Voraussetzungen für das Bereitstellen von App Service unter Azure Stack Hub
Wichtig
Aktualisieren Sie Azure Stack Hub bei Bedarf auf eine unterstützte Version, oder stellen Sie das neueste Azure Stack Development Kit bereit, bevor Sie den App Service-Ressourcenanbieter (Resource provider, RP) bereitstellen oder aktualisieren. Lesen Sie auch die RP-Versionshinweise, um weitere Informationen zu neuen Funktionen, Fehlerbehebungen und bekannten Problemen zu erhalten, die ggf. für Ihre Bereitstellung relevant sind.
Unterstützte Mindestversion von Azure Stack Hub App Service-RP-Version 2301 und höher 2302 Installer (Versionshinweise)
Bevor Sie Azure App Service in Azure Stack Hub bereitstellen, müssen die erforderlichen vorbereitenden Schritte in diesem Artikel ausgeführt werden.
Bevor Sie beginnen
In diesem Abschnitt werden die Voraussetzungen für Bereitstellungen von integrierten Systemen und für ASDK-Bereitstellungen (Azure Stack Development Kit) aufgeführt.
Ressourcenanbietervoraussetzungen
Wenn Sie bereits einen Ressourcenanbieter installiert haben, haben Sie wahrscheinlich alle Schritte für die folgenden Voraussetzungen ausgeführt und können diesen Abschnitt überspringen. Führen Sie andernfalls vor dem Fortfahren diese Schritte aus:
Registrieren Sie Ihre Azure Stack Hub-Instanz in Azure, wenn Sie dies noch nicht getan haben. Dieser Schritt ist erforderlich, weil eine Verbindung mit Azure herstellen und aus Azure Elemente in Marketplace herunterladen.
Wenn Sie nicht mit dem Marketplace-Verwaltung-Feature des Azure Stack Hub-Administratorportals vertraut sind, sollten Sie Herunterladen von Marketplace-Elementen in Azure Stack Hub lesen. In dem Artikel werden Sie durch die Schritte geleitet, mit denen Elemente aus Azure in den Azure Stack Hub-Marketplace heruntergeladen werden. Dieser Artikel gilt sowohl für ein verbundenes als auch für ein nicht verbundenes Szenario. Ist Ihre Azure Stack Hub-Instanz nicht verbunden oder teilweise verbunden, gibt es weitere Voraussetzungen, die zur Vorbereitung auf die Installation erfüllt sein müssen.
Aktualisieren Sie Ihr Microsoft Entra-Startverzeichnis. Ab Build 1910 muss eine neue Anwendung in Ihrem Stammverzeichnismandanten registriert werden. Diese App ermöglicht Azure Stack Hub das erfolgreiche Erstellen und Registrieren neuerer Ressourcenanbieter (z. B. Event Hubs und andere) mit Ihrem Microsoft Entra-Mandanten. Dies ist eine einmalige Aktion, die nach dem Upgrade auf Build 1910 oder höher ausgeführt werden muss. Wird dieser Schritt nicht ausgeführt, tritt bei der Installation von Ressourcenanbietern aus dem Marketplace ein Fehler auf.
- Nachdem Sie Ihre Azure Stack Hub-Instanz erfolgreich auf 1910 oder höher aktualisiert haben, befolgen Sie die Anweisungen zum Klonen/Herunterladen des Azure Stack Hub-Tools-Repository.
- Befolgen Sie dann die Anweisungen zum Aktualisieren des Azure Stack Hub Microsoft Entra Home Directory (nach der Installation von Updates oder neuen Ressourcenanbietern).
Installationsprogramm und Hilfsskripts
Laden Sie die Hilfsskripts für die Bereitstellung von App Service in Azure Stack Hub herunter.
Hinweis
Die Bereitstellungshilfsskripts erfordern das AzureRM-PowerShell-Modul. Installationsdetails finden Sie unter Installieren des PowerShell AzureRM-Moduls für Azure Stack Hub.
Laden Sie das Installationsprogramm für App Service in Azure Stack Hub herunter.
Extrahieren Sie die Dateien aus der ZIP-Datei der Hilfsskripts. Die folgenden Dateien und Ordner werden extrahiert:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Ordner „Modules“
- GraphAPI.psm1
Zertifikate und Serverkonfiguration (integrierte Systeme)
In diesem Abschnitt werden die Voraussetzungen für integrierte Systembereitstellungen aufgeführt.
