Sdílet prostřednictvím


Požadavky na nasazení služby App Service ve službě Azure Stack Hub

Důležité

Před nasazením nebo aktualizací poskytovatele prostředků služby App Service aktualizujte službu Azure Stack Hub na podporovanou verzi (nebo v případě potřeby nasaďte nejnovější sadu Azure Stack Development Kit). Nezapomeňte si přečíst poznámky k verzi rp, abyste se seznámili s novými funkcemi, opravami a všemi známými problémy, které by mohly ovlivnit vaše nasazení.

Podporovaná minimální verze služby Azure Stack Hub Verze rp služby App Service
2311 a novější 24R1 instalační program (poznámky k verzi)

Než nasadíte službu Aplikace Azure Service ve službě Azure Stack Hub, musíte dokončit požadované kroky v tomto článku.

Než začnete

Tato část uvádí požadavky pro nasazení integrovaného systému i sady Azure Stack Development Kit (ASDK).

Požadavky poskytovatele prostředků

Pokud jste už nainstalovali poskytovatele prostředků, pravděpodobně jste dokončili následující požadavky a můžete tuto část přeskočit. V opačném případě proveďte tyto kroky před pokračováním:

  1. Pokud jste to neudělali, zaregistrujte si instanci služby Azure Stack Hub v Azure. Tento krok se vyžaduje, protože se budete připojovat k položkám z Azure a stahovat je z Azure.

  2. Pokud neznáte funkci Správa marketplace portálu pro správu služby Azure Stack Hub, přečtěte si téma Stažení položek z Marketplace z Azure a publikování do služby Azure Stack Hub. Tento článek vás provede procesem stahování položek z Azure na marketplace služby Azure Stack Hub. Týká se připojených i odpojených scénářů. Pokud je vaše instance služby Azure Stack Hub odpojená nebo částečně připojená, při přípravě na instalaci je potřeba splnit další požadavky.

  3. Aktualizujte domovský adresář Microsoft Entra. Od buildu 1910 musí být nová aplikace zaregistrovaná v tenantovi domovského adresáře. Tato aplikace umožní službě Azure Stack Hub úspěšně vytvářet a registrovat novější poskytovatele prostředků (jako je Event Hubs a další) ve vašem tenantovi Microsoft Entra. Jedná se o jednorázovou akci, kterou je potřeba provést po upgradu na build 1910 nebo novější. Pokud tento krok není dokončený, instalace poskytovatele prostředků Marketplace selžou.

Instalační a pomocné skripty

  1. Stáhněte si pomocné skripty pro nasazení služby App Service ve službě Azure Stack Hub.

    Poznámka:

    Pomocné skripty nasazení vyžadují modul AzureRM PowerShellu. Podrobnosti o instalaci najdete v tématu Instalace modulu AzureRM PowerShellu pro Azure Stack Hub .

  2. Stáhněte si instalační program služby App Service ve službě Azure Stack Hub.

  3. Extrahujte soubory z pomocných skriptů .zip souboru. Extrahují se následující soubory a složky:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Složka Modulů
      • GraphAPI.psm1

Certifikáty a konfigurace serveru (integrované systémy)

Tato část uvádí požadavky pro nasazení integrovaných systémů.

Požadavky na certifikáty

Pokud chcete spustit poskytovatele prostředků v produkčním prostředí, musíte zadat následující certifikáty:

  • Výchozí certifikát domény
  • Certifikát rozhraní API
  • Publikování certifikátu
  • Certifikát identity

Kromě konkrétních požadavků uvedených v následujících částech použijete nástroj také později k otestování obecných požadavků. Úplný seznam ověření najdete v tématu Ověření certifikátů PKI služby Azure Stack Hub, včetně následujících:

  • Formát souboru . PFX
  • Použití klíče nastavené na ověřování serveru a klienta
  • a několik dalších

Výchozí certifikát domény

Výchozí certifikát domény se umístí do front-endové role. Uživatelské aplikace pro zástupný znak nebo výchozí požadavek na doménu pro službu Aplikace Azure Service tento certifikát používají. Certifikát se používá také pro operace správy zdrojového kódu (Kudu).

