Freigeben über


Voraussetzungen für das Bereitstellen von App Service unter Azure Stack Hub

Wichtig

Aktualisieren Sie Azure Stack Hub bei Bedarf auf eine unterstützte Version, oder stellen Sie das neueste Azure Stack Development Kit bereit, bevor Sie den App Service-Ressourcenanbieter (Resource provider, RP) bereitstellen oder aktualisieren. Lesen Sie auch die RP-Versionshinweise, um weitere Informationen zu neuen Funktionen, Fehlerbehebungen und bekannten Problemen zu erhalten, die ggf. für Ihre Bereitstellung relevant sind.

Unterstützte Mindestversion von Azure Stack Hub App Service-RP-Version
2301 und höher 2302 Installer (Versionshinweise)

Bevor Sie Azure App Service in Azure Stack Hub bereitstellen, müssen die erforderlichen vorbereitenden Schritte in diesem Artikel ausgeführt werden.

Bevor Sie beginnen

In diesem Abschnitt werden die Voraussetzungen für Bereitstellungen von integrierten Systemen und für ASDK-Bereitstellungen (Azure Stack Development Kit) aufgeführt.

Ressourcenanbietervoraussetzungen

Wenn Sie bereits einen Ressourcenanbieter installiert haben, haben Sie wahrscheinlich alle Schritte für die folgenden Voraussetzungen ausgeführt und können diesen Abschnitt überspringen. Führen Sie andernfalls vor dem Fortfahren diese Schritte aus:

  1. Registrieren Sie Ihre Azure Stack Hub-Instanz in Azure, wenn Sie dies noch nicht getan haben. Dieser Schritt ist erforderlich, weil eine Verbindung mit Azure herstellen und aus Azure Elemente in Marketplace herunterladen.

  2. Wenn Sie nicht mit dem Marketplace-Verwaltung-Feature des Azure Stack Hub-Administratorportals vertraut sind, sollten Sie Herunterladen von Marketplace-Elementen in Azure Stack Hub lesen. In dem Artikel werden Sie durch die Schritte geleitet, mit denen Elemente aus Azure in den Azure Stack Hub-Marketplace heruntergeladen werden. Dieser Artikel gilt sowohl für ein verbundenes als auch für ein nicht verbundenes Szenario. Ist Ihre Azure Stack Hub-Instanz nicht verbunden oder teilweise verbunden, gibt es weitere Voraussetzungen, die zur Vorbereitung auf die Installation erfüllt sein müssen.

  3. Aktualisieren Sie Ihr Microsoft Entra-Startverzeichnis. Ab Build 1910 muss eine neue Anwendung in Ihrem Stammverzeichnismandanten registriert werden. Diese App ermöglicht Azure Stack Hub das erfolgreiche Erstellen und Registrieren neuerer Ressourcenanbieter (z. B. Event Hubs und andere) mit Ihrem Microsoft Entra-Mandanten. Dies ist eine einmalige Aktion, die nach dem Upgrade auf Build 1910 oder höher ausgeführt werden muss. Wird dieser Schritt nicht ausgeführt, tritt bei der Installation von Ressourcenanbietern aus dem Marketplace ein Fehler auf.

Installationsprogramm und Hilfsskripts

  1. Laden Sie die Hilfsskripts für die Bereitstellung von App Service in Azure Stack Hub herunter.

    Hinweis

    Die Bereitstellungshilfsskripts erfordern das AzureRM-PowerShell-Modul. Installationsdetails finden Sie unter Installieren des PowerShell AzureRM-Moduls für Azure Stack Hub.

  2. Laden Sie das Installationsprogramm für App Service in Azure Stack Hub herunter.

  3. Extrahieren Sie die Dateien aus der ZIP-Datei der Hilfsskripts. Die folgenden Dateien und Ordner werden extrahiert:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Ordner „Modules“
      • GraphAPI.psm1

Zertifikate und Serverkonfiguration (integrierte Systeme)

In diesem Abschnitt werden die Voraussetzungen für integrierte Systembereitstellungen aufgeführt.

