将 Azure Stack HCI 注册到 Azure

项目
02/26/2024

适用于：Azure Stack HCI 版本 22H2 和 21H2

部署 Azure Stack HCI 操作系统并创建一个群集后，必须将该群集注册到 Azure。

本文介绍如何通过 Windows Admin Center 或 PowerShell 将 Azure Stack HCI 注册到 Azure。有关如何管理群集注册的信息，请参阅管理群集注册。

关于 Azure Stack HCI 注册

Azure Stack HCI 作为 Azure 服务提供。根据 Azure 联机服务条款，必须在安装后的 30 天内注册群集。在注册生效之前，群集不会获得完整的支持。如果未在部署时将群集注册到 Azure，或者群集已注册但未连接到 Azure 的时间超过 30 天，系统将不允许创建或添加新的虚拟机 (VM)。有关详细信息，请参阅尝试创建 VM 时作业失败。

注册后，将创建一个 Azure 资源管理器资源来表示本地 Azure Stack HCI 群集。从 Azure Stack HCI 版本 21H2 开始，注册群集会自动为 Azure Stack HCI 群集中的每个服务器创建服务器资源的 Azure Arc。此 Azure Arc 集成将 Azure 管理平面扩展到了 Azure Stack HCI。通过 Azure Arc 集成，可以在 Azure 资源与本地群集之间定期同步信息。

先决条件

在开始注册群集之前，请确保满足以下先决条件：

Azure Stack HCI 系统已部署并处于联机状态。 确保系统已部署，并且所有服务器都处于联机状态。
网络连接。 Azure Stack HCI 需要定期连接到 Azure 公有云。有关如何准备防火墙和设置代理服务器的信息，请参阅 Azure Stack HCI 的防火墙要求和为 Azure Stack HCI 配置代理设置。
Azure 订阅和权限。 确保拥有 Azure 订阅并且知道应在哪个 Azure 区域创建群集资源。有关 Azure 订阅和支持的 Azure 区域的详细信息，请参阅 Azure 要求。
管理计算机。 确保你能够访问一台可访问 Internet 的管理计算机。该管理计算机必须已加入你在其中创建了 Azure Stack HCI 群集的 Active Directory 域。
Windows Admin Center。 如果使用 Windows Admin Center 来注册群集，请确保：
- 在管理计算机上安装 Windows Admin Center，并将 Windows Admin Center 注册到 Azure。对于注册，请使用你打算用于群集注册的同一个 Microsoft Entra ID（租户）ID。若要获取 Azure 订阅 ID，请访问 Azure 门户，导航到“订阅”，然后从列表中复制粘贴你的 ID。若要获取你的租户 ID，请访问 Azure 门户，导航到“Microsoft Entra ID”，然后复制/粘贴你的租户 ID。
- 若要在由世纪互联运营的 Microsoft Azure 中注册群集，请安装 Windows Admin Center 版本 2103.2 或更高版本。
Azure 策略。 确保没有任何有冲突的 Azure 策略会干扰群集注册。常见的有冲突策略可能包括：
- 资源组命名：Azure Stack HCI 注册提供两个配置参数来为资源组命名：-ResourceGroupName 和 -ArcServerResourceGroupName。有关资源组命名的详细信息，请参阅 Register-AzStackHCI。确保命名不会与现有策略冲突。
- 资源组标记：Azure Stack HCI 目前不支持在群集注册期间将标记添加到资源组。请确保策略考虑到了此行为。
- .msi 下载：在群集注册期间，Azure Stack HCI 会在群集节点上下载 Arc 代理。请确保不要限制这些下载。
- 凭据生存期：默认情况下，Azure Stack HCI 服务会请求 2 年的凭据生存期。请确保 Azure 策略没有任何配置冲突。
  
  注意
  
  如果你为 Arc-for-Server 资源使用单独的资源组，建议使用一个仅包含与 Azure Stack HCI 相关的 Arc-for-Server 资源的资源组。 Azure Stack HCI 资源提供程序有权管理 ArcServer 资源组中的任何其他 Arc-for-Server 资源。