Certifikát musí být ve formátu .pfx a měl by se jednat o certifikát se zástupným znakem se třemi předměty. Tento požadavek umožňuje jednomu certifikátu pokrýt jak výchozí doménu, tak koncový bod SCM pro operace správy zdrojového kódu.

Formát Příklad
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certifikát rozhraní API

Certifikát rozhraní API se umístí do role Správa. Poskytovatel prostředků ho používá k zabezpečení volání rozhraní API. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS rozhraní API.

Formát Příklad
api.appservice.<oblast>.<DomainName>.<prodloužení> api.appservice.redmond.azurestack.external

Publikování certifikátu

Certifikát pro roli Vydavatel zabezpečuje provoz FTPS pro vlastníky aplikací při nahrávání obsahu. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS služby FTPS.

Formát Příklad
ftp.appservice.<oblast>.<DomainName>.<prodloužení> ftp.appservice.redmond.azurestack.external

Certifikát identity

Certifikát aplikace identit umožňuje:

  • Integrace mezi adresářem Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (AD FS), službou Azure Stack Hub a službou App Service, která podporuje integraci s poskytovatelem výpočetních prostředků.
  • Scénáře jednotného přihlašování pro pokročilé vývojářské nástroje v rámci služby Aplikace Azure Service ve službě Azure Stack Hub.

Certifikát pro identitu musí obsahovat předmět, který odpovídá následujícímu formátu.

Formát Příklad
sso.appservice.<oblast>.<DomainName>.<prodloužení> sso.appservice.redmond.azurestack.external

Ověření certifikátů

Před nasazením poskytovatele prostředků služby App Service byste měli ověřit, jestli se certifikáty používají pomocí nástroje Azure Stack Hub Readiness Checker dostupného z Galerie prostředí PowerShell. Nástroj Azure Stack Hub Readiness Checker ověří, jestli jsou vygenerované certifikáty PKI vhodné pro nasazení služby App Service.

Osvědčeným postupem je, že při práci s libovolnými potřebnými certifikáty PKI služby Azure Stack Hub byste měli naplánovat dostatek času na testování a opětovné spuštění certifikátů v případě potřeby.

Příprava souborového serveru

Aplikace Azure Služba vyžaduje použití souborového serveru. Pro produkční nasazení musí být souborový server nakonfigurovaný tak, aby byl vysoce dostupný a schopný zpracovávat chyby.

Šablona Rychlý start pro souborový server s vysokou dostupností a SQL Server

K dispozici je teď šablona rychlého startu referenční architektury, která nasadí souborový server a SQL Server. Tato šablona podporuje infrastrukturu služby Active Directory ve virtuální síti nakonfigurované tak, aby podporovala vysoce dostupné nasazení služby Aplikace Azure Service ve službě Azure Stack Hub.

Důležité

Tato šablona se nabízí jako referenční informace nebo příklad, jak můžete nasadit požadavky. Vzhledem k tomu, že operátor služby Azure Stack Hub spravuje tyto servery, zejména v produkčních prostředích, měli byste šablonu nakonfigurovat podle potřeby nebo podle potřeby vaší organizace.

Poznámka:

Aby bylo možné dokončit nasazení, musí být instance integrovaného systému schopná stáhnout prostředky z GitHubu.

Postup nasazení vlastního souborového serveru

Důležité

Pokud se rozhodnete nasadit službu App Service v existující virtuální síti, souborový server by se měl nasadit do samostatné podsítě od služby App Service.

Poznámka:

Pokud jste se rozhodli nasadit souborový server pomocí některé z výše uvedených šablon Pro rychlý start, můžete tuto část přeskočit, protože souborové servery jsou nakonfigurovány jako součást nasazení šablony.

