Prerequisiti per la distribuzione del servizio app nell'hub di Azure Stack
Importante
Aggiornare l'hub di Azure Stack a una versione supportata, se necessario, prima di distribuire o aggiornare il provider di risorse del servizio app ( RP). Assicurati di leggere le note sulla versione di RP per informazioni sulle nuove funzionalità, correzioni e su eventuali problemi noti che possono influire sull'implementazione.
| Versione minima dell'hub di Azure Stack supportata | servizio app versione rp |
|---|---|
| 2311 e versioni ulteriori | 24R1 Installer ( note sulla versione) |
Prima di distribuire app Azure servizio nell'hub di Azure Stack, è necessario completare i passaggi dei prerequisiti descritti in questo articolo.
Prima di iniziare
Questa sezione elenca i prerequisiti per le distribuzioni integrate di system e Azure Stack Development Kit (ASDK).
Prerequisiti del provider di risorse
Se è già stato installato un provider di risorse, è probabile che siano stati completati i prerequisiti seguenti e che sia possibile ignorare questa sezione. In caso contrario, completare questi passaggi prima di continuare:
Registrare l'istanza dell'hub di Azure Stack con Azure, se non è stato fatto. Questo passaggio è obbligatorio perché ci si connette e si scaricano elementi in Marketplace da Azure.
Se non si ha familiarità con la funzionalità di gestione del Marketplace del portale di amministrazione dell'hub di Azure Stack, vedere Scaricare gli elementi del Marketplace da Azure e pubblicare nell'hub di Azure Stack. L'articolo illustra il processo di download di elementi da Azure al marketplace dell'hub di Azure Stack. Vengono illustrati gli scenari connessi e disconnessi. Se l'istanza dell'hub di Azure Stack è disconnessa o parzialmente connessa, sono necessari prerequisiti aggiuntivi per completare la preparazione dell'installazione.
Aggiornare la home directory di Microsoft Entra. A partire dalla build 1910, è necessario registrare una nuova applicazione nel tenant della home directory. Questa app consentirà all'hub di Azure Stack di creare e registrare correttamente i provider di risorse più recenti (ad esempio Hub eventi e altri) con il tenant di Microsoft Entra. Si tratta di un'azione una tantum che deve essere eseguita dopo l'aggiornamento alla build 1910 o successiva. Se questo passaggio non viene completato, le installazioni del provider di risorse del Marketplace avranno esito negativo.
- Dopo aver aggiornato l'istanza dell'hub di Azure Stack alla versione 1910 o successiva, seguire le istruzioni per clonare/scaricare il repository degli strumenti dell'hub di Azure Stack.
- Seguire quindi le istruzioni per aggiornare l'hub di Azure Stack Microsoft Entra Home Directory (dopo l'installazione di aggiornamenti o nuovi provider di risorse).
Script del programma di installazione e helper
Scaricare il servizio app negli script helper di distribuzione dell'hub di Azure Stack.
Nota
Gli script helper di distribuzione richiedono il modulo AzureRM PowerShell. Per informazioni dettagliate sull'installazione, vedere Installare il modulo AzureRM di PowerShell per l'hub di Azure Stack.
Scaricare il servizio app nel programma di installazione dell'hub di Azure Stack.
Estrarre i file dagli script helper .zip file. Vengono estratti i file e le cartelle seguenti:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Cartella Modules
- GraphAPI.psm1
Certificati e configurazione del server (sistemi integrati)
Questa sezione elenca i prerequisiti per le distribuzioni di sistema integrate.
Requisiti del certificato
Per eseguire il provider di risorse nell'ambiente di produzione, è necessario fornire i certificati seguenti:
- Certificato di dominio predefinito
- Certificato API
- Certificato di pubblicazione
- Certificato di identità
Oltre a requisiti specifici elencati nelle sezioni seguenti, si userà uno strumento in un secondo momento per testare i requisiti generali. Vedere Convalidare i certificati PKI dell'hub di Azure Stack per l'elenco completo delle convalide, tra cui:
- Formato di file di . PFX
- Utilizzo delle chiavi impostato su server e autenticazione client
- e diversi altri
Certificato di dominio predefinito
Il certificato di dominio predefinito viene inserito nel ruolo front-end. Le app utente per la richiesta di dominio con caratteri jolly o predefiniti per app Azure servizio usano questo certificato. Il certificato viene usato anche per le operazioni di controllo del codice sorgente (Kudu).
