Požadavky na nasazení služby App Service ve službě Azure Stack Hub
Důležité
Před nasazením nebo aktualizací poskytovatele prostředků služby App Service aktualizujte službu Azure Stack Hub na podporovanou verzi (nebo v případě potřeby nasaďte nejnovější sadu Azure Stack Development Kit). Nezapomeňte si přečíst poznámky k verzi rp, abyste se seznámili s novými funkcemi, opravami a všemi známými problémy, které by mohly ovlivnit vaše nasazení.
Podporovaná minimální verze služby Azure Stack Hub Verze rp služby App Service 2311 a novější 24R1 instalační program (poznámky k verzi)
Než nasadíte službu Aplikace Azure Service ve službě Azure Stack Hub, musíte dokončit požadované kroky v tomto článku.
Než začnete
Tato část uvádí požadavky pro nasazení integrovaného systému i sady Azure Stack Development Kit (ASDK).
Požadavky poskytovatele prostředků
Pokud jste už nainstalovali poskytovatele prostředků, pravděpodobně jste dokončili následující požadavky a můžete tuto část přeskočit. V opačném případě proveďte tyto kroky před pokračováním:
Pokud jste to neudělali, zaregistrujte si instanci služby Azure Stack Hub v Azure. Tento krok se vyžaduje, protože se budete připojovat k položkám z Azure a stahovat je z Azure.
Pokud neznáte funkci Správa marketplace portálu pro správu služby Azure Stack Hub, přečtěte si téma Stažení položek z Marketplace z Azure a publikování do služby Azure Stack Hub. Tento článek vás provede procesem stahování položek z Azure na marketplace služby Azure Stack Hub. Týká se připojených i odpojených scénářů. Pokud je vaše instance služby Azure Stack Hub odpojená nebo částečně připojená, při přípravě na instalaci je potřeba splnit další požadavky.
Aktualizujte domovský adresář Microsoft Entra. Od buildu 1910 musí být nová aplikace zaregistrovaná v tenantovi domovského adresáře. Tato aplikace umožní službě Azure Stack Hub úspěšně vytvářet a registrovat novější poskytovatele prostředků (jako je Event Hubs a další) ve vašem tenantovi Microsoft Entra. Jedná se o jednorázovou akci, kterou je potřeba provést po upgradu na build 1910 nebo novější. Pokud tento krok není dokončený, instalace poskytovatele prostředků Marketplace selžou.
- Po úspěšné aktualizaci instance služby Azure Stack Hub na verzi 1910 nebo novější postupujte podle pokynů pro klonování a stahování úložiště Azure Stack Hub Tools.
- Potom postupujte podle pokynů pro aktualizaci domovského adresáře Microsoft Entra Hub služby Azure Stack Hub (po instalaci aktualizací nebo nových poskytovatelů prostředků).
Instalační a pomocné skripty
Stáhněte si pomocné skripty pro nasazení služby App Service ve službě Azure Stack Hub.
Poznámka:
Pomocné skripty nasazení vyžadují modul AzureRM PowerShellu. Podrobnosti o instalaci najdete v tématu Instalace modulu AzureRM PowerShellu pro Azure Stack Hub .
Stáhněte si instalační program služby App Service ve službě Azure Stack Hub.
Extrahujte soubory z pomocných skriptů .zip souboru. Extrahují se následující soubory a složky:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Složka Modulů
- GraphAPI.psm1
Certifikáty a konfigurace serveru (integrované systémy)
Tato část uvádí požadavky pro nasazení integrovaných systémů.
Požadavky na certifikáty
Pokud chcete spustit poskytovatele prostředků v produkčním prostředí, musíte zadat následující certifikáty:
- Výchozí certifikát domény
- Certifikát rozhraní API
- Publikování certifikátu
- Certifikát identity
Kromě konkrétních požadavků uvedených v následujících částech použijete nástroj také později k otestování obecných požadavků. Úplný seznam ověření najdete v tématu Ověření certifikátů PKI služby Azure Stack Hub, včetně následujících:
- Formát souboru . PFX
- Použití klíče nastavené na ověřování serveru a klienta
- a několik dalších
Výchozí certifikát domény
Výchozí certifikát domény se umístí do front-endové role. Uživatelské aplikace pro zástupný znak nebo výchozí požadavek na doménu pro službu Aplikace Azure Service tento certifikát používají. Certifikát se používá také pro operace správy zdrojového kódu (Kudu).