Zertifikatanforderungen

Um den Ressourcenanbieter in der Produktion ausführen zu können, müssen Sie die folgenden Zertifikate bereitstellen:

  • Standarddomänenzertifikat
  • API-Zertifikat
  • Veröffentlichungszertifikat
  • Identitätszertifikat

Zusätzlich zu den in den folgenden Abschnitten aufgeführten speziellen Anforderungen verwenden Sie später ein Tool, um Tests für die allgemeinen Anforderungen durchzuführen. Eine vollständige Liste der Überprüfungen finden Sie unter Überprüfen von Azure Stack Hub-PKI-Zertifikaten, einschließlich:

  • Dateiformat von PFX-Dateien
  • Auf Server- und Clientauthentifizierung festgelegte Schlüsselverwendung
  • und andere

Standarddomänenzertifikat

Das Standarddomänenzertifikat wird der Front-End-Rolle zugeordnet. Benutzer-Apps für Platzhalter- oder Standarddomänenanforderungen an Azure App Service verwenden dieses Zertifikat. Das Zertifikat wird auch für Quellcodeverwaltungsvorgänge (Kudu) verwendet.

Das Zertifikat muss das PFX-Format aufweisen und sollte ein Platzhalterzertifikat mit drei Antragstellern sein. Durch diese Anforderung können sowohl die Standarddomäne als auch der SCM-Endpunkt für Quellcodeverwaltungsvorgänge durch ein einziges Zertifikat abgedeckt werden.

Format Beispiel
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

API-Zertifikat

Das API-Zertifikat wird der Verwaltungsrolle zugeordnet. Der Ressourcenanbieter verwendet es zum Schützen von API-Aufrufen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem API-DNS-Eintrag entspricht.

Format Beispiel
api.appservice.<Region>.<Domänenname>.<Erweiterung> api.appservice.redmond.azurestack.external

Veröffentlichungszertifikat

Das Zertifikat für die Herausgeberrolle schützt den FTPS-Datenverkehr für App-Besitzer, wenn diese Inhalte hochladen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem FTPS-DNS-Eintrag entspricht.

Format Beispiel
ftp.appservice.<Region>.<Domänenname>.<Erweiterung> ftp.appservice.redmond.azurestack.external

Identitätszertifikat

Das Zertifikat für die Identitäts-App ermöglicht Folgendes:

  • Integration zwischen microsoft Entra ID oder Active Directory-Verbunddienste (AD FS) (AD FS)-Verzeichnis, Azure Stack Hub und App Service zur Unterstützung der Integration mit dem Computeressourcenanbieter.
  • Szenarien mit einmaligem Anmelden für die erweiterten Entwicklertools in Azure App Service bei Azure Stack Hub.

Das Zertifikat für die Identität muss einen Antragsteller enthalten und dem folgenden Format entsprechen.

Format Beispiel
sso.appservice.<Region>.<Domänenname>.<Erweiterung> sso.appservice.redmond.azurestack.external

Überprüfen von Zertifikaten

Vor der Bereitstellung des App Service-Ressourcenanbieters sollten Sie die zu verwendenden Zertifikate überprüfen. Verwenden Sie hierfür das Azure Stack Hub Readiness Checker-Tool, das im PowerShell-Katalog zur Verfügung steht. Das Azure Stack Hub Readiness Checker-Tool überprüft, ob die generierten PKI-Zertifikate für die App Service-Bereitstellung geeignet sind.

Als bewährte Methode sollten Sie bei der Arbeit mit einem der erforderlichen Azure Stack Hub-PKI-Zertifikate ausreichend Zeit zum Testen und (falls erforderlich) erneuten Ausstellen von Zertifikaten einplanen.

Vorbereiten des Dateiservers

Azure App Service erfordert die Verwendung eines Dateiservers. Für Produktionsbereitstellungen muss der Dateiserver für Hochverfügbarkeit konfiguriert und in der Lage sein, Fehler zu beheben.

Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server

Eine Referenzarchitektur-Schnellstartvorlage ist jetzt verfügbar, mit der ein Dateiserver und eine SQL Server-Instanz bereitgestellt werden. Diese Vorlage unterstützt die Active Directory-Infrastruktur in einem virtuellen Netzwerk, das für die Unterstützung einer hoch verfügbaren Bereitstellung von Azure App Service unter Azure Stack Hub konfiguriert ist.

Wichtig

Diese Vorlage wird als Referenz oder Beispiel angeboten, wie Sie die Voraussetzungen bereitstellen können. Da der Azure Stack Hub-Operator diese Server verwaltet, sollten Sie besonders in Produktionsumgebungen die Vorlage nach Bedarf oder Vorgabe Ihrer Organisation konfigurieren.