为注册分配 Azure 权限

本部分介绍如何从 Azure 门户或使用 PowerShell 为注册分配 Azure 权限。

从 Azure 门户分配 Azure 权限

如果你的 Azure 订阅是通过 EA 或 CSP 进行的，请让你的 Azure 订阅管理员分配以下 Azure 订阅级别权限：

“用户访问管理员”角色：需要为 Azure Stack HCI 群集的每个服务器启用 Arc。
“参与者”角色：注册和注销 Azure Stack HCI 群集所必需的。

使用 PowerShell 分配 Azure 权限

某些管理员可能更倾向于使用更严格的选项。在这种情况下，可以专门为 Azure Stack HCI 注册创建一个自定义 Azure 角色。以下过程为自定义角色提供一组典型权限；若要设置限制性更高的权限，请参阅如何使用限制性更高的自定义权限角色？

使用以下内容创建名为 customHCIRole.json 的 json 文件。确保将 <subscriptionID> 更改为你的 Azure 订阅 ID。若要获取订阅 ID，请访问 Azure 门户，导航到“订阅”，然后从列表中复制粘贴你的 ID。

{
  "Name": "Azure Stack HCI registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/delete", 
    "Microsoft.AzureStackHCI/register/action",
    "Microsoft.AzureStackHCI/Unregister/Action",
    "Microsoft.AzureStackHCI/clusters/*",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.HybridCompute/register/action",
    "Microsoft.GuestConfiguration/register/action",
    "Microsoft.HybridConnectivity/register/action"
  ],
  "NotActions": [
  ],
"AssignableScopes": [
    "/subscriptions/<subscriptionId>"
  ]
}

创建自定义角色：

New-AzRoleDefinition -InputFile <path to customHCIRole.json>

向用户分配自定义角色：

$user = get-AzAdUser -DisplayName <userdisplayname>
$role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>

下表解释了为什么需要这些权限：

权限	原因
"Microsoft.Resources/subscriptions/resourceGroups/read"、 "Microsoft.Resources/subscriptions/resourceGroups/write"、 "Microsoft.Resources/subscriptions/resourceGroups/delete"、 "Microsoft.AzureStackHCI/register/action"、 "Microsoft.AzureStackHCI/Unregister/Action"、 "Microsoft.AzureStackHCI/clusters/*"、 "Microsoft.Authorization/roleAssignments/read"	注册和注销 Azure Stack HCI 群集。
"Microsoft.Authorization/roleAssignments/write", "Microsoft.HybridCompute/register/action", "Microsoft.GuestConfiguration/register/action", "Microsoft.HybridConnectivity/register/action"	为服务器资源注册和注销 Arc。

注册群集

可以使用 Windows Admin Center 或 PowerShell 注册 Azure Stack HCI 群集。

Windows 管理中心
PowerShell

按照以下步骤通过 Windows Admin Center 向 Azure 注册 Azure Stack HCI：

确保满足所有先决条件。
启动 Windows Admin Center 并登录到你的 Azure 帐户。转到“设置”>“帐户”，然后在“Azure 帐户”下选择“登录”。
在 Windows Admin Center 中，从顶部下拉箭头中选择“群集管理器”。
在“群集连接”下，选择要注册的群集。
在“仪表板”上的“Azure Arc”下，检查“Azure Stack HCI 注册”和“已启用 Arc 的服务器”的状态。
- “未配置”表示群集未注册。
- “已连接”表示群集已在 Azure 中注册并在过去一天内成功同步到云。跳过其余的注册步骤，并参阅管理群集来管理你的群集。
如果群集未注册，请在“Azure Stack HCI 注册”下选择“注册”以继续。

注意

如果之前未将 Windows Admin Center 注册到 Azure，系统现在会要求你注册。你会看到 Windows Admin Center 注册向导，而不是群集注册向导。
指定要向其注册群集的 Azure 订阅 ID。若要获取 Azure 订阅 ID，请访问 Azure 门户，导航到“订阅”，然后从列表中复制粘贴你的 ID。
在下拉菜单中选择 Azure 区域。
选择以下选项之一以选择 Azure Stack HCI 资源组：
- 选择“使用现有项”在现有资源组中为服务器资源创建 Azure Stack HCI 群集和 Arc。
- 选择“新建”来创建一个新的资源组。输入新资源组的名称。
选择“注册” 。需要几分钟才能完成注册。