Certifikát musí být ve formátu .pfx a měl by se jednat o certifikát se zástupným znakem se třemi předměty. Tento požadavek umožňuje jednomu certifikátu pokrýt jak výchozí doménu, tak koncový bod SCM pro operace správy zdrojového kódu.
Formát | Příklad |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certifikát rozhraní API
Certifikát rozhraní API se umístí do role Správa. Poskytovatel prostředků ho používá k zabezpečení volání rozhraní API. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS rozhraní API.
Formát | Příklad |
---|---|
api.appservice.<oblast>.<DomainName>.<prodloužení> | api.appservice.redmond.azurestack.external |
Publikování certifikátu
Certifikát pro roli Vydavatel zabezpečuje provoz FTPS pro vlastníky aplikací při nahrávání obsahu. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS služby FTPS.
Formát | Příklad |
---|---|
ftp.appservice.<oblast>.<DomainName>.<prodloužení> | ftp.appservice.redmond.azurestack.external |
Certifikát identity
Certifikát aplikace identit umožňuje:
- Integrace mezi adresářem Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (AD FS), službou Azure Stack Hub a službou App Service, která podporuje integraci s poskytovatelem výpočetních prostředků.
- Scénáře jednotného přihlašování pro pokročilé vývojářské nástroje v rámci služby Aplikace Azure Service ve službě Azure Stack Hub.
Certifikát pro identitu musí obsahovat předmět, který odpovídá následujícímu formátu.
Formát | Příklad |
---|---|
sso.appservice.<oblast>.<DomainName>.<prodloužení> | sso.appservice.redmond.azurestack.external |
Ověření certifikátů
Před nasazením poskytovatele prostředků služby App Service byste měli ověřit, jestli se certifikáty používají pomocí nástroje Azure Stack Hub Readiness Checker dostupného z Galerie prostředí PowerShell. Nástroj Azure Stack Hub Readiness Checker ověří, jestli jsou vygenerované certifikáty PKI vhodné pro nasazení služby App Service.
Osvědčeným postupem je, že při práci s libovolnými potřebnými certifikáty PKI služby Azure Stack Hub byste měli naplánovat dostatek času na testování a opětovné spuštění certifikátů v případě potřeby.
Příprava souborového serveru
Aplikace Azure Služba vyžaduje použití souborového serveru. Pro produkční nasazení musí být souborový server nakonfigurovaný tak, aby byl vysoce dostupný a schopný zpracovávat chyby.
Šablona Rychlý start pro souborový server s vysokou dostupností a SQL Server
K dispozici je teď šablona rychlého startu referenční architektury, která nasadí souborový server a SQL Server. Tato šablona podporuje infrastrukturu služby Active Directory ve virtuální síti nakonfigurované tak, aby podporovala vysoce dostupné nasazení služby Aplikace Azure Service ve službě Azure Stack Hub.
Důležité
Tato šablona se nabízí jako referenční informace nebo příklad, jak můžete nasadit požadavky. Vzhledem k tomu, že operátor služby Azure Stack Hub spravuje tyto servery, zejména v produkčních prostředích, měli byste šablonu nakonfigurovat podle potřeby nebo podle potřeby vaší organizace.
Poznámka:
Aby bylo možné dokončit nasazení, musí být instance integrovaného systému schopná stáhnout prostředky z GitHubu.
Postup nasazení vlastního souborového serveru
Důležité
Pokud se rozhodnete nasadit službu App Service v existující virtuální síti, souborový server by se měl nasadit do samostatné podsítě od služby App Service.
Poznámka:
Pokud jste se rozhodli nasadit souborový server pomocí některé z výše uvedených šablon Pro rychlý start, můžete tuto část přeskočit, protože souborové servery jsou nakonfigurovány jako součást nasazení šablony.
Zřizování skupin a účtů ve službě Active Directory
Vytvořte následující globální skupiny zabezpečení služby Active Directory:
- FileShareOwners
- FileShareUsers
Jako účty služeb vytvořte následující účty Active Directory:
- FileShareOwner
- FileShareUser
Osvědčeným postupem zabezpečení je, že uživatelé těchto účtů (a pro všechny webové role) by měli být jedineční a měli silná uživatelská jména a hesla. Nastavte hesla následujícími podmínkami:
- Platnost hesla nikdy nevyprší.