Hinweis

Die integrierte Systeminstanz muss in der Lage sein, Ressourcen von GitHub herunterzuladen, um die Bereitstellung abzuschließen.

Schritte zum Bereitstellen eines benutzerdefinierten Dateiservers

Wichtig

Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss der Dateiserver in einem anderen Subnetz als App Service bereitgestellt werden.

Hinweis

Wenn Sie sich für die Bereitstellung eines Dateiservers mit einer der oben erwähnten Schnellstartvorlagen entschieden haben, können Sie diesen Abschnitt überspringen, da die Dateiserver im Rahmen der Vorlagenbereitstellung konfiguriert werden.

Bereitstellen von Gruppen und Konten in Active Directory
  1. Erstellen Sie die folgenden globalen Active Directory-Sicherheitsgruppen:

    • FileShareOwners
    • FileShareUsers
  2. Erstellen Sie die folgenden Active Directory-Konten als Dienstkonten:

    • FileShareOwner
    • FileShareUser

    Als bewährte Sicherheitsmethode wird empfohlen, eindeutige Benutzer für diese Konten (und für alle Webrollen) sowie sichere Benutzernamen und Kennwörter zu verwenden. Legen Sie die Kennwörter mit den folgenden Bedingungen fest:

    • Aktivieren Sie Kennwort läuft nie ab.
    • Aktivieren Sie Benutzer kann Kennwort nicht ändern.
    • Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
  3. Fügen Sie die Konten wie folgt Gruppen als Mitglieder hinzu:

    • Fügen Sie FileShareOwner der Gruppe FileShareOwners hinzu.
    • Fügen Sie FileShareUser der Gruppe FileShareUsers hinzu.
Bereitstellen von Gruppen und Konten in einer Arbeitsgruppe

Hinweis

Wenn Sie einen Dateiserver konfigurieren, führen Sie die folgenden Befehle an einer Administratoreingabeaufforderung aus.
Verwenden Sie nicht PowerShell.

Wenn Sie die Azure Resource Manager-Vorlage verwenden, wurden die Benutzer bereits erstellt.

  1. Führen Sie die folgenden Befehle aus, um die Konten FileShareOwner und FileShareUser zu erstellen. Ersetzen Sie <password> durch Ihre eigenen Werte.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Legen Sie für die Kennwörter der Konten fest, dass sie nie ablaufen, indem Sie die folgenden WMIC-Befehle ausführen:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Erstellen Sie die lokalen Gruppen „FileShareUsers“ und „FileShareOwners“, und fügen Sie diesen die Konten aus dem ersten Schritt hinzu:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Bereitstellen der Inhaltsfreigabe

Die Inhaltsfreigabe enthält die Websiteinhalte des Mandanten. Das Verfahren zum Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver ist für Active Directory- und Arbeitsgruppenumgebungen identisch. Für einen Failovercluster in Active Directory wird jedoch ein anderes Verfahren verwendet.

Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver (Active Directory oder Arbeitsgruppe)

Führen Sie auf einem einzelnen Dateiserver die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. Ersetzen Sie den Wert für C:\WebSites durch die entsprechenden Pfade in Ihrer Umgebung.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Konfigurieren der Zugriffssteuerung für die Freigaben

Führen Sie die folgenden Befehle auf dem Dateiserver an einer Eingabeaufforderung mit erhöhten Rechten oder auf dem Failoverclusterknoten aus, der zurzeit der Besitzer der Clusterressource ist. Ersetzen Sie die kursiven Werte durch die Werte für Ihre Umgebung.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Arbeitsgruppe

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Vorbereiten der SQL Server-Instanz

Hinweis

Wenn Sie sich für die Bereitstellung der Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server entschieden haben, können Sie diesen Abschnitt überspringen, da SQL Server mit der Vorlage in einer Konfiguration für Hochverfügbarkeit bereitgestellt und konfiguriert wird.

Für die Hosting- und Messdatenbanken von Azure App Service in Azure Stack Hub müssen Sie eine SQL Server-Instanz für die App Service-Datenbanken vorbereiten.

Für die Produktion und Lösungen mit Hochverfügbarkeit sollten Sie eine Vollversion von SQL Server 2014 SP2 oder höher verwenden, Authentifizierung im gemischten Modus aktivieren und die Bereitstellung in einer Hochverfügbarkeitskonfiguration durchführen.

