Gérer l’inscription de cluster Azure Stack HCI

S’applique à : Azure Stack HCI, version 22H2

Selon la configuration et les exigences de votre cluster, vous devrez peut-être effectuer des étapes supplémentaires après l’inscription de votre cluster auprès d’Azure. Cet article explique comment gérer l’inscription de votre cluster à l’aide de Windows Admin Center, PowerShell ou du Portail Azure. Il fournit également des réponses aux questions fréquemment posées sur l’inscription du cluster.

Lorsque vous inscrivez votre cluster auprès d’Azure, une ressource Azure Resource Manager est créée pour représenter le cluster Azure Stack HCI local. À compter d’Azure Stack HCI, version 21H2, l’inscription d’un cluster crée automatiquement un Arc Azure de la ressource de serveur pour chaque serveur du cluster Azure Stack HCI. Cette intégration Azure Arc étend le plan de gestion Azure à Azure Stack HCI. L’intégration d’Azure Arc permet la synchronisation périodique des informations entre la ressource Azure et les clusters locaux.

Afficher l’état de l’inscription et des serveurs avec Arc

Activer l’intégration d’Azure Arc

À compter d’Azure Stack HCI, version 21H2, les clusters sont automatiquement activés par Arc lors de l’inscription. L’intégration d’Azure Arc n’est pas disponible sur Azure Stack HCI, version 20H2.

Vous devez activer manuellement l’intégration d’Azure Arc dans les scénarios suivants :

• Vous avez mis à jour vos serveurs de cluster à partir d’Azure Stack HCI, version 20H2 (qui n’étaient précédemment pas activées manuellement par Arc) vers la version 21H2.
• Si vous avez précédemment rendu vos clusters 20H2 compatibles avec Arc et que l’activation d’Arc échoue toujours après la mise à niveau vers 21H2, consultez ces instructions pour résoudre le problème.
• Vous avez précédemment désactivé l’activation d’Arc, et vous avez maintenant l’intention de rendre votre cluster Azure Stack HCI 21H2 (ou version plus récente) compatible avec Arc.

Procédez comme suit pour activer l’intégration d’Azure Arc :

1. Installez la dernière version du module Az.Resources sur votre PC de gestion :

   Install-Module -Name Az.Resources
   

2. Installez la dernière version du module Az.StackHCI sur votre PC de gestion :

   Install-Module -Name Az.StackHCI
   

3. Réexécutez l’applet de commande Register-AzStackHCI et spécifiez votre ID d’abonnement Azure, qui doit être le même ID que celui avec lequel le cluster a été inscrit à l’origine. Le paramètre -ComputerName peut être le nom de n’importe quel serveur du cluster. Cette étape active l’intégration d’Azure Arc sur chaque serveur du cluster. Elle n’affecte pas l’inscription actuelle de votre cluster auprès d’Azure, et vous n’avez pas besoin d’annuler l’inscription du cluster au préalable :

   Register-AzStackHCI  -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -TenantId "<tenant_id>"
   

   Important

   Si le cluster a été inscrit à l’origine à l’aide d’un paramètre -Region, -ResourceName ou -ResourceGroupName différent des paramètres par défaut, vous devez spécifier ici ces mêmes paramètres et valeurs. Ces valeurs s’affichent lors de l’exécution de Get-AzureStackHCI.

Pour les échecs lors de l’activation d’Arc, consultez les instructions ci-dessous pour la résolution des problèmes.

Mettre à niveau l’agent Arc sur les serveurs de cluster

À compter d’Azure Stack HCI, version 21H2, pour mettre à jour automatiquement l’agent Arc lorsqu’une nouvelle version est disponible, assurez-vous que les serveurs de cluster sont configurés avec Microsoft Update. Pour plus d’informations, consultez la configuration de Microsoft Update.