- Povolit uživatele nemůže změnit heslo.
- Zakázat uživatele musí při příštím přihlášení změnit heslo.
Přidejte účty do členství ve skupinách následujícím způsobem:
- Přidejte FileShareOwner do skupiny FileShareOwners .
- Přidejte FileShareUser do skupiny FileShareUsers .
Zřízení skupin a účtů v pracovní skupině
Poznámka:
Při konfiguraci souborového serveru spusťte všechny následující příkazy z příkazového řádku správce.
Nepoužívejte PowerShell.
Když použijete šablonu Azure Resource Manageru, uživatelé už jsou vytvořené.
Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte
<password>
vlastními hodnotami.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Spuštěním následujících příkazů WMIC nastavte hesla pro účty tak, aby nikdy nevyprší platnost:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Vytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte do nich účty v prvním kroku:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Zřízení sdílené složky obsahu
Sdílená složka obsahu obsahuje obsah webu tenanta. Postup zřízení sdílené složky obsahu na jednom souborovém serveru je stejný pro prostředí služby Active Directory i pracovní skupiny. Liší se ale u clusteru s podporou převzetí služeb při selhání ve službě Active Directory.
Zřízení sdílené složky obsahu na jednom souborovém serveru (Active Directory nebo pracovní skupina)
Na jednom souborovém serveru spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu C:\WebSites
odpovídajícími cestami ve vašem prostředí.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurace řízení přístupu ke sdíleným složkám
Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo na uzlu clusteru s podporou převzetí služeb při selhání, což je aktuální vlastník prostředku clusteru, spusťte následující příkazy. Nahraďte hodnoty kurzívou hodnotami specifickými pro vaše prostředí.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Workgroup
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Příprava instance SQL Serveru
Poznámka:
Pokud jste se rozhodli nasadit šablonu Pro rychlý start pro souborový server s vysokou dostupností a SQL Server, můžete tuto část přeskočit, protože šablona nasazuje a konfiguruje SQL Server v konfiguraci vysoké dostupnosti.
Pro službu Aplikace Azure ve službě Azure Stack Hub, která hostuje a měří databáze, musíte připravit instanci SQL Serveru pro uložení databází služby App Service.
Pro účely produkčního a vysoce dostupného prostředí byste měli použít plnou verzi SQL Serveru 2014 SP2 nebo novější, povolit ověřování ve smíšeném režimu a nasadit ji v konfiguraci s vysokou dostupností.
Instance SQL Serveru pro službu Aplikace Azure Service ve službě Azure Stack Hub musí být přístupná ze všech rolí služby App Service. SQL Server můžete nasadit v rámci výchozího předplatného poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud existuje připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte bránu firewall nakonfigurovat odpovídajícím způsobem.
Poznámka:
Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace vždy stáhněte nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.
Pro některou z rolí SQL Serveru můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.
Instalační program služby App Service zkontroluje, jestli je sql Server s povoleným omezením databáze. Pokud chcete povolit uzavření databáze na SQL Serveru, který bude hostovat databáze služby App Service, spusťte tyto příkazy SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certifikáty a konfigurace serveru (ASDK)
V této části jsou uvedeny požadavky pro nasazení sady ASDK.
Certifikáty vyžadované pro nasazení sady ASDK služby Aplikace Azure Service
Skript Create-AppServiceCerts.ps1 spolupracuje s certifikační autoritou služby Azure Stack Hub a vytváří čtyři certifikáty, které App Service potřebuje.
Název souboru | Používání |
---|---|
_.appservice.local.azurestack.external.pfx | Výchozí certifikát SSL služby App Service |
api.appservice.local.azurestack.external.pfx | Certifikát SSL rozhraní API služby App Service |
ftp.appservice.local.azurestack.external.pfx | Certifikát SSL vydavatele služby App Service |
sso.appservice.local.azurestack.external.pfx | Certifikát aplikace identity služby App Service |
Chcete-li vytvořit certifikáty, postupujte takto:
- Přihlaste se k hostiteli ASDK pomocí účtu AzureStack\AzureStackAdmin.