Auf die SQL Server-Instanz für Azure App Service in Azure Stack Hub muss von allen App Service-Rollen zugegriffen werden können. Sie können SQL Server im Standardabonnement des Anbieters in Azure Stack Hub bereitstellen. Alternativ können Sie die vorhandene Infrastruktur in Ihrer Organisation nutzen (sofern eine Verbindung mit Azure Stack Hub besteht). Denken Sie bei Verwendung eines Azure Marketplace-Images daran, die Firewall entsprechend zu konfigurieren.

Hinweis

Eine Reihe von Images für SQL-IaaS-VMs sind über das Marketplace-Verwaltungsfeature verfügbar. Achten Sie darauf, immer die neueste Version der SQL-IaaS-Erweiterung herunterzuladen, bevor Sie eine VM mit einem Marketplace-Artikel bereitstellen. Die SQL-Images sind mit den in Azure verfügbaren SQL-VMs identisch. Für virtuelle SQL-Computer, die mit diesen Images erstellt werden, stellen die IaaS-Erweiterung und die zugehörigen Portalerweiterungen Features wie das automatische Patchen und Sicherungsfunktionen bereit.

Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie den SQL Server-Browserdienst manuell starten und Port 1434 öffnen.

Das App Service-Installationsprogramm überprüft, ob für die SQL Server-Instanz die Datenbankeigenständigkeit aktiviert ist. Führen Sie die folgenden SQL-Befehle aus, um die Datenbankeigenständigkeit für die SQL Server-Instanz zu aktivieren, die als Host für die App Service-Datenbanken fungiert:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Zertifikate und Serverkonfiguration (ASDK)

In diesem Abschnitt werden die Voraussetzungen für ASDK-Bereitstellungen aufgeführt.

Erforderliche Zertifikate für die ASDK-Bereitstellung von Azure App Service

Das Skript Create-AppServiceCerts.ps1 erstellt zusammen mit der Azure Stack Hub-Zertifizierungsstelle die vier Zertifikate, die App Service benötigt.

Dateiname Zweck
_.appservice.local.azurestack.external.pfx Kennwort für App Service-
api.appservice.local.azurestack.external.pfx SSL-Zertifikat für App Service-API
ftp.appservice.local.azurestack.external.pfx SSL-Zertifikat für App Service-Herausgeber
sso.appservice.local.azurestack.external.pfx Zertifikat der App Service-Identitätsanwendung

Um die Zertifikate zu erstellen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich am ASDK-Host an, indem Sie das Konto „AzureStack\AzureStackAdmin“ verwenden.
  2. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
  3. Führen Sie das Skript Create-AppServiceCerts.ps1 in dem Ordner aus, in den Sie die Hilfsskripts extrahiert haben. Dieses Skript erstellt im gleichen Ordner wie das Skript vier Zertifikate, das App Service zum Erstellen von Zertifikaten benötigt.
  4. Geben Sie ein Kennwort ein, um die PFX-Dateien zu schützen, und notieren Sie das Kennwort. Sie müssen es im Installationsprogramm für App Service in Azure Stack Hub später eingeben.

Parameter des Skripts „Create-AppServiceCerts.ps1“

Parameter Erforderlich oder optional Standardwert Beschreibung
pfxPassword Erforderlich Null Kennwort zum Schutz des privaten Zertifikatschlüssels
DomainName Erforderlich local.azurestack.external Azure Stack Hub-Region und Domänensuffix

Schnellstartvorlage für den Dateiserver für Bereitstellungen von Azure App Service im ASDK.

Nur für ASDK-Bereitstellungen können Sie die Azure Resource Manager-Bereitstellungsbeispielvorlage verwenden, um einen konfigurierten Einzelknoten-Dateiserver bereitzustellen. Der Einzelknoten-Dateiserver wird sich in einer Arbeitsgruppe befinden.

Hinweis

Die ASDK-Instanz muss in der Lage sein, Ressourcen von GitHub herunterzuladen, um die Bereitstellung abzuschließen.

SQL Server-Instanz

Für die Hosting- und Messdatenbanken von Azure App Service in Azure Stack Hub müssen Sie eine SQL Server-Instanz für die App Service-Datenbanken vorbereiten.

Für ASDK-Bereitstellungen können Sie SQL Server Express 2014 SP2 oder höher verwenden. SQL Server muss so konfiguriert sein, dass die Authentifizierung im gemischten Modus unterstützt wird, weil App Service unter Azure Stack Hub die Windows-Authentifizierung NICHT unterstützt.