Zertifikatanforderungen
Um den Ressourcenanbieter in der Produktion ausführen zu können, müssen Sie die folgenden Zertifikate bereitstellen:
- Standarddomänenzertifikat
- API-Zertifikat
- Veröffentlichungszertifikat
- Identitätszertifikat
Zusätzlich zu den in den folgenden Abschnitten aufgeführten speziellen Anforderungen verwenden Sie später ein Tool, um Tests für die allgemeinen Anforderungen durchzuführen. Eine vollständige Liste der Überprüfungen finden Sie unter Überprüfen von Azure Stack Hub-PKI-Zertifikaten, einschließlich:
- Dateiformat von PFX-Dateien
- Auf Server- und Clientauthentifizierung festgelegte Schlüsselverwendung
- und andere
Standarddomänenzertifikat
Das Standarddomänenzertifikat wird der Front-End-Rolle zugeordnet. Benutzer-Apps für Platzhalter- oder Standarddomänenanforderungen an Azure App Service verwenden dieses Zertifikat. Das Zertifikat wird auch für Quellcodeverwaltungsvorgänge (Kudu) verwendet.
Das Zertifikat muss das PFX-Format aufweisen und sollte ein Platzhalterzertifikat mit drei Antragstellern sein. Durch diese Anforderung können sowohl die Standarddomäne als auch der SCM-Endpunkt für Quellcodeverwaltungsvorgänge durch ein einziges Zertifikat abgedeckt werden.
Format | Beispiel |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-Zertifikat
Das API-Zertifikat wird der Verwaltungsrolle zugeordnet. Der Ressourcenanbieter verwendet es zum Schützen von API-Aufrufen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem API-DNS-Eintrag entspricht.
Format | Beispiel |
---|---|
api.appservice.<Region>.<Domänenname>.<Erweiterung> | api.appservice.redmond.azurestack.external |
Veröffentlichungszertifikat
Das Zertifikat für die Herausgeberrolle schützt den FTPS-Datenverkehr für App-Besitzer, wenn diese Inhalte hochladen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem FTPS-DNS-Eintrag entspricht.
Format | Beispiel |
---|---|
ftp.appservice.<Region>.<Domänenname>.<Erweiterung> | ftp.appservice.redmond.azurestack.external |
Identitätszertifikat
Das Zertifikat für die Identitäts-App ermöglicht Folgendes:
- Integration zwischen microsoft Entra ID oder Active Directory-Verbunddienste (AD FS) (AD FS)-Verzeichnis, Azure Stack Hub und App Service zur Unterstützung der Integration mit dem Computeressourcenanbieter.
- Szenarien mit einmaligem Anmelden für die erweiterten Entwicklertools in Azure App Service bei Azure Stack Hub.
Das Zertifikat für die Identität muss einen Antragsteller enthalten und dem folgenden Format entsprechen.
Format | Beispiel |
---|---|
sso.appservice.<Region>.<Domänenname>.<Erweiterung> | sso.appservice.redmond.azurestack.external |
Überprüfen von Zertifikaten
Vor der Bereitstellung des App Service-Ressourcenanbieters sollten Sie die zu verwendenden Zertifikate überprüfen. Verwenden Sie hierfür das Azure Stack Hub Readiness Checker-Tool, das im PowerShell-Katalog zur Verfügung steht. Das Azure Stack Hub Readiness Checker-Tool überprüft, ob die generierten PKI-Zertifikate für die App Service-Bereitstellung geeignet sind.
Als bewährte Methode sollten Sie bei der Arbeit mit einem der erforderlichen Azure Stack Hub-PKI-Zertifikate ausreichend Zeit zum Testen und (falls erforderlich) erneuten Ausstellen von Zertifikaten einplanen.
Vorbereiten des Dateiservers
Azure App Service erfordert die Verwendung eines Dateiservers. Für Produktionsbereitstellungen muss der Dateiserver für Hochverfügbarkeit konfiguriert und in der Lage sein, Fehler zu beheben.
Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server
Eine Referenzarchitektur-Schnellstartvorlage ist jetzt verfügbar, mit der ein Dateiserver und eine SQL Server-Instanz bereitgestellt werden. Diese Vorlage unterstützt die Active Directory-Infrastruktur in einem virtuellen Netzwerk, das für die Unterstützung einer hoch verfügbaren Bereitstellung von Azure App Service unter Azure Stack Hub konfiguriert ist.