- Otevřete relaci PowerShellu se zvýšenými oprávněními.
- Spusťte skript Create-AppServiceCerts.ps1 ze složky, do které jste extrahovali pomocné skripty. Tento skript vytvoří ve stejné složce čtyři certifikáty jako skript, který App Service potřebuje k vytváření certifikátů.
- Zadejte heslo pro zabezpečení souborů .pfx a poznamenejte si ho. Musíte ho zadat později v instalačním programu služby App Service ve službě Azure Stack Hub.
Parametry skriptu Create-AppServiceCerts.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Popis |
---|---|---|---|
pfxPassword | Požaduje se | Null | Heslo, které pomáhá chránit privátní klíč certifikátu |
DomainName | Požaduje se | local.azurestack.external | Oblast a přípona domény služby Azure Stack Hub |
Šablona rychlého startu pro souborový server pro nasazení služby Aplikace Azure Service v ASDK
Pouze pro nasazení ASDK můžete použít ukázkovou šablonu nasazení Azure Resource Manageru k nasazení nakonfigurovaného souborového serveru s jedním uzlem. Souborový server s jedním uzlem bude v pracovní skupině.
Poznámka:
Aby bylo možné dokončit nasazení, musí být instance ASDK schopná stáhnout prostředky z GitHubu.
Instance SQL Serveru
Pro službu Aplikace Azure ve službě Azure Stack Hub, která hostuje a měří databáze, musíte připravit instanci SQL Serveru pro uložení databází služby App Service.
Pro nasazení ASDK můžete použít SQL Server Express 2014 SP2 nebo novější. SQL Server musí být nakonfigurovaný tak, aby podporoval ověřování ve smíšeném režimu , protože Služba App Service ve službě Azure Stack Hub nepodporuje ověřování systému Windows.
Instance SQL Serveru pro službu Aplikace Azure Service ve službě Azure Stack Hub musí být přístupná ze všech rolí služby App Service. SQL Server můžete nasadit v rámci výchozího předplatného poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud existuje připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte bránu firewall nakonfigurovat odpovídajícím způsobem.
Poznámka:
Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace vždy stáhněte nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.
Pro některou z rolí SQL Serveru můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.
Instalační program služby App Service zkontroluje, jestli je sql Server s povoleným omezením databáze. Pokud chcete povolit uzavření databáze na SQL Serveru, který bude hostovat databáze služby App Service, spusťte tyto příkazy SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Aspekty licencování požadovaného souborového serveru a SQL Serveru
služba Aplikace Azure ve službě Azure Stack Hub vyžaduje k provozu souborový server a SQL Server. Můžete používat předem existující prostředky umístěné mimo nasazení služby Azure Stack Hub nebo nasazovat prostředky v rámci jejich výchozího předplatného poskytovatele služby Azure Stack Hub.
Pokud se rozhodnete nasadit prostředky v rámci vašeho výchozího předplatného poskytovatele služby Azure Stack Hub, licence pro tyto prostředky (licence Windows Serveru a licence SQL Serveru) se zahrnou do nákladů na službu Aplikace Azure Service ve službě Azure Stack Hub s ohledem na následující omezení:
- infrastruktura se nasadí do výchozího předplatného poskytovatele;
- infrastrukturu používá výhradně služba Aplikace Azure na poskytovateli prostředků služby Azure Stack Hub. Žádné jiné úlohy, správa (jiní poskytovatelé prostředků, například SQL-RP) nebo tenant (například aplikace tenantů, které vyžadují databázi), mají povoleno využívat tuto infrastrukturu.
Provozní odpovědnost za souborové a sql servery
Operátoři cloudu zodpovídají za údržbu a provoz souborového serveru a SQL Serveru. Poskytovatel prostředků tyto prostředky nespravuje. Operátor cloudu zodpovídá za zálohování databází služby App Service a sdílené složky obsahu tenanta.
Načtení kořenového certifikátu Azure Resource Manageru pro Azure Stack Hub
Otevřete relaci PowerShellu se zvýšenými oprávněními na počítači, který se může dostat k privilegovanému koncovému bodu v integrovaném systému Azure Stack Hub nebo hostiteli ASDK.