Zřizování skupin a účtů ve službě Active Directory
  1. Vytvořte následující globální skupiny zabezpečení služby Active Directory:

    • FileShareOwners
    • FileShareUsers
  2. Jako účty služeb vytvořte následující účty Active Directory:

    • FileShareOwner
    • FileShareUser

    Osvědčeným postupem zabezpečení je, že uživatelé těchto účtů (a pro všechny webové role) by měli být jedineční a měli silná uživatelská jména a hesla. Nastavte hesla následujícími podmínkami:

    • Platnost hesla nikdy nevyprší.
    • Povolit uživatele nemůže změnit heslo.
    • Zakázat uživatele musí při příštím přihlášení změnit heslo.
  3. Přidejte účty do členství ve skupinách následujícím způsobem:

    • Přidejte FileShareOwner do skupiny FileShareOwners .
    • Přidejte FileShareUser do skupiny FileShareUsers .
Zřízení skupin a účtů v pracovní skupině

Poznámka:

Při konfiguraci souborového serveru spusťte všechny následující příkazy z příkazového řádku správce.
Nepoužívejte PowerShell.

Když použijete šablonu Azure Resource Manageru, uživatelé už jsou vytvořené.

  1. Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte <password> vlastními hodnotami.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Spuštěním následujících příkazů WMIC nastavte hesla pro účty tak, aby nikdy nevyprší platnost:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Vytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte do nich účty v prvním kroku:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Zřízení sdílené složky obsahu

Sdílená složka obsahu obsahuje obsah webu tenanta. Postup zřízení sdílené složky obsahu na jednom souborovém serveru je stejný pro prostředí služby Active Directory i pracovní skupiny. Liší se ale u clusteru s podporou převzetí služeb při selhání ve službě Active Directory.

Zřízení sdílené složky obsahu na jednom souborovém serveru (Active Directory nebo pracovní skupina)

Na jednom souborovém serveru spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu C:\WebSites odpovídajícími cestami ve vašem prostředí.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Konfigurace řízení přístupu ke sdíleným složkám

Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo na uzlu clusteru s podporou převzetí služeb při selhání, což je aktuální vlastník prostředku clusteru, spusťte následující příkazy. Nahraďte hodnoty kurzívou hodnotami specifickými pro vaše prostředí.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Workgroup

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Příprava instance SQL Serveru

Poznámka:

Pokud jste se rozhodli nasadit šablonu Pro rychlý start pro souborový server s vysokou dostupností a SQL Server, můžete tuto část přeskočit, protože šablona nasazuje a konfiguruje SQL Server v konfiguraci vysoké dostupnosti.

Pro službu Aplikace Azure ve službě Azure Stack Hub, která hostuje a měří databáze, musíte připravit instanci SQL Serveru pro uložení databází služby App Service.

Pro účely produkčního a vysoce dostupného prostředí byste měli použít plnou verzi SQL Serveru 2014 SP2 nebo novější, povolit ověřování ve smíšeném režimu a nasadit ji v konfiguraci s vysokou dostupností.

Instance SQL Serveru pro službu Aplikace Azure Service ve službě Azure Stack Hub musí být přístupná ze všech rolí služby App Service. SQL Server můžete nasadit v rámci výchozího předplatného poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud existuje připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte bránu firewall nakonfigurovat odpovídajícím způsobem.

Poznámka:

Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace vždy stáhněte nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro některou z rolí SQL Serveru můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační program služby App Service zkontroluje, jestli je sql Server s povoleným omezením databáze. Pokud chcete povolit uzavření databáze na SQL Serveru, který bude hostovat databáze služby App Service, spusťte tyto příkazy SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certifikáty a konfigurace serveru (ASDK)

V této části jsou uvedeny požadavky pro nasazení sady ASDK.

Certifikáty vyžadované pro nasazení sady ASDK služby Aplikace Azure Service

Skript Create-AppServiceCerts.ps1 spolupracuje s certifikační autoritou služby Azure Stack Hub a vytváří čtyři certifikáty, které App Service potřebuje.

Název souboru Používání
_.appservice.local.azurestack.external.pfx Výchozí certifikát SSL služby App Service
api.appservice.local.azurestack.external.pfx Certifikát SSL rozhraní API služby App Service
ftp.appservice.local.azurestack.external.pfx Certifikát SSL vydavatele služby App Service
sso.appservice.local.azurestack.external.pfx Certifikát aplikace identity služby App Service

Chcete-li vytvořit certifikáty, postupujte takto:

  1. Přihlaste se k hostiteli ASDK pomocí účtu AzureStack\AzureStackAdmin.
  2. Otevřete relaci PowerShellu se zvýšenými oprávněními.
  3. Spusťte skript Create-AppServiceCerts.ps1 ze složky, do které jste extrahovali pomocné skripty. Tento skript vytvoří ve stejné složce čtyři certifikáty jako skript, který App Service potřebuje k vytváření certifikátů.
  4. Zadejte heslo pro zabezpečení souborů .pfx a poznamenejte si ho. Musíte ho zadat později v instalačním programu služby App Service ve službě Azure Stack Hub.

