Assegnare le autorizzazioni necessarie per la distribuzione locale di Azure

Si applica a: distribuzioni iperconvergenti di Azure Local 2311.2 e versioni successive

Questo articolo descrive come configurare le autorizzazioni necessarie per la sottoscrizione per distribuire Azure Local.

Prerequisites

Prerequisiti del computer locale di Azure

• Completare i prerequisiti e l'elenco di controllo della distribuzione per il proprio ambiente.
• Preparare l'ambiente Active Directory .
• Scaricare il software e installare il sistema operativo Azure Stack HCI versione 23H2 in ogni computer.

Prerequisiti di Azure

• Registrare i necessari fornitori di risorse. Assicurarsi che la sottoscrizione di Azure sia registrata nei provider di risorse necessari. Per eseguire la registrazione, è necessario essere un proprietario o un collaboratore nella sottoscrizione. È anche possibile chiedere a un amministratore di registrarsi.

  Eseguire i comandi di PowerShell seguenti per la registrazione:

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"
  

  Note

  • Si presuppone che la persona che registra la sottoscrizione di Azure con i provider di risorse sia una persona diversa da quella che registra i computer locali di Azure con Arc.
  • Microsoft.Insights il provider di risorse è necessario per il monitoraggio e la registrazione. Se questo RP non è registrato, l'account di diagnostica e la registrazione di controllo di Key Vault falliscono durante la convalida.

• Creare un gruppo di risorse. Seguire la procedura per creare un gruppo di risorse in cui registrare i computer. Prendere nota del nome del gruppo di risorse e dell'ID sottoscrizione associato.

• Ottieni l'ID tenant. Seguire la procedura descritta in Ottenere l'ID tenant del tenant di Microsoft Entra tramite il portale di Azure:

  1. Nel portale di Azure, vai a Microsoft Entra ID>Proprietà.

  2. Scorrere verso il basso fino alla sezione ID tenant e copiare il valore id tenant da usare in un secondo momento.

• Verificare le autorizzazioni. Quando si registrano i computer come risorse Arc, assicurarsi di essere il proprietario del gruppo di risorse o di disporre delle autorizzazioni seguenti per il gruppo di risorse in cui viene effettuato il provisioning dei computer:

  • Azure Connected Machine Onboarding.
  • Azure Connected Machine Resource Administrator.

  Per verificare di avere questi ruoli, seguire questa procedura nella portale di Azure:

  1. Passare alla sottoscrizione usata per la distribuzione locale di Azure.

  2. Passare al gruppo di risorse in cui si prevede di registrare il computer.

  3. Nel riquadro sinistro passare a Controllo di accesso (IAM).

  4. Nel riquadro destro passare a Assegnazioni di ruolo. Verifica che i ruoli Azure Connected Machine Onboarding e Azure Connected Machine Resource Administrator siano stati assegnati.

• Controlla i criteri di Azure. Assicurati che:

  • I criteri di Azure non bloccano l'installazione delle estensioni.
  • I criteri di Azure non bloccano la creazione di determinati tipi di risorse in un gruppo di risorse.
  • I criteri di Azure non bloccano la distribuzione delle risorse in determinate posizioni.

Assegnare le autorizzazioni di Azure per la distribuzione

Seguire questa procedura per assegnare le autorizzazioni di Azure per la distribuzione dal portale di Azure.

1. Nel portale di Azure passare alla sottoscrizione usata per registrare i computer. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.

   

2. Passare attraverso le schede e assegnare le autorizzazioni di ruolo seguenti all'utente che distribuisce l'istanza:

   • Amministratore di Azure Stack HCI
   • Reader

3. Nel portale di Azure, passare al gruppo di risorse utilizzato per registrare le macchine della tua sottoscrizione. Nel riquadro sinistro selezionare Controllo di accesso (IAM). Nel riquadro destro selezionare + Aggiungi e nell'elenco a discesa selezionare Aggiungi assegnazione di ruolo.

   

4. Passare attraverso le schede e assegnare le autorizzazioni seguenti all'utente che distribuisce l'istanza:

   • Amministratore accesso ai dati di Key Vault: questa autorizzazione è necessaria per gestire le autorizzazioni del livello dati per il Key Vault utilizzato per la distribuzione.
   • Key Vault Secrets Officer: questa autorizzazione è necessaria per leggere e scrivere i segreti nell'archivio di credenziali delle chiavi utilizzato per la distribuzione.
   • Contributore Key Vault: Questa autorizzazione è necessaria per creare l'insieme di credenziali chiavi utilizzato per la distribuzione.
   • Contributore dell'Account di Archiviazione: questo permesso è richiesto per creare l'account di archiviazione usato per la distribuzione.

5. Nel riquadro destro passare a Assegnazioni di ruolo. Verificare che l'utente della distribuzione disponga di tutti i ruoli configurati.

Passaggi successivi

Dopo aver configurato le autorizzazioni di sottoscrizione, è possibile registrare i computer locali di Azure con Azure Arc.

• Eseguire la registrazione con il gateway Azure Arc.
• Eseguire la registrazione con Azure Arc.