Spusťte skript Get-AzureStackRootCert.ps1 ze složky, do které jste extrahovali pomocné skripty. Skript vytvoří kořenový certifikát ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.
Když spustíte následující příkaz PowerShellu, musíte zadat privilegovaný koncový bod a přihlašovací údaje pro AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parametry skriptu Get-AzureStackRootCert.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Popis |
---|---|---|---|
PrivilegedEndpoint | Požaduje se | AzS-ERCS01 | Privilegovaný koncový bod |
CloudAdminCredential | Požaduje se | AzureStack\CloudAdmin | Přihlašovací údaje účtu domény pro správce cloudu služby Azure Stack Hub |
Konfigurace sítě a identity
Virtuální síť
Poznámka:
Předběžné vytvoření vlastní virtuální sítě je volitelné, protože služba Aplikace Azure ve službě Azure Stack Hub může vytvořit požadovanou virtuální síť, ale pak bude muset komunikovat s SQL a souborovým serverem prostřednictvím veřejných IP adres. Pokud k nasazení požadovaných prostředků SQL a prostředků souborového serveru použijete šablonu rychlého startu služby App Service HA a SQL Server, nasadí šablona také virtuální síť.
Aplikace Azure Service ve službě Azure Stack Hub umožňuje nasadit poskytovatele prostředků do existující virtuální sítě nebo vám umožní vytvořit virtuální síť v rámci nasazení. Použití existující virtuální sítě umožňuje použití interních IP adres pro připojení k souborovém serveru a SQL Serveru vyžadovaného službou Aplikace Azure Service ve službě Azure Stack Hub. Před instalací služby Aplikace Azure Service ve službě Azure Stack Hub musí být virtuální síť nakonfigurovaná s následujícím rozsahem adres a podsítěmi:
Virtuální síť – /16
Podsítě
- /24 ControllersSubnet
- /24 ManagementServersSubnet
- /24 frontEndsSubnet
- /24 PublishersSubnet
- /21 WorkerSubnet
Důležité
Pokud se rozhodnete nasadit službu App Service v existující virtuální síti, sql Server by se měl nasadit do samostatné podsítě od služby App Service a souborového serveru.
Vytvoření aplikace identit pro povolení scénářů jednotného přihlašování
Aplikace Azure Služba používá k podpoře následujících operací aplikaci identity (instanční objekt):
- Integrace škálovací sady virtuálních počítačů na úrovních pracovních procesů
- Jednotné přihlašování pro portál Azure Functions a pokročilé vývojářské nástroje (Kudu).
V závislosti na tom, jakého zprostředkovatele identity azure Stack Hub používá, musíte pomocí následujícího postupu vytvořit instanční objekt pro použití službou Aplikace Azure na poskytovateli prostředků služby Azure Stack Hub Active Directory Federation Services (AD FS).
Vytvoření aplikace Microsoft Entra
Pomocí následujícího postupu vytvořte instanční objekt ve vašem tenantovi Microsoft Entra:
- Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
- Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
- Nainstalujte PowerShell pro Azure Stack Hub.
- Spusťte skript Create-AADIdentityApp.ps1. Po zobrazení výzvy zadejte ID tenanta Microsoft Entra, které používáte pro nasazení služby Azure Stack Hub. Zadejte například myazurestack.onmicrosoft.com.
- V okně Přihlašovací údaje zadejte svůj účet a heslo správce služby Microsoft Entra. Vyberte OK.
- Zadejte cestu k souboru certifikátu a heslo certifikátu pro dříve vytvořený certifikát. Certifikát vytvořený pro tento krok je standardně sso.appservice.local.azurestack.external.pfx.
- Poznamenejte si ID aplikace, které se vrátí ve výstupu PowerShellu. ID použijete v následujících krocích k poskytnutí souhlasu s oprávněními aplikace a během instalace.
- Otevřete nové okno prohlížeče a přihlaste se k webu Azure Portal jako správce služby Microsoft Entra.
- Otevřete službu Microsoft Entra.
- V levém podokně vyberte Registrace aplikací.
- Vyhledejte ID aplikace, které jste si poznamenali v kroku 7.
- V seznamu vyberte registraci aplikace služby App Service.
- V levém podokně vyberte oprávnění rozhraní API.