Parametry skriptu Create-AppServiceCerts.ps1

Parametr Požadované nebo volitelné Výchozí hodnota Popis
pfxPassword Požaduje se Null Heslo, které pomáhá chránit privátní klíč certifikátu
DomainName Požaduje se local.azurestack.external Oblast a přípona domény služby Azure Stack Hub

Šablona rychlého startu pro souborový server pro nasazení služby Aplikace Azure Service v ASDK

Pouze pro nasazení ASDK můžete použít ukázkovou šablonu nasazení Azure Resource Manageru k nasazení nakonfigurovaného souborového serveru s jedním uzlem. Souborový server s jedním uzlem bude v pracovní skupině.

Poznámka:

Aby bylo možné dokončit nasazení, musí být instance ASDK schopná stáhnout prostředky z GitHubu.

Instance SQL Serveru

Pro službu Aplikace Azure ve službě Azure Stack Hub, která hostuje a měří databáze, musíte připravit instanci SQL Serveru pro uložení databází služby App Service.

Pro nasazení ASDK můžete použít SQL Server Express 2014 SP2 nebo novější. SQL Server musí být nakonfigurovaný tak, aby podporoval ověřování ve smíšeném režimu , protože Služba App Service ve službě Azure Stack Hub nepodporuje ověřování systému Windows.

Instance SQL Serveru pro službu Aplikace Azure Service ve službě Azure Stack Hub musí být přístupná ze všech rolí služby App Service. SQL Server můžete nasadit v rámci výchozího předplatného poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud existuje připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte bránu firewall nakonfigurovat odpovídajícím způsobem.

Poznámka:

Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace vždy stáhněte nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro některou z rolí SQL Serveru můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační program služby App Service zkontroluje, jestli je sql Server s povoleným omezením databáze. Pokud chcete povolit uzavření databáze na SQL Serveru, který bude hostovat databáze služby App Service, spusťte tyto příkazy SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Aspekty licencování požadovaného souborového serveru a SQL Serveru

služba Aplikace Azure ve službě Azure Stack Hub vyžaduje k provozu souborový server a SQL Server. Můžete používat předem existující prostředky umístěné mimo nasazení služby Azure Stack Hub nebo nasazovat prostředky v rámci jejich výchozího předplatného poskytovatele služby Azure Stack Hub.

Pokud se rozhodnete nasadit prostředky v rámci vašeho výchozího předplatného poskytovatele služby Azure Stack Hub, licence pro tyto prostředky (licence Windows Serveru a licence SQL Serveru) se zahrnou do nákladů na službu Aplikace Azure Service ve službě Azure Stack Hub s ohledem na následující omezení:

  • infrastruktura se nasadí do výchozího předplatného poskytovatele;
  • infrastrukturu používá výhradně služba Aplikace Azure na poskytovateli prostředků služby Azure Stack Hub. Žádné jiné úlohy, správa (jiní poskytovatelé prostředků, například SQL-RP) nebo tenant (například aplikace tenantů, které vyžadují databázi), mají povoleno využívat tuto infrastrukturu.

Provozní odpovědnost za souborové a sql servery

Operátoři cloudu zodpovídají za údržbu a provoz souborového serveru a SQL Serveru. Poskytovatel prostředků tyto prostředky nespravuje. Operátor cloudu zodpovídá za zálohování databází služby App Service a sdílené složky obsahu tenanta.

Načtení kořenového certifikátu Azure Resource Manageru pro Azure Stack Hub

Otevřete relaci PowerShellu se zvýšenými oprávněními na počítači, který se může dostat k privilegovanému koncovému bodu v integrovaném systému Azure Stack Hub nebo hostiteli ASDK.

Spusťte skript Get-AzureStackRootCert.ps1 ze složky, do které jste extrahovali pomocné skripty. Skript vytvoří kořenový certifikát ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.

