适用于:Azure Local 2311.2 及更高版本
本文介绍如何设置订阅所需的权限以部署 Azure 本地。
Prerequisites
Azure 本地计算机先决条件
- 完成环境的前提条件并完成部署清单。
- 准备 Active Directory 环境。
- 下载软件,并在每台计算机上安装 Azure Stack HCI作系统版本 23H2 。
Azure 先决条件
注册所需的资源提供程序。 确保你的 Azure 订阅已在所需资源提供程序注册。 若要注册,你必须是订阅的所有者或参与者。 还可以要求管理员注册。
运行以下 PowerShell 命令 进行注册:
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService" Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation" Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage" Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"Note
- 假设向资源提供程序注册 Azure 订阅的人员与向 Arc 注册 Azure 本地计算机的人员不同。
- 需要用于监视和日志记录的
Microsoft.Insights资源提供程序才能。 如果未注册此 RP,则诊断帐户和 Key Vault 审核日志记录会在验证期间失败。
创建资源组。 按照步骤创建要在其中注册计算机的 资源组 。 记下资源组名称和关联的订阅 ID。
获取租户 ID。 按照通过 Azure 门户获取 Microsoft Entra 租户的租户 ID 中的步骤操作:
在 Azure 门户中,转到 Microsoft Entra ID>属性。
向下滚动到“租户 ID”部分,复制 租户 ID 值以供以后使用。
验证权限。 将计算机注册为 Arc 资源时,请确保你是资源组所有者,或者对预配计算机的资源组具有以下权限:
-
Azure Connected Machine Onboarding。 -
Azure Connected Machine Resource Administrator。
若要验证你是否拥有这些角色,请按照Azure 门户中的以下步骤操作:
转到用于 Azure Local 部署的订阅。
转到你计划在其中注册计算机的资源组。
在左窗格中,转到访问控制(IAM)。
在右窗格中,转到 “角色分配”。 验证是否已分配
Azure Connected Machine Onboarding和Azure Connected Machine Resource Administrator角色。
-
检查 Azure 策略。 请确保:
- Azure 策略不会阻止安装扩展。
- Azure 策略不会阻止在资源组中创建某些资源类型。
- Azure 策略不会阻止特定位置的资源部署。
分配用于部署的 Azure 权限
按照以下步骤从 Azure 门户分配用于部署的 Azure 权限。
在Azure 门户中,转到用于注册计算机的订阅。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加”,然后从下拉列表中选择“添加角色分配”。
浏览选项卡并向部署实例的用户分配以下角色权限:
- Azure Stack HCI 管理员
- Reader
在Azure 门户中,转到用于在订阅中注册计算机的资源组。 在左窗格中,选择“访问控制(IAM)”。 在右窗格中,选择“+ 添加”,然后从下拉列表中选择“添加角色分配”。
浏览选项卡并向部署实例的用户分配以下权限:
- 密钥库数据访问管理员:管理用于部署的密钥保管库的数据平面权限需要此权限。
- 密钥库机密官员:在用于部署的密钥保管库中读取和写入机密需要此权限。
- 密钥库参与者:创建用于部署的密钥保管库需要此权限。
- 存储帐户参与者:创建用于部署的存储帐户需要此权限。
在右窗格中,转到 “角色分配”。 验证部署用户是否具有所有已配置的角色。
Note
选择订阅并部署群集后,更改订阅的唯一方法是重新部署群集。
后续步骤
设置订阅权限后,可以将 Azure 本地计算机注册到 Azure Arc。