Auf die SQL Server-Instanz für Azure App Service in Azure Stack Hub muss von allen App Service-Rollen zugegriffen werden können. Sie können SQL Server im Standardabonnement des Anbieters in Azure Stack Hub bereitstellen. Alternativ können Sie die vorhandene Infrastruktur in Ihrer Organisation nutzen (sofern eine Verbindung mit Azure Stack Hub besteht). Denken Sie bei Verwendung eines Azure Marketplace-Images daran, die Firewall entsprechend zu konfigurieren.

Hinweis

Eine Reihe von Images für SQL-IaaS-VMs sind über das Marketplace-Verwaltungsfeature verfügbar. Achten Sie darauf, immer die neueste Version der SQL-IaaS-Erweiterung herunterzuladen, bevor Sie eine VM mit einem Marketplace-Artikel bereitstellen. Die SQL-Images sind mit den in Azure verfügbaren SQL-VMs identisch. Für virtuelle SQL-Computer, die mit diesen Images erstellt werden, stellen die IaaS-Erweiterung und die zugehörigen Portalerweiterungen Features wie das automatische Patchen und Sicherungsfunktionen bereit.

Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie den SQL Server-Browserdienst manuell starten und Port 1434 öffnen.

Das App Service-Installationsprogramm überprüft, ob für die SQL Server-Instanz die Datenbankeigenständigkeit aktiviert ist. Führen Sie die folgenden SQL-Befehle aus, um die Datenbankeigenständigkeit für die SQL Server-Instanz zu aktivieren, die als Host für die App Service-Datenbanken fungiert:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Lizenzierungsaspekte im Zusammenhang mit erforderlichem Dateiserver und SQL Server

Für Azure App Service in Azure Stack Hub sind ein Dateiserver und eine SQL Server-Instanz erforderlich. Sie können bereits vorhandene Ressourcen außerhalb Ihrer Azure Stack Hub-Bereitstellung verwenden oder Ressourcen unter dem zugehörigen Azure Stack Hub-Standardabonnement des Anbieters bereitstellen.

Wenn Sie sich für die Bereitstellung der Ressourcen innerhalb ihres Azure Stack Hub-Standardabonnements des Anbieters entscheiden, sind die Lizenzen für diese Ressourcen (Windows Server-Lizenzen und SQL Server-Lizenzen) unter folgenden Voraussetzungen in den Kosten von Azure App Service in Azure Stack Hub enthalten:

  • Die Infrastruktur wurde im Standardabonnements des Anbieters bereitgestellt.
  • Die Infrastruktur wird ausschließlich von Azure App Service im Azure Stack Hub-Ressourcenanbieter verwendet. Keine anderen Arbeitslasten, administrative (andere Ressourcenanbieter, z. B. SQL-RP) oder Mandant (z. B. Mandanten-Apps, die eine Datenbank erfordern), dürfen diese Infrastruktur nutzen.

Betriebsverantwortlichkeit von Datei- und SQL-Servern

Cloudoperatoren sind für die Verwaltung und den Betrieb des Dateiservers und von SQL Server verantwortlich. Der Ressourcenanbieter verwaltet diese Ressourcen nicht. Der Cloudoperator ist für das Sichern der App Service-Datenbanken und der Mandanten-Inhaltsdateifreigabe verantwortlich.

Abrufen des Azure Resource Manager-Stammzertifikats für Azure Stack Hub

Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten auf einem Computer, der den privilegierten Endpunkt für das in Azure Stack Hub integrierte System oder den ASDK-Host erreichen kann.

Führen Sie das Skript Get-AzureStackRootCert.ps1 in dem Ordner aus, in den Sie die Hilfsskripts extrahiert haben. Das Skript erstellt in dem Ordner des Skripts, das App Service zum Erstellen von Zertifikaten benötigt, ein Stammzertifikat.

Wenn Sie den folgenden PowerShell-Befehl ausführen, müssen Sie den privilegierten Endpunkt und die Anmeldeinformationen für „AzureStack\CloudAdmin“ angeben.