Když spustíte následující příkaz PowerShellu, musíte zadat privilegovaný koncový bod a přihlašovací údaje pro AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Parametry skriptu Get-AzureStackRootCert.ps1

Parametr Požadované nebo volitelné Výchozí hodnota Popis
PrivilegedEndpoint Požaduje se AzS-ERCS01 Privilegovaný koncový bod
CloudAdminCredential Požaduje se AzureStack\CloudAdmin Přihlašovací údaje účtu domény pro správce cloudu služby Azure Stack Hub

Konfigurace sítě a identity

Virtuální síť

Poznámka:

Předběžné vytvoření vlastní virtuální sítě je volitelné, protože služba Aplikace Azure ve službě Azure Stack Hub může vytvořit požadovanou virtuální síť, ale pak bude muset komunikovat s SQL a souborovým serverem prostřednictvím veřejných IP adres. Pokud k nasazení požadovaných prostředků SQL a prostředků souborového serveru použijete šablonu rychlého startu služby App Service HA a SQL Server, nasadí šablona také virtuální síť.

Aplikace Azure Service ve službě Azure Stack Hub umožňuje nasadit poskytovatele prostředků do existující virtuální sítě nebo vám umožní vytvořit virtuální síť v rámci nasazení. Použití existující virtuální sítě umožňuje použití interních IP adres pro připojení k souborovém serveru a SQL Serveru vyžadovaného službou Aplikace Azure Service ve službě Azure Stack Hub. Před instalací služby Aplikace Azure Service ve službě Azure Stack Hub musí být virtuální síť nakonfigurovaná s následujícím rozsahem adres a podsítěmi:

Virtuální síť – /16

Podsítě

  • /24 ControllersSubnet
  • /24 ManagementServersSubnet
  • /24 frontEndsSubnet
  • /24 PublishersSubnet
  • /21 WorkerSubnet

Důležité

Pokud se rozhodnete nasadit službu App Service v existující virtuální síti, sql Server by se měl nasadit do samostatné podsítě od služby App Service a souborového serveru.

Vytvoření aplikace identit pro povolení scénářů jednotného přihlašování

Aplikace Azure Služba používá k podpoře následujících operací aplikaci identity (instanční objekt):

  • Integrace škálovací sady virtuálních počítačů na úrovních pracovních procesů
  • Jednotné přihlašování pro portál Azure Functions a pokročilé vývojářské nástroje (Kudu).

V závislosti na tom, jakého zprostředkovatele identity azure Stack Hub používá, musíte pomocí následujícího postupu vytvořit instanční objekt pro použití službou Aplikace Azure na poskytovateli prostředků služby Azure Stack Hub Active Directory Federation Services (AD FS).

Vytvoření aplikace Microsoft Entra

Pomocí následujícího postupu vytvořte instanční objekt ve vašem tenantovi Microsoft Entra:

  1. Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
  2. Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
  3. Nainstalujte PowerShell pro Azure Stack Hub.
  4. Spusťte skript Create-AADIdentityApp.ps1. Po zobrazení výzvy zadejte ID tenanta Microsoft Entra, které používáte pro nasazení služby Azure Stack Hub. Zadejte například myazurestack.onmicrosoft.com.
  5. V okně Přihlašovací údaje zadejte svůj účet a heslo správce služby Microsoft Entra. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu pro dříve vytvořený certifikát. Certifikát vytvořený pro tento krok je standardně sso.appservice.local.azurestack.external.pfx.
  7. Poznamenejte si ID aplikace, které se vrátí ve výstupu PowerShellu. ID použijete v následujících krocích k poskytnutí souhlasu s oprávněními aplikace a během instalace.
  8. Otevřete nové okno prohlížeče a přihlaste se k webu Azure Portal jako správce služby Microsoft Entra.
  9. Otevřete službu Microsoft Entra.
  10. V levém podokně vyberte Registrace aplikací.
  11. Vyhledejte ID aplikace, které jste si poznamenali v kroku 7.
  12. V seznamu vyberte registraci aplikace služby App Service.
  13. V levém podokně vyberte oprávnění rozhraní API.
  14. Vyberte Udělení souhlasu správce pro <tenanta>, kde <je tenantem> Microsoft Entra. Potvrďte udělení souhlasu výběrem možnosti Ano.
    Create-AADIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Popis
DirectoryTenantName Požaduje se Null ID tenanta Microsoft Entra. Zadejte identifikátor GUID nebo řetězec. Příkladem je myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Požaduje se Null Koncový bod Azure Resource Manageru pro správu Příkladem je adminmanagement.local.azurestack.external.
TenantARMEndpoint Požaduje se Null Koncový bod Azure Resource Manageru tenanta. Příkladem je management.local.azurestack.external.
AzureStackAdminCredential Požaduje se Null Přihlašovací údaje správce služby Microsoft Entra.
CertificateFilePath Požaduje se Null Úplná cesta k souboru certifikátu aplikace identity vygenerovanému dříve.
CertificatePassword Požaduje se Null Heslo, které pomáhá chránit privátní klíč certifikátu.
Prostředí Volitelné AzureCloud Název podporovaného cloudového prostředí, ve kterém je k dispozici cílová služba Azure Active Directory Graph Service. Povolené hodnoty: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud.