- Vyberte Udělení souhlasu správce pro <tenanta>, kde <je tenantem> Microsoft Entra. Potvrďte udělení souhlasu výběrem možnosti Ano.
Create-AADIdentityApp.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Popis |
---|---|---|---|
DirectoryTenantName | Požaduje se | Null | ID tenanta Microsoft Entra. Zadejte identifikátor GUID nebo řetězec. Příkladem je myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Požaduje se | Null | Koncový bod Azure Resource Manageru pro správu Příkladem je adminmanagement.local.azurestack.external. |
TenantARMEndpoint | Požaduje se | Null | Koncový bod Azure Resource Manageru tenanta. Příkladem je management.local.azurestack.external. |
AzureStackAdminCredential | Požaduje se | Null | Přihlašovací údaje správce služby Microsoft Entra. |
CertificateFilePath | Požaduje se | Null | Úplná cesta k souboru certifikátu aplikace identity vygenerovanému dříve. |
CertificatePassword | Požaduje se | Null | Heslo, které pomáhá chránit privátní klíč certifikátu. |
Prostředí | Volitelné | AzureCloud | Název podporovaného cloudového prostředí, ve kterém je k dispozici cílová služba Azure Active Directory Graph Service. Povolené hodnoty: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud. |
Vytvoření aplikace ADFS
- Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
- Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
- Nainstalujte PowerShell pro Azure Stack Hub.
- Spusťte skript Create-ADFSIdentityApp.ps1.
- V okně Přihlašovací údaje zadejte účet a heslo správce cloudu služby AD FS. Vyberte OK.
- Zadejte cestu k souboru certifikátu a heslo certifikátu pro dříve vytvořený certifikát. Certifikát vytvořený pro tento krok je standardně sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Popis |
---|---|---|---|
AdminArmEndpoint | Požaduje se | Null | Koncový bod Azure Resource Manageru pro správu Příkladem je adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Požaduje se | Null | Privilegovaný koncový bod. Příkladem je AzS-ERCS01. |
CloudAdminCredential | Požaduje se | Null | Přihlašovací údaje účtu domény pro správce cloudu služby Azure Stack Hub Příkladem je Azurestack\CloudAdmin. |
CertificateFilePath | Požaduje se | Null | Úplná cesta k souboru PFX certifikátu aplikace identity |
CertificatePassword | Požaduje se | Null | Heslo, které pomáhá chránit privátní klíč certifikátu. |
Stažení položek z Azure Marketplace
služba Aplikace Azure ve službě Azure Stack Hub vyžaduje, aby se položky stáhly z Azure Marketplace a zpřístupňuje je na marketplace služby Azure Stack Hub. Tyto položky je nutné stáhnout před zahájením nasazení nebo upgradem služby Aplikace Azure Service ve službě Azure Stack Hub:
Důležité
Windows Server Core není podporovaná image platformy pro použití se službou Aplikace Azure Service ve službě Azure Stack Hub.
Nepoužívejte zkušební image pro produkční nasazení.
- Nejnovější verze image virtuálního počítače s Windows Serverem 2022 Datacenter
Úplná image virtuálního počítače s Windows Serverem 2022 Datacenter s aktivovanou verzí Microsoft.Net 3.5.1 SP1. služba Aplikace Azure ve službě Azure Stack Hub vyžaduje, aby byla na imagi použité k nasazení aktivována služba Microsoft .NET 3.5.1 SP1. Bitové kopie Windows Serveru 2022 syndikované z Marketplace nemají tuto funkci povolenou a v odpojených prostředích se nemůžou spojit se službou Microsoft Update a stáhnout balíčky pro instalaci přes DISM. Proto musíte vytvořit a použít image Systému Windows Server 2022 s touto funkcí předem povolenou v odpojených nasazeních.
Podrobnosti o vytvoření vlastní image virtuálního počítače a přidání do Marketplace najdete v tématu Přidání vlastní image do služby Azure Stack Hub . Při přidávání image do Marketplace nezapomeňte zadat následující vlastnosti:
- Publisher = MicrosoftWindowsServer
- Nabídka = WindowsServer
- Skladová položka = AppService
- Version = Zadejte nejnovější verzi.
- Rozšíření vlastních skriptů verze 1.9.1 nebo novější Tato položka je rozšířením virtuálního počítače.