Wichtig
Diese Vorlage wird als Referenz oder Beispiel angeboten, wie Sie die Voraussetzungen bereitstellen können. Da der Azure Stack Hub-Operator diese Server verwaltet, sollten Sie besonders in Produktionsumgebungen die Vorlage nach Bedarf oder Vorgabe Ihrer Organisation konfigurieren.
Hinweis
Die integrierte Systeminstanz muss in der Lage sein, Ressourcen von GitHub herunterzuladen, um die Bereitstellung abzuschließen.
Schritte zum Bereitstellen eines benutzerdefinierten Dateiservers
Wichtig
Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss der Dateiserver in einem anderen Subnetz als App Service bereitgestellt werden.
Hinweis
Wenn Sie sich für die Bereitstellung eines Dateiservers mit einer der oben erwähnten Schnellstartvorlagen entschieden haben, können Sie diesen Abschnitt überspringen, da die Dateiserver im Rahmen der Vorlagenbereitstellung konfiguriert werden.
Bereitstellen von Gruppen und Konten in Active Directory
Erstellen Sie die folgenden globalen Active Directory-Sicherheitsgruppen:
- FileShareOwners
- FileShareUsers
Erstellen Sie die folgenden Active Directory-Konten als Dienstkonten:
- FileShareOwner
- FileShareUser
Als bewährte Sicherheitsmethode wird empfohlen, eindeutige Benutzer für diese Konten (und für alle Webrollen) sowie sichere Benutzernamen und Kennwörter zu verwenden. Legen Sie die Kennwörter mit den folgenden Bedingungen fest:
- Aktivieren Sie Kennwort läuft nie ab.
- Aktivieren Sie Benutzer kann Kennwort nicht ändern.
- Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
Fügen Sie die Konten wie folgt Gruppen als Mitglieder hinzu:
- Fügen Sie FileShareOwner der Gruppe FileShareOwners hinzu.
- Fügen Sie FileShareUser der Gruppe FileShareUsers hinzu.
Bereitstellen von Gruppen und Konten in einer Arbeitsgruppe
Hinweis
Wenn Sie einen Dateiserver konfigurieren, führen Sie die folgenden Befehle an einer Administratoreingabeaufforderung aus.
Verwenden Sie nicht PowerShell.
Wenn Sie die Azure Resource Manager-Vorlage verwenden, wurden die Benutzer bereits erstellt.
Führen Sie die folgenden Befehle aus, um die Konten FileShareOwner und FileShareUser zu erstellen. Ersetzen Sie
<password>
durch Ihre eigenen Werte.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Legen Sie für die Kennwörter der Konten fest, dass sie nie ablaufen, indem Sie die folgenden WMIC-Befehle ausführen:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Erstellen Sie die lokalen Gruppen „FileShareUsers“ und „FileShareOwners“, und fügen Sie diesen die Konten aus dem ersten Schritt hinzu:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Bereitstellen der Inhaltsfreigabe
Die Inhaltsfreigabe enthält die Websiteinhalte des Mandanten. Das Verfahren zum Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver ist für Active Directory- und Arbeitsgruppenumgebungen identisch. Für einen Failovercluster in Active Directory wird jedoch ein anderes Verfahren verwendet.
Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver (Active Directory oder Arbeitsgruppe)
Führen Sie auf einem einzelnen Dateiserver die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. Ersetzen Sie den Wert für C:\WebSites
durch die entsprechenden Pfade in Ihrer Umgebung.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurieren der Zugriffssteuerung für die Freigaben
Führen Sie die folgenden Befehle auf dem Dateiserver an einer Eingabeaufforderung mit erhöhten Rechten oder auf dem Failoverclusterknoten aus, der zurzeit der Besitzer der Clusterressource ist. Ersetzen Sie die kursiven Werte durch die Werte für Ihre Umgebung.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Arbeitsgruppe
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Vorbereiten der SQL Server-Instanz
Hinweis
Wenn Sie sich für die Bereitstellung der Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server entschieden haben, können Sie diesen Abschnitt überspringen, da SQL Server mit der Vorlage in einer Konfiguration für Hochverfügbarkeit bereitgestellt und konfiguriert wird.
Für die Hosting- und Messdatenbanken von Azure App Service in Azure Stack Hub müssen Sie eine SQL Server-Instanz für die App Service-Datenbanken vorbereiten.