Procédez comme suit pour mettre à niveau l’agent Arc sur les serveurs de cluster :

1. Dans l’outil de configuration de serveur (SConfig.exe), sélectionnez l’option d’installation des mises à jour (option 6) :

   

2. Sélectionnez l’option pour Toutes les mises à jour qualité (option 1).

3. Vous pouvez choisir de mettre à jour uniquement l’agent Arc ou d’installer toutes les mises à jour disponibles :

   

4. Dans PowerShell, exécutez azcmagent version sur chacun des nœuds pour vérifier la version de l’agent Arc.

Désinscrire Azure Stack HCI

Vous pouvez annuler l’inscription d’Azure Stack HCI à l’aide de Windows Admin Center ou de PowerShell.

Le processus de désinscription nettoie automatiquement la ressource Azure qui représente le cluster, le groupe de ressources Azure (si le groupe a été créé pendant l’inscription et ne contient aucune autre ressource) et l’identité de l’application Microsoft Entra. Ce nettoyage arrête l’analyse, le support et la fonction de facturation d’Azure Arc.

Install-Module -Name Az.StackHCI

Unregister-AzStackHCI -SubscriptionId "<subscription ID GUID>" -TenantID "<tenant_id>"

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "<subscription_ID>" -TenantId "<tenant_id>"

Effectuer un nettoyage après une désinscription incorrecte de cluster

Si un utilisateur détruit un cluster Azure Stack HCI sans le désinscrire, par exemple en recréant une image des serveurs hôtes ou en supprimant des nœuds de clusters virtuels, les artefacts seront conservés dans Azure. Ces artefacts ne seront pas facturés et n’utiliseront pas de ressources, cependant, ils peuvent encombrer le Portail Azure. Pour les nettoyer, vous pouvez les supprimer manuellement.

Pour supprimer la ressource Azure Stack HCI, accédez à la ressource dans le Portail Azure, puis sélectionnez Supprimer dans la barre d’actions. Vous pouvez obtenir les détails de la ressource en exécutant l’applet de Get-AzureStackHCI commande.

Azure Stack HCI crée deux applications Microsoft Entra dans le cadre de l’inscription : resourceName et resourceName.arc. Pour les supprimer, accédez à Microsoft Entra ID>>All Applications. Sélectionnez Supprimer, puis confirmez.

Vous pouvez également supprimer la ressource Azure Stack HCI à l’aide de PowerShell :

Remove-AzResource -ResourceId "<resource_name>"

Vous devrez peut-être installer le module Az.Resources :

Install-Module -Name Az.Resources

Si le groupe de ressources a été créé lors de l’inscription et ne contient pas d’autres ressources, vous pouvez également le supprimer :

Remove-AzResourceGroup -Name "<resourceGroupName>"

Dépannage

Pour plus d’informations sur les erreurs courantes et les étapes d’atténuation pour les résoudre, consultez Résoudre les problèmes d’inscription Azure Stack HCI.

FAQ

Trouvez des réponses à certaines questions fréquemment posées :

Comment utiliser un rôle d’autorisations personnalisées plus restreint ?

Vous pouvez réduire davantage les autorisations requises pour effectuer l’inscription Azure Stack HCI, comme décrit dans Affecter des autorisations Azure à l’aide de PowerShell, à condition que certaines des opérations décrites ci-dessous soient déjà effectuées hors bande par un utilisateur disposant de rôles d’administrateur de contributeur et d’accès utilisateur.

1. Inscrivez les fournisseurs de ressources requis. Connectez-vous à l’abonnement que vous allez utiliser pour inscrire le cluster. Sous Paramètres >, sélectionnez les fournisseurs de ressources suivants, puis inscrivez-vous :

   • Microsoft.AzureStackHCI
   • Microsoft.HybridCompute
   • Microsoft.GuestConfiguration
   • Microsoft.HybridConnectivity

2. Créez les groupes de ressources. Vérifiez que les groupes de ressources dans lesquels les ressources Azure Stack HCI seront projetées sont précréés par un utilisateur privilégié. Pour plus d’informations, consultez la section conditions préalables .