按照以下步骤通过 PowerShell 将 Azure Stack HCI 注册到 Azure。如果无法从具有出站 Internet 访问的管理计算机运行命令，建议下载模块并将它们手动传输到可以运行 Register-AzStackHCI cmdlet 的群集节点。或者，你可以在断开连接的情况下安装模块。

确保满足所有先决条件。
在管理计算机上以管理员身份打开 PowerShell 会话，然后运行以下命令，以从 PowerShell 库下载并安装所需的注册模块：
```
Install-Module -Name Az.StackHCI
```
注意

如果看到一条提示，例如“是否希望 PowerShellGet 立即安装并导入 NuGet 提供程序?”，请按“是(Y)”。

如果看到另一条提示“是否确实要从‘PSGallery’安装模块?”，请按“是(Y)”。
结合 subscriptionID、TenantID 、ComputerName 和 Region 参数使用 Register-AzStackHCI cmdlet。以下示例通过连接到 HCI 群集的名为 server1 节点来注册该群集，然后为该群集的每个节点自动启用 Arc。

若要获取 Azure 订阅 ID，请访问 Azure 门户，导航到“订阅”，然后从列表中复制粘贴你的 ID。若要获取你的租户 ID，请访问 Azure 门户，导航到“Microsoft Entra ID”，然后复制/粘贴你的租户 ID：�
```
Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName server1 -Region <region> -TenantId "<tenant_id>"  
```
如果管理计算机具有 GUI，你将收到登录提示，可在其中提供凭据来访问群集节点。如果管理计算机没有 GUI，请在 Register-AzStackHCI cmdlet 中使用 -credentials <credentials to log in to cluster nodes> 参数。

此语法将群集（Server1 是其成员）注册为当前用户，并在默认情况下为节点自动启用 Arc。该命令还会将 HCI 群集资源作为 <on-prem cluster name> Azure 资源并将所有 Arc-for-Server 资源作为 <server name>，放置在包含默认云环境 (AzureCloud) 的指定区域、订阅和租户中的 <on-prem cluster name>-rg 资源组内。可为此 cmdlet 使用可选的 -ResourceGroupName 和 -ArcServerResourceGroupName 参数。

注意

如果你为 Arc-for-Server 资源使用单独的资源组，建议使用一个仅包含与 Azure Stack HCI 相关的 Arc-for-Server 资源的资源组。 Azure Stack HCI 资源提供程序有权管理 ArcForServer 资源组中的任何其他 Arc-for-Server 资源。

对于 PowerShell 模块版本 1.4.1 或更早版本，不能为 ARCServerResourceGroupName 参数使用预先创建的资源组。

注意

若要在由世纪互联运营的 Microsoft Azure 中注册 Azure Stack HCI 群集，请结合以下附加参数运行 Register-AzStackHCI cmdlet：-EnvironmentName "AzureChinaCloud" -Region "ChinaEast2"。
使用 Azure 进行身份验证。若要完成注册过程，需要使用 Azure 帐户进行身份验证（登录）。你的帐户必须有权访问在步骤 3 中指定的 Azure 订阅。如果管理节点具有用户界面，则会显示登录屏幕，以便继续注册。如果管理节点没有 UI，请按照控制台上的指导遵循基于设备代码的登录工作流进行操作。注册工作流将检测到你的登录并继续完成注册。然后，你应该能够在 Azure 门户中看到你的群集。

其他注册选项

还可以使用其他选项来注册群集：

管理群集注册

将群集注册到 Azure 后，可以通过 Windows Admin Center、PowerShell 或 Azure 门户管理其注册。

根据你的群集配置和要求，可能需要执行以下操作来管理群集注册：

查看注册状态和已启用 Arc 的服务器
启用 Azure Arc 集成
升级群集服务器上的 Arc 代理
取消注册群集
查看常见问题解答

有关如何管理群集注册的信息，请参阅管理群集注册。

后续步骤

若要执行与本文相关的下一个管理任务，请参阅：

验证 Azure Stack HCI 群集