Für die Produktion und Lösungen mit Hochverfügbarkeit sollten Sie eine Vollversion von SQL Server 2014 SP2 oder höher verwenden, Authentifizierung im gemischten Modus aktivieren und die Bereitstellung in einer Hochverfügbarkeitskonfiguration durchführen.
Auf die SQL Server-Instanz für Azure App Service in Azure Stack Hub muss von allen App Service-Rollen zugegriffen werden können. Sie können SQL Server im Standardabonnement des Anbieters in Azure Stack Hub bereitstellen. Alternativ können Sie die vorhandene Infrastruktur in Ihrer Organisation nutzen (sofern eine Verbindung mit Azure Stack Hub besteht). Denken Sie bei Verwendung eines Azure Marketplace-Images daran, die Firewall entsprechend zu konfigurieren.
Hinweis
Eine Reihe von Images für SQL-IaaS-VMs sind über das Marketplace-Verwaltungsfeature verfügbar. Achten Sie darauf, immer die neueste Version der SQL-IaaS-Erweiterung herunterzuladen, bevor Sie eine VM mit einem Marketplace-Artikel bereitstellen. Die SQL-Images sind mit den in Azure verfügbaren SQL-VMs identisch. Für virtuelle SQL-Computer, die mit diesen Images erstellt werden, stellen die IaaS-Erweiterung und die zugehörigen Portalerweiterungen Features wie das automatische Patchen und Sicherungsfunktionen bereit.
Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie den SQL Server-Browserdienst manuell starten und Port 1434 öffnen.
Das App Service-Installationsprogramm überprüft, ob für die SQL Server-Instanz die Datenbankeigenständigkeit aktiviert ist. Führen Sie die folgenden SQL-Befehle aus, um die Datenbankeigenständigkeit für die SQL Server-Instanz zu aktivieren, die als Host für die App Service-Datenbanken fungiert:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Zertifikate und Serverkonfiguration (ASDK)
In diesem Abschnitt werden die Voraussetzungen für ASDK-Bereitstellungen aufgeführt.
Erforderliche Zertifikate für die ASDK-Bereitstellung von Azure App Service
Das Skript Create-AppServiceCerts.ps1 erstellt zusammen mit der Azure Stack Hub-Zertifizierungsstelle die vier Zertifikate, die App Service benötigt.
Dateiname | Zweck |
---|---|
_.appservice.local.azurestack.external.pfx | Kennwort für App Service- |
api.appservice.local.azurestack.external.pfx | SSL-Zertifikat für App Service-API |
ftp.appservice.local.azurestack.external.pfx | SSL-Zertifikat für App Service-Herausgeber |
sso.appservice.local.azurestack.external.pfx | Zertifikat der App Service-Identitätsanwendung |
Um die Zertifikate zu erstellen, gehen Sie folgendermaßen vor:
- Melden Sie sich am ASDK-Host an, indem Sie das Konto „AzureStack\AzureStackAdmin“ verwenden.
- Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
- Führen Sie das Skript Create-AppServiceCerts.ps1 in dem Ordner aus, in den Sie die Hilfsskripts extrahiert haben. Dieses Skript erstellt im gleichen Ordner wie das Skript vier Zertifikate, das App Service zum Erstellen von Zertifikaten benötigt.
- Geben Sie ein Kennwort ein, um die PFX-Dateien zu schützen, und notieren Sie das Kennwort. Sie müssen es im Installationsprogramm für App Service in Azure Stack Hub später eingeben.
Parameter des Skripts „Create-AppServiceCerts.ps1“
Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
---|---|---|---|
pfxPassword | Erforderlich | Null | Kennwort zum Schutz des privaten Zertifikatschlüssels |
DomainName | Erforderlich | local.azurestack.external | Azure Stack Hub-Region und Domänensuffix |
Schnellstartvorlage für den Dateiserver für Bereitstellungen von Azure App Service im ASDK.
Nur für ASDK-Bereitstellungen können Sie die Azure Resource Manager-Bereitstellungsbeispielvorlage verwenden, um einen konfigurierten Einzelknoten-Dateiserver bereitzustellen. Der Einzelknoten-Dateiserver wird sich in einer Arbeitsgruppe befinden.
Hinweis
Die ASDK-Instanz muss in der Lage sein, Ressourcen von GitHub herunterzuladen, um die Bereitstellung abzuschließen.