   Une fois ces deux conditions préalables configurées, créez un rôle personnalisé et utilisez-le pour l’inscription, comme décrit ci-dessous. Tout d’abord, créez un fichier JSON appelé customHCIRole.json avec le contenu suivant. Veillez à remplacer <subscriptionID> par votre ID d’abonnement Azure. Pour obtenir votre ID d’abonnement, accédez au Portail Azure, accédez à Abonnements, puis copiez/collez votre ID dans la liste :

   {
     "Name": "Azure Stack HCI registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Custom Azure role to allow subscription-level access to register Azure Stack HCI",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStackHCI/clusters/*",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/read"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
         "/subscriptions/<subscriptionId>"
      ]
   }
   

3. Créez le rôle personnalisé :

   New-AzRoleDefinition -InputFile <path to customHCIRole.json>
   

4. Affectez le rôle personnalisé à l’utilisateur :

   $user = get-AzAdUser -DisplayName <userdisplayname>
   $role = Get-AzRoleDefinition -Name "Azure Stack HCI registration role"
   New-AzRoleAssignment -ObjectId $user.Id -RoleDefinitionId $role.Id -Scope /subscriptions/<subscriptionid>
   

   Vous pouvez maintenant inscrire le cluster à l’aide de Register-AzStackHCI.

   Si vous devez annuler l’inscription de ce cluster, ajoutez l’autorisation Microsoft.Resources/subscriptions/resourceGroups/delete au fichier JSON lors de la création du rôle personnalisé.

Comment faire inscrire un cluster à l’aide d’ArmAccessToken/SPN ?

Avant l’inscription, vérifiez que les conditions préalables sont remplies .

1. Exécutez « Connect-AzAccount » pour vous connecter à Azure. Pour utiliser spN pour vous connecter, vous pouvez utiliser :

   • Authentification basée sur le code d’appareil. Utiliser -DeviceCode dans l’applet de commande.
   • Authentification basée sur un certificat. Consultez cet article pour configurer le SPN pour l’authentification basée sur des certificats. Utilisez ensuite les paramètres appropriés dans l’applet Connect-AzAccount de commande qui acceptent les informations de certificat. Le SPN que vous utilisez doit disposer de toutes les autorisations requises sur les abonnements , comme indiqué ici.

2. Assigner $token = Get-AzAccessToken.

3. Utilisez Register-AzStackHCI avec les AccountId

   Register-AzStackHCI -TenantId "<tenant_ID>" -SubscriptionId "<subscription_ID>" -ComputerName Server1 -Region <region> -ArmAccessToken $token.Token -AccountId $token.UserId
   

Comment faire inscrire un cluster à l’aide du SPN pour l’intégration d’Arc ?

Les instructions suivantes concernent l’utilisateur qui exécute la cmdlet d’inscription et ne peut pas obtenir l’autorisation Microsoft.Authorization/roleAssignments/write. Dans ce cas, il peut utiliser le SPN précréé avec les rôles d’intégration Arc (Intégration Azure Connected Machine et Administrateur de ressources Azure Connected Machine) attribués au SPN, et spécifier les informations d’identification à la cmdlet d’inscription à l’aide de l’option -ArcSpnCredential.

Avant l’inscription, vérifiez que les conditions préalables et les vérifications préalables sont remplies. L’utilisateur qui inscrit le cluster a le rôle « contributeur » attribué pour l’abonnement utilisé pour l’inscription du cluster, ou a la liste suivante d’autorisations si un rôle personnalisé est attribué :

• "Microsoft.Resources/subscriptions/resourceGroups/read",
• « Microsoft.Resources/subscriptions/resourceGroups/write »,
• « Microsoft.AzureStackHCI/register/action »
• « Microsoft.AzureStackHCI/Unregister/Action »
• « Microsoft.AzureStackHCI/clusters/* »
• « Microsoft.Authorization/roleAssignments/read »,
• « Microsoft.HybridCompute/register/action »
• « Microsoft.GuestConfiguration/register/action »
• « Microsoft.HybridConnectivity/register/action »

Pour annuler l’inscription, vérifiez que vous disposez également de l’autorisation Microsoft.Resources/subscriptions/resourceGroups/delete .