Vytvoření aplikace ADFS

  1. Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
  2. Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
  3. Nainstalujte PowerShell pro Azure Stack Hub.
  4. Spusťte skript Create-ADFSIdentityApp.ps1.
  5. V okně Přihlašovací údaje zadejte účet a heslo správce cloudu služby AD FS. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu pro dříve vytvořený certifikát. Certifikát vytvořený pro tento krok je standardně sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Popis
AdminArmEndpoint Požaduje se Null Koncový bod Azure Resource Manageru pro správu Příkladem je adminmanagement.local.azurestack.external.
PrivilegedEndpoint Požaduje se Null Privilegovaný koncový bod. Příkladem je AzS-ERCS01.
CloudAdminCredential Požaduje se Null Přihlašovací údaje účtu domény pro správce cloudu služby Azure Stack Hub Příkladem je Azurestack\CloudAdmin.
CertificateFilePath Požaduje se Null Úplná cesta k souboru PFX certifikátu aplikace identity
CertificatePassword Požaduje se Null Heslo, které pomáhá chránit privátní klíč certifikátu.

Stažení položek z Azure Marketplace

služba Aplikace Azure ve službě Azure Stack Hub vyžaduje, aby se položky stáhly z Azure Marketplace a zpřístupňuje je na marketplace služby Azure Stack Hub. Tyto položky je nutné stáhnout před zahájením nasazení nebo upgradem služby Aplikace Azure Service ve službě Azure Stack Hub:

Důležité

Windows Server Core není podporovaná image platformy pro použití se službou Aplikace Azure Service ve službě Azure Stack Hub.

Nepoužívejte zkušební image pro produkční nasazení.

  1. Nejnovější verze image virtuálního počítače s Windows Serverem 2022 Datacenter
  1. Úplná image virtuálního počítače s Windows Serverem 2022 Datacenter s aktivovanou verzí Microsoft.Net 3.5.1 SP1. služba Aplikace Azure ve službě Azure Stack Hub vyžaduje, aby byla na imagi použité k nasazení aktivována služba Microsoft .NET 3.5.1 SP1. Bitové kopie Windows Serveru 2022 syndikované z Marketplace nemají tuto funkci povolenou a v odpojených prostředích se nemůžou spojit se službou Microsoft Update a stáhnout balíčky pro instalaci přes DISM. Proto musíte vytvořit a použít image Systému Windows Server 2022 s touto funkcí předem povolenou v odpojených nasazeních.

    Podrobnosti o vytvoření vlastní image virtuálního počítače a přidání do Marketplace najdete v tématu Přidání vlastní image do služby Azure Stack Hub . Při přidávání image do Marketplace nezapomeňte zadat následující vlastnosti:

    • Publisher = MicrosoftWindowsServer
    • Nabídka = WindowsServer
    • Skladová položka = AppService
    • Version = Zadejte nejnovější verzi.
  1. Rozšíření vlastních skriptů verze 1.9.1 nebo novější Tato položka je rozšířením virtuálního počítače.

Další kroky

Instalace poskytovatele prostředků App Service