SQL Server-Instanz
Für die Hosting- und Messdatenbanken von Azure App Service in Azure Stack Hub müssen Sie eine SQL Server-Instanz für die App Service-Datenbanken vorbereiten.
Für ASDK-Bereitstellungen können Sie SQL Server Express 2014 SP2 oder höher verwenden. SQL Server muss so konfiguriert sein, dass die Authentifizierung im gemischten Modus unterstützt wird, weil App Service unter Azure Stack Hub die Windows-Authentifizierung NICHT unterstützt.
Auf die SQL Server-Instanz für Azure App Service in Azure Stack Hub muss von allen App Service-Rollen zugegriffen werden können. Sie können SQL Server im Standardabonnement des Anbieters in Azure Stack Hub bereitstellen. Alternativ können Sie die vorhandene Infrastruktur in Ihrer Organisation nutzen (sofern eine Verbindung mit Azure Stack Hub besteht). Denken Sie bei Verwendung eines Azure Marketplace-Images daran, die Firewall entsprechend zu konfigurieren.
Hinweis
Eine Reihe von Images für SQL-IaaS-VMs sind über das Marketplace-Verwaltungsfeature verfügbar. Achten Sie darauf, immer die neueste Version der SQL-IaaS-Erweiterung herunterzuladen, bevor Sie eine VM mit einem Marketplace-Artikel bereitstellen. Die SQL-Images sind mit den in Azure verfügbaren SQL-VMs identisch. Für virtuelle SQL-Computer, die mit diesen Images erstellt werden, stellen die IaaS-Erweiterung und die zugehörigen Portalerweiterungen Features wie das automatische Patchen und Sicherungsfunktionen bereit.
Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie den SQL Server-Browserdienst manuell starten und Port 1434 öffnen.
Das App Service-Installationsprogramm überprüft, ob für die SQL Server-Instanz die Datenbankeigenständigkeit aktiviert ist. Führen Sie die folgenden SQL-Befehle aus, um die Datenbankeigenständigkeit für die SQL Server-Instanz zu aktivieren, die als Host für die App Service-Datenbanken fungiert:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Lizenzierungsaspekte im Zusammenhang mit erforderlichem Dateiserver und SQL Server
Für Azure App Service in Azure Stack Hub sind ein Dateiserver und eine SQL Server-Instanz erforderlich. Sie können bereits vorhandene Ressourcen außerhalb Ihrer Azure Stack Hub-Bereitstellung verwenden oder Ressourcen unter dem zugehörigen Azure Stack Hub-Standardabonnement des Anbieters bereitstellen.
Wenn Sie sich für die Bereitstellung der Ressourcen innerhalb ihres Azure Stack Hub-Standardabonnements des Anbieters entscheiden, sind die Lizenzen für diese Ressourcen (Windows Server-Lizenzen und SQL Server-Lizenzen) unter folgenden Voraussetzungen in den Kosten von Azure App Service in Azure Stack Hub enthalten:
- Die Infrastruktur wurde im Standardabonnements des Anbieters bereitgestellt.
- Die Infrastruktur wird ausschließlich von Azure App Service im Azure Stack Hub-Ressourcenanbieter verwendet. Keine anderen Arbeitslasten, administrative (andere Ressourcenanbieter, z. B. SQL-RP) oder Mandant (z. B. Mandanten-Apps, die eine Datenbank erfordern), dürfen diese Infrastruktur nutzen.
Betriebsverantwortlichkeit von Datei- und SQL-Servern
Cloudoperatoren sind für die Verwaltung und den Betrieb des Dateiservers und von SQL Server verantwortlich. Der Ressourcenanbieter verwaltet diese Ressourcen nicht. Der Cloudoperator ist für das Sichern der App Service-Datenbanken und der Mandanten-Inhaltsdateifreigabe verantwortlich.
Abrufen des Azure Resource Manager-Stammzertifikats für Azure Stack Hub
Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten auf einem Computer, der den privilegierten Endpunkt für das in Azure Stack Hub integrierte System oder den ASDK-Host erreichen kann.
Führen Sie das Skript Get-AzureStackRootCert.ps1 in dem Ordner aus, in den Sie die Hilfsskripts extrahiert haben. Das Skript erstellt in dem Ordner des Skripts, das App Service zum Erstellen von Zertifikaten benötigt, ein Stammzertifikat.
