Příprava na host rozšíření v Azure Stack Hub
Hostitel rozšíření zabezpečuje Službu Azure Stack Hub snížením počtu požadovaných portů TCP/IP. Tento článek popisuje, jak připravit Službu Azure Stack Hub na hostitele rozšíření, který je automaticky povolený prostřednictvím balíčku aktualizací služby Azure Stack Hub po aktualizaci 1808. Tento článek se týká aktualizací služby Azure Stack Hub 1808, 1809 a 1811.
Požadavky na certifikáty
Hostitel rozšíření implementuje dva nové obory názvů domény, které zaručují jedinečné položky hostitele pro každé rozšíření portálu. Nové doménové prostory jmen vyžadují dva další certifikáty se zástupnými znaky k zajištění zabezpečené komunikace.
V tabulce jsou uvedeny nové obory názvů a přidružené certifikáty:
| Nasazovací složka | Požadovaný subjekt certifikátu a alternativní názvy subjektu (SAN) | Rozsah (podle oblasti) | Jmenný prostor subdomény |
|---|---|---|---|
| Hostitel rozšíření správce | *.adminhosting.<oblasti>.<fqdn> (certifikáty SSL se zástupnými znaky) | Hostitel rozšíření pro správce | adminhosting.<oblasti>.<plně kvalifikovaného názvu domény> |
| Hostitel veřejného rozšíření | *.hosting.<regionu>.<fqdn> (certifikáty SSL se zástupnými znaky) | Veřejný hostitel rozšíření | hostování.<oblasti>.> plně kvalifikovaného názvu domény< |
Podrobné požadavky na certifikát najdete v tématu požadavky na certifikát infrastruktury veřejných klíčů služby Azure Stack Hub.
Vytvoření žádosti o podepsání certifikátu
Nástroj Azure Stack Hub Readiness Checker umožňuje vytvořit žádost o podepsání certifikátu pro dva nové a požadované certifikáty SSL. Postupujte podle kroků v článku generování žádostí o podepsání certifikátů služby Azure Stack Hub.
Poznámka
Tento krok můžete přeskočit v závislosti na tom, jak jste si vyžádali certifikáty SSL.
Ověření nových certifikátů
Otevřete PowerShell se zvýšenými oprávněními na hostiteli životního cyklu hardwaru nebo pracovní stanici pro správu služby Azure Stack Hub.
Spuštěním následující rutiny nainstalujte nástroj Azure Stack Hub Readiness Checker:
Install-Module -Name Microsoft.AzureStack.ReadinessCheckerSpuštěním následujícího skriptu vytvořte požadovanou strukturu složek:
New-Item C:\Certificates -ItemType Directory $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host' $destination = 'c:\certificates' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Poznámka
Pokud nasadíte pomocí služby Ad FS (Microsoft Entra ID Federated Services), musí být do $directories ve skriptu přidány následující adresáře:
ADFS,Graph.Existující certifikáty, které aktuálně používáte ve službě Azure Stack Hub, umístěte do příslušných adresářů. Například vložte certifikát ARM admin do složky
Arm Admin. Nově vytvořené hostitelské certifikáty pak vložte doAdmin extension hostaPublic extension hostadresářů.Spuštěním následující rutiny spusťte kontrolu certifikátu:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADVe výstupu zkontrolujte, jestli všechny certifikáty projdou všemi testy.
Import certifikátů hostitele rozšíření
Pro další kroky použijte počítač, který se může připojit k privilegovanému koncovému bodu služby Azure Stack Hub. Ujistěte se, že máte přístup k novým souborům certifikátů z tohoto počítače.
Pro další kroky použijte počítač, který se může připojit k privilegovanému koncovému bodu služby Azure Stack Hub. Ujistěte se, že máte přístup k novým souborům certifikátů z tohoto počítače.
Otevřete prostředí PowerShell ISE a spusťte další bloky skriptu.
Importujte certifikát pro koncový bod hostování správce.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($AdminHostingCertContent, $CertPassword) ` -ScriptBlock { param($AdminHostingCertContent, $CertPassword) Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword }Importujte certifikát pro koncový bod hostování:
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($HostingCertContent, $CertPassword) ` -ScriptBlock { param($HostingCertContent, $CertPassword) Import-UserHostingServiceCert $HostingCertContent $certPassword }
Aktualizace konfigurace DNS
Poznámka
Tento krok se nevyžaduje, pokud jste pro integraci DNS použili delegování zóny DNS.
Pokud jsou jednotlivé záznamy hostitele A nakonfigurované pro publikování koncových bodů služby Azure Stack Hub, musíte vytvořit dva další záznamy hostitele A:
| IP | Název hostitele | Typ |
|---|---|---|
| <IP> | *. Adminhosting.<oblast>.<plně kvalifikovaný název domény> | A |
| <IP> | *. Hostování.<oblast>.<plně kvalifikovaný název domény> | A |
Přidělené IP adresy je možné načíst pomocí privilegovaného koncového bodu spuštěním rutiny Get-AzureStackStampInformation.
Porty a protokoly
Článek Integrace datového centra služby Azure Stack Hub – Zpřístupnění koncových bodů se zabývá porty a protokoly, které vyžadují příchozí komunikaci ke zpřístupnění Azure Stack Hub před nasazením hostitele rozšíření.
Publikování nových koncových bodů
Pro publikování prostřednictvím brány firewall se vyžadují dva nové koncové body. Přidělené IP adresy z veřejného fondu VIP lze načíst pomocí následujícího kódu, který musí být spuštěn z privilegovaného koncového bodu ve vašem prostředí Azure Stack Hub .
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}}, @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}}, @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
Write-Host "Can access AZS DNS" -ForegroundColor Green
$AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
$AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession
Ukázkový výstup
Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
Poznámka
Před povolením hostitele rozšíření proveďte tuto změnu. Díky tomu budou portály azure Stack Hub nepřetržitě přístupné.
| Koncový bod (VIP) | Protokol | Přístavy |
|---|---|---|
| Hostování správců | HTTPS | 443 |
| Hostování | HTTPS | 443 |
Aktualizace existujících pravidel publikování (po povolení hostitele rozšíření)
Poznámka
Balíček aktualizací služby Azure Stack Hub 1808 zatím nepovoluje hostitele rozšíření. Umožňuje připravit se na hostitele rozšíření importem požadovaných certifikátů. Nezavírejte žádné porty, než se hostitel rozšíření automaticky povolí prostřednictvím balíčku aktualizace služby Azure Stack Hub po aktualizaci 1808.
V existujících pravidlech brány firewall musí být zavřené následující existující porty koncového bodu.
Poznámka
Po úspěšném ověření doporučujeme tyto porty zavřít.
| Koncový bod (VIP) | Protokol | Přístavy |
|---|---|---|
| Portál (správce) | HTTPS | 12495 12499 12646 12647 12648 12649 12650 13001 13003 13010 13011 13012 13020 13021 13026 30015 |
| Portál (uživatel) | HTTPS | 12495 12649 13001 13010 13011 13012 13020 13021 30015 13003 |
| Azure Resource Manager (správce) | HTTPS | 30024 |
| Azure Resource Manager (uživatel) | HTTPS | 30024 |
Další kroky
- Zjistěte více o integraci brány firewall .
- Přečtěte si o generování žádostí o podepsání certifikátů služby Azure Stack Hub.