    Get-AzureStackRootCert.ps1

Parameter des Skripts „Get-AzureStackRootCert.ps1“

Parameter Erforderlich oder optional Standardwert Beschreibung
PrivilegedEndpoint Erforderlich AzS-ERCS01 Privilegierter Endpunkt
CloudAdminCredential Erforderlich AzureStack\CloudAdmin Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren

Netzwerk- und Identitätskonfiguration

Virtuelles Netzwerk

Hinweis

Die Voraberstellung eines benutzerdefinierten virtuellen Netzwerks ist optional. Azure App Service in Azure Stack Hub kann das erforderliche virtuelle Netzwerk erstellen, muss dann aber über öffentliche IP-Adressen mit SQL und dem Dateiserver kommunizieren. Wenn Sie den App Service HA-Dateiserver und die SQL Server-Schnellstartvorlage verwenden, um die erforderlichen SQL- und Dateiserverressourcen bereitzustellen, wird von der Vorlage auch ein virtuelles Netzwerk bereitgestellt.

Mit Azure App Service in Azure Stack Hub können Sie den Ressourcenanbieter in einem vorhandenen virtuellen Netzwerk bereitstellen oder ein virtuelles Netzwerk als Teil der Bereitstellung erstellen. Die Nutzung eines vorhandenen virtuellen Netzwerks ermöglicht die Verwendung von internen IP-Adressen zum Herstellen der Verbindung mit dem Dateiserver und dem Computer mit SQL Server, die für Azure App Service in Azure Stack Hub erforderlich sind. Das virtuelle Netzwerk muss vor der Installation von Azure App Service in Azure Stack Hub mit dem folgenden Adressbereich und den folgenden Subnetzen konfiguriert werden:

Virtual Network /16

Subnetze

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • PublishersSubnet /24
  • WorkersSubnet /21

Wichtig

Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss die SQL Server-Instanz in einem anderen Subnetz als für App Service und den Dateiserver bereitgestellt werden.

Erstellen einer Identitätsanwendung zum Aktivieren von SSO-Szenarien

Azure App Service verwendet eine Identitätsanwendung (Dienstprinzipal), um die folgenden Vorgänge zu unterstützen:

  • Integration von VM-Skalierungsgruppen auf Workerebenen
  • Einmaliges Anmelden (Single Sign-On, SSO) für das Azure Functions-Portal und erweiterte Entwicklertools (Kudu).

Je nachdem, welchen Identitätsanbieter der Azure Stack Hub verwendet, müssen Sie die Microsoft Entra-ID oder Active Directory-Verbunddienste (AD FS) (ADFS) befolgen, um den Dienstprinzipal für die Verwendung durch den Azure-App Azure Stack Hub-Ressourcenanbieter zu erstellen.

Erstellen einer Microsoft Entra-App

Führen Sie die folgenden Schritte aus, um den Dienstprinzipal in Ihrem Microsoft Entra-Mandanten zu erstellen:

  1. Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
  2. Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
  3. Installieren von PowerShell für Azure Stack Hub
  4. Führen Sie das Skript Create-AADIdentityApp.ps1 aus. Wenn Sie dazu aufgefordert werden, geben Sie die Microsoft Entra-Mandanten-ID ein, die Sie für Ihre Azure Stack Hub-Bereitstellung verwenden. Geben Sie beispielsweise myazurestack.onmicrosoft.com ein.
  5. Geben Sie im Fenster "Anmeldeinformationen " Ihr Microsoft Entra-Dienstadministratorkonto und Das Kennwort ein. Wählen Sie OK aus.
  6. Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
  7. Notieren Sie sich die Anwendungs-ID, die in der PowerShell-Ausgabe zurückgegeben wird. Mit der ID in den folgenden Schritten erteilen Sie die Zustimmung für die Berechtigungen der Anwendung und während der Installation.
  8. Öffnen Sie ein neues Browserfenster, und melden Sie sich beim Azure-Portal als Microsoft Entra-Dienstadministrator an.
  9. Öffnen Sie den Microsoft Entra-Dienst.
  10. Wählen Sie im linken Bereich die Option App-Registrierungen aus.
  11. Suchen Sie nach der Anwendungs-ID, die Sie in Schritt 7 notiert haben.
  12. Wählen Sie in der Liste die App Service-Anwendungsregistrierung aus.
  13. Wählen Sie im linken Bereich API-Berechtigungen aus.
  14. Wählen Sie "Administratorzustimmung für <Mandanten> erteilen" aus, wobei <der Mandant> der Name Ihres Microsoft Entra-Mandanten ist. Bestätigen Sie die Gewährung der Zustimmung, indem Sie Ja auswählen.
    Create-AADIdentityApp.ps1
Parameter Erforderlich oder optional Standardwert Beschreibung
DirectoryTenantName Erforderlich Null Microsoft Entra-Mandanten-ID Geben Sie die GUID oder Zeichenfolge an. Beispiel: myazureaaddirectory.onmicrosoft.com
AdminArmEndpoint Erforderlich Null Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external
TenantARMEndpoint Erforderlich Null Azure Resource Manager-Endpunkt des Mandanten Beispiel: management.local.azurestack.external
AzureStackAdminCredential Erforderlich Null Anmeldeinformationen des Microsoft Entra-Dienstadministrators.
CertificateFilePath Erforderlich Null Vollständiger Pfad zur zuvor generierten Zertifikatsdatei für die Identitätsanwendung
CertificatePassword Erforderlich Null Kennwort zum Schutz des privaten Zertifikatschlüssels
Environment Optional AzureCloud Der Name der unterstützten Cloudumgebung, in welcher der Azure Active Directory-Zielgraphdienst verfügbar ist Zulässige Werte: „AzureCloud“, „AzureChinaCloud“, „AzureUSGovernment“, „AzureGermanCloud“.