Wenn Sie den folgenden PowerShell-Befehl ausführen, müssen Sie den privilegierten Endpunkt und die Anmeldeinformationen für „AzureStack\CloudAdmin“ angeben.
Get-AzureStackRootCert.ps1
Parameter des Skripts „Get-AzureStackRootCert.ps1“
Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
---|---|---|---|
PrivilegedEndpoint | Erforderlich | AzS-ERCS01 | Privilegierter Endpunkt |
CloudAdminCredential | Erforderlich | AzureStack\CloudAdmin | Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren |
Netzwerk- und Identitätskonfiguration
Virtuelles Netzwerk
Hinweis
Die Voraberstellung eines benutzerdefinierten virtuellen Netzwerks ist optional. Azure App Service in Azure Stack Hub kann das erforderliche virtuelle Netzwerk erstellen, muss dann aber über öffentliche IP-Adressen mit SQL und dem Dateiserver kommunizieren. Wenn Sie den App Service HA-Dateiserver und die SQL Server-Schnellstartvorlage verwenden, um die erforderlichen SQL- und Dateiserverressourcen bereitzustellen, wird von der Vorlage auch ein virtuelles Netzwerk bereitgestellt.
Mit Azure App Service in Azure Stack Hub können Sie den Ressourcenanbieter in einem vorhandenen virtuellen Netzwerk bereitstellen oder ein virtuelles Netzwerk als Teil der Bereitstellung erstellen. Die Nutzung eines vorhandenen virtuellen Netzwerks ermöglicht die Verwendung von internen IP-Adressen zum Herstellen der Verbindung mit dem Dateiserver und dem Computer mit SQL Server, die für Azure App Service in Azure Stack Hub erforderlich sind. Das virtuelle Netzwerk muss vor der Installation von Azure App Service in Azure Stack Hub mit dem folgenden Adressbereich und den folgenden Subnetzen konfiguriert werden:
Virtual Network /16
Subnetze
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Wichtig
Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss die SQL Server-Instanz in einem anderen Subnetz als für App Service und den Dateiserver bereitgestellt werden.
Erstellen einer Identitätsanwendung zum Aktivieren von SSO-Szenarien
Azure App Service verwendet eine Identitätsanwendung (Dienstprinzipal), um die folgenden Vorgänge zu unterstützen:
- Integration von VM-Skalierungsgruppen auf Workerebenen
- Einmaliges Anmelden (Single Sign-On, SSO) für das Azure Functions-Portal und erweiterte Entwicklertools (Kudu).
Je nachdem, welchen Identitätsanbieter der Azure Stack Hub verwendet, müssen Sie die Microsoft Entra-ID oder Active Directory-Verbunddienste (AD FS) (ADFS) befolgen, um den Dienstprinzipal für die Verwendung durch den Azure-App Azure Stack Hub-Ressourcenanbieter zu erstellen.
Erstellen einer Microsoft Entra-App
Führen Sie die folgenden Schritte aus, um den Dienstprinzipal in Ihrem Microsoft Entra-Mandanten zu erstellen:
- Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
- Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
- Installieren von PowerShell für Azure Stack Hub
- Führen Sie das Skript Create-AADIdentityApp.ps1 aus. Wenn Sie dazu aufgefordert werden, geben Sie die Microsoft Entra-Mandanten-ID ein, die Sie für Ihre Azure Stack Hub-Bereitstellung verwenden. Geben Sie beispielsweise myazurestack.onmicrosoft.com ein.
- Geben Sie im Fenster "Anmeldeinformationen " Ihr Microsoft Entra-Dienstadministratorkonto und Das Kennwort ein. Wählen Sie OK aus.
- Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
- Notieren Sie sich die Anwendungs-ID, die in der PowerShell-Ausgabe zurückgegeben wird. Mit der ID in den folgenden Schritten erteilen Sie die Zustimmung für die Berechtigungen der Anwendung und während der Installation.
- Öffnen Sie ein neues Browserfenster, und melden Sie sich beim Azure-Portal als Microsoft Entra-Dienstadministrator an.
- Öffnen Sie den Microsoft Entra-Dienst.
- Wählen Sie im linken Bereich die Option App-Registrierungen aus.
- Suchen Sie nach der Anwendungs-ID, die Sie in Schritt 7 notiert haben.
- Wählen Sie in der Liste die App Service-Anwendungsregistrierung aus.
- Wählen Sie im linken Bereich API-Berechtigungen aus.
