.
- Администратор доступа к данным Key Vault: Это разрешение необходимо для управления разрешениями плоскости управления данными в хранилище ключей, используемом для развертывания.
- Ответственный за секреты Key Vault: Это разрешение требуется для чтения и записи секретов в Key Vault, используемом для развертывания.
- Соавтор Key Vault: Это разрешение необходимо для создания хранилища ключей, используемого для развертывания.
- Участник учетной записи хранилища: Это разрешение необходимо для создания учетной записи хранения, используемой для развертывания.
В правой области перейдите к назначениям ролей. Убедитесь, что у пользователя развертывания есть все настроенные роли.
Note
После выбора подписки и развертывания кластера единственным способом изменения подписки является повторное развертывание кластера.
Дальнейшие шаги
После настройки разрешений подписки вы можете зарегистрировать локальные компьютеры Azure в Azure Arc.