Erstellen einer ADFS-App

  1. Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
  2. Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
  3. Installieren von PowerShell für Azure Stack Hub
  4. Führen Sie das Skript Create-ADFSIdentityApp.ps1 aus.
  5. Geben Sie im Fenster Anmeldeinformationen das Administratorkonto und -kennwort Ihrer AD FS-Cloud ein. Wählen Sie OK aus.
  6. Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parameter Erforderlich oder optional Standardwert Beschreibung
AdminArmEndpoint Erforderlich Null Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external
PrivilegedEndpoint Erforderlich Null Privilegierter Endpunkt, Beispiel: AzS-ERCS01
CloudAdminCredential Erforderlich Null Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren. Beispiel: Azurestack\CloudAdmin
CertificateFilePath Erforderlich Null Vollständiger Pfad zur PFX-Zertifikatsdatei der Identitätsanwendung
CertificatePassword Erforderlich Null Kennwort zum Schutz des privaten Zertifikatschlüssels

Herunterladen von Elementen aus dem Azure Marketplace

Für Azure App Service in Azure Stack Hub müssen Elemente aus dem Azure Marketplace heruntergeladen werden, sodass sie im Azure Stack Hub-Marketplace verfügbar sind. Die Elemente müssen heruntergeladen werden, bevor mit der Bereitstellung oder dem Upgrade von Azure App Service in Azure Stack Hub begonnen wird:

Wichtig

Windows Server Core ist kein unterstütztes Plattformimage für die Verwendung mit Azure App Service in Azure Stack Hub.

Verwenden Sie Evaluierungsimages nicht für Produktionsbereitstellungen.

  1. Die neueste Version des Windows Server 2022 Datacenter VM-Images.
  1. Windows Server 2022 Datacenter Full VM image with Microsoft.Net 3.5.1 SP1 activated. Für Azure App Service in Azure Stack Hub wird vorausgesetzt, dass im Image für die Bereitstellung Microsoft .NET 3.5.1 SP1 aktiviert ist. Marketplace-syndizierte Windows Server 2022-Images verfügen nicht über dieses Feature, und in getrennten Umgebungen kann Microsoft Update nicht erreichen, um die Pakete herunterzuladen, die über DISM installiert werden. Daher müssen Sie ein Windows Server 2022-Image erstellen und verwenden, bei dem dieses Feature vorab mit getrennten Bereitstellungen aktiviert ist.

    Ausführliche Informationen zum Erstellen eines benutzerdefinierten Images und zum Hinzufügen zum Marketplace finden Sie unter Hinzufügen eines benutzerdefinierten VM-Images zu Azure Stack Hub. Geben Sie beim Hinzufügen des Images zum Marketplace unbedingt die folgenden Eigenschaften an:

    • Herausgeber: MicrosoftWindowsServer
    • Angebot: WindowsServer
    • SKU = AppService
    • Version: Geben Sie die aktuelle Version an.
  1. Benutzerdefinierte Skripterweiterung v1.9.1 oder höher. Dieses Element ist eine VM-Erweiterung.

Nächste Schritte

Hinzufügen eines App Service-Ressourcenanbieters zu Azure Stack