- Wählen Sie "Administratorzustimmung für <Mandanten> erteilen" aus, wobei <der Mandant> der Name Ihres Microsoft Entra-Mandanten ist. Bestätigen Sie die Gewährung der Zustimmung, indem Sie Ja auswählen.
Create-AADIdentityApp.ps1
Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
---|---|---|---|
DirectoryTenantName | Erforderlich | Null | Microsoft Entra-Mandanten-ID Geben Sie die GUID oder Zeichenfolge an. Beispiel: myazureaaddirectory.onmicrosoft.com |
AdminArmEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external |
TenantARMEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Mandanten Beispiel: management.local.azurestack.external |
AzureStackAdminCredential | Erforderlich | Null | Anmeldeinformationen des Microsoft Entra-Dienstadministrators. |
CertificateFilePath | Erforderlich | Null | Vollständiger Pfad zur zuvor generierten Zertifikatsdatei für die Identitätsanwendung |
CertificatePassword | Erforderlich | Null | Kennwort zum Schutz des privaten Zertifikatschlüssels |
Environment | Optional | AzureCloud | Der Name der unterstützten Cloudumgebung, in welcher der Azure Active Directory-Zielgraphdienst verfügbar ist Zulässige Werte: „AzureCloud“, „AzureChinaCloud“, „AzureUSGovernment“, „AzureGermanCloud“. |
Erstellen einer ADFS-App
- Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
- Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
- Installieren von PowerShell für Azure Stack Hub
- Führen Sie das Skript Create-ADFSIdentityApp.ps1 aus.
- Geben Sie im Fenster Anmeldeinformationen das Administratorkonto und -kennwort Ihrer AD FS-Cloud ein. Wählen Sie OK aus.
- Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
---|---|---|---|
AdminArmEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external |
PrivilegedEndpoint | Erforderlich | Null | Privilegierter Endpunkt, Beispiel: AzS-ERCS01 |
CloudAdminCredential | Erforderlich | Null | Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren. Beispiel: Azurestack\CloudAdmin |
CertificateFilePath | Erforderlich | Null | Vollständiger Pfad zur PFX-Zertifikatsdatei der Identitätsanwendung |
CertificatePassword | Erforderlich | Null | Kennwort zum Schutz des privaten Zertifikatschlüssels |
Herunterladen von Elementen aus dem Azure Marketplace
Für Azure App Service in Azure Stack Hub müssen Elemente aus dem Azure Marketplace heruntergeladen werden, sodass sie im Azure Stack Hub-Marketplace verfügbar sind. Die Elemente müssen heruntergeladen werden, bevor mit der Bereitstellung oder dem Upgrade von Azure App Service in Azure Stack Hub begonnen wird:
Wichtig
Windows Server Core ist kein unterstütztes Plattformimage für die Verwendung mit Azure App Service in Azure Stack Hub.
Verwenden Sie Evaluierungsimages nicht für Produktionsbereitstellungen.
- Die neueste Version des Windows Server 2022 Datacenter VM-Images.
Windows Server 2022 Datacenter Full VM image with Microsoft.Net 3.5.1 SP1 activated. Für Azure App Service in Azure Stack Hub wird vorausgesetzt, dass im Image für die Bereitstellung Microsoft .NET 3.5.1 SP1 aktiviert ist. Marketplace-syndizierte Windows Server 2022-Images verfügen nicht über dieses Feature, und in getrennten Umgebungen kann Microsoft Update nicht erreichen, um die Pakete herunterzuladen, die über DISM installiert werden. Daher müssen Sie ein Windows Server 2022-Image erstellen und verwenden, bei dem dieses Feature vorab mit getrennten Bereitstellungen aktiviert ist.
Ausführliche Informationen zum Erstellen eines benutzerdefinierten Images und zum Hinzufügen zum Marketplace finden Sie unter Hinzufügen eines benutzerdefinierten VM-Images zu Azure Stack Hub. Geben Sie beim Hinzufügen des Images zum Marketplace unbedingt die folgenden Eigenschaften an:
- Herausgeber: MicrosoftWindowsServer
- Angebot: WindowsServer
- SKU = AppService
- Version: Geben Sie die aktuelle Version an.
- Benutzerdefinierte Skripterweiterung v1.9.1 oder höher. Dieses Element ist eine VM-Erweiterung.
Nächste Schritte
Hinzufügen eines App Service-Ressourcenanbieters zu Azure Stack