Pour inscrire le cluster et activer Arc pour les serveurs, exécutez les commandes PowerShell suivantes après les mettre à jour avec vos informations d’environnement. Les commandes suivantes nécessitent Az.Resources (version minimale 5.6.0) et Az.Accounts (version minimale 2.7.6). Vous pouvez utiliser l’applet de commande get-installedModule <module name> pour vérifier la version installée d’un module PowerShell.

#Connect to subscription
Connect-AzAccount -TenantId <tenant_id> -SubscriptionId <Subscription_ID> -Scope Process

#Create a new application registration
$app = New-AzADApplication -DisplayName "<unique_name>"

#Create a new SPN corresponding to the application registration
$sp = New-AzADServicePrincipal -ApplicationId  $app.AppId -Role "Reader" 

#Roles required on SPN for Arc onboarding
$AzureConnectedMachineOnboardingRole = "Azure Connected Machine Onboarding"
$AzureConnectedMachineResourceAdministratorRole = "Azure Connected Machine Resource Administrator"

#Assign roles to the created SPN
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineOnboardingRole | Out-Null
New-AzRoleAssignment -ObjectId $sp.Id -RoleDefinitionName $AzureConnectedMachineResourceAdministratorRole | Out-Null

# Set password validity time. SPN must be updated on the HCI cluster after this timeframe.
$pwdExpiryInYears = 300
$start = Get-Date
$end = $start.AddYears($pwdExpiryInYears)
$pw = New-AzADSpCredential -ObjectId $sp.Id -StartDate $start -EndDate $end
$password = ConvertTo-SecureString $pw.SecretText -AsPlainText -Force  

# Create SPN credentials object to be used in the register-azstackhci cmdlet
$spnCred = New-Object System.Management.Automation.PSCredential ($app.AppId, $password)
Disconnect-AzAccount -ErrorAction Ignore | Out-Null

# Use the SPN credentials created previously in the register-azstackhci cmdlet
Register-AzStackHCI -SubscriptionId < Subscription_ID> -Region <region> -ArcSpnCredential:$spnCred

Le déplacement des ressources est-il pris en charge pour les ressources Azure Stack HCI ?

Nous ne prenons pas en charge le déplacement de ressources pour les ressources Azure Stack HCI. Pour modifier l’emplacement des ressources, vous devez tout d’abord désinscrire le cluster, puis le réinscrire à l’emplacement en transmettant les paramètres appropriés dans l’applet de commande Register-AzStackHCI .

Quelles sont certaines des applets de commande Arc et d’inscription les plus couramment utilisées ?

• Pour connaître les applets de commande du module PowerShell Az.StackHCI, consultez la documentation sur HCI PowerShell.
• Get-AzureStackHCI : retourne les informations de connexion de nœud et de stratégie actuelles pour Azure Stack HCI.
• Get-AzureStackHCIArcIntegration : retourne l’état de l’intégration d’Arc de nœud.
• Sync-AzureStackHCI :
  • Effectue la facturation, les licences et la synchronisation de recensement avec Azure.
  • Le système exécute automatiquement cette applet de commande toutes les 12 heures.
  • Vous ne devez utiliser cette applet de commande que lorsque la connexion Internet d’un cluster n’a pas été disponible pendant une période prolongée.
  • N’exécutez pas cette applet de commande immédiatement après le redémarrage du serveur ; laissez la synchronisation automatique se produire. Sinon, il peut entraîner un mauvais état.

Étapes suivantes

Pour plus d’informations, voir aussi :

• Gérer le cluster à l’aide de Windows Admin Center dans Azure
• Gérer des clusters avec PowerShell