Il certificato deve essere in formato pfx e deve essere un certificato con caratteri jolly a tre soggetti. Questo requisito consente a un certificato di coprire sia il dominio predefinito che l'endpoint SCM per le operazioni di controllo del codice sorgente.
| Formattazione | Esempio |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificato API
Il certificato API viene inserito nel ruolo Gestione. Il provider di risorse lo usa per proteggere le chiamate API. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS dell'API.
| Formattazione | Esempio |
|---|---|
| api.appservice.<area>.<DomainName>.<estensione> | api.appservice.redmond.azurestack.external |
Certificato di pubblicazione
Il certificato per il ruolo server di pubblicazione protegge il traffico FTPS per i proprietari di app quando caricano il contenuto. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS FTPS.
| Formattazione | Esempio |
|---|---|
| ftp.appservice.<area>.<DomainName>.<estensione> | ftp.appservice.redmond.azurestack.external |
Certificato di identità
Il certificato per l'app di identità abilita:
- Integrazione tra la directory Microsoft Entra ID o Active Directory Federation Services (AD FS), l'hub di Azure Stack e servizio app per supportare l'integrazione con il provider di risorse di calcolo.
- Scenari di Single Sign-On per strumenti di sviluppo avanzati all'interno del servizio app Azure nell'hub di Azure Stack.
Il certificato per l'identità deve contenere un oggetto che corrisponde al formato seguente.
| Formattazione | Esempio |
|---|---|
| sso.appservice.<area>.<DomainName>.<estensione> | sso.appservice.redmond.azurestack.external |
Convalidare i certificati
Prima di distribuire il provider di risorse servizio app, è necessario convalidare i certificati da usare usando lo strumento Di controllo dell'idoneità dell'hub di Azure Stack disponibile in PowerShell Gallery. Lo strumento di verifica dell'idoneità dell'hub di Azure Stack verifica che i certificati PKI generati siano adatti per la distribuzione servizio app.
Come procedura consigliata, quando si lavora con uno dei certificati PKI dell'hub di Azure Stack necessari, è consigliabile pianificare tempo sufficiente per testare e riemettere i certificati, se necessario.
Preparare il file server
app Azure Servizio richiede l'uso di un file server. Per le distribuzioni di produzione, il file server deve essere configurato per essere a disponibilità elevata e in grado di gestire gli errori.
Modello di avvio rapido per file server a disponibilità elevata e SQL Server
È ora disponibile un modello di avvio rapido dell'architettura di riferimento che distribuirà un file server e SQL Server. Questo modello supporta l'infrastruttura di Active Directory in una rete virtuale configurata per supportare una distribuzione a disponibilità elevata del servizio app Azure nell'hub di Azure Stack.
Importante
Questo modello viene offerto come riferimento o esempio di come distribuire i prerequisiti. Poiché l'operatore hub di Azure Stack gestisce questi server, in particolare negli ambienti di produzione, è necessario configurare il modello in base alle esigenze o richieste dall'organizzazione.
Nota
L'istanza di sistema integrata deve essere in grado di scaricare risorse da GitHub per completare la distribuzione.
Procedura per distribuire un file server personalizzato
Importante
Se si sceglie di distribuire servizio app in una rete virtuale esistente, il file server deve essere distribuito in una subnet separata da servizio app.
Nota
Se si è scelto di distribuire un file server usando uno dei modelli di avvio rapido indicati in precedenza, è possibile ignorare questa sezione perché i file server vengono configurati come parte della distribuzione del modello.
Effettuare il provisioning di gruppi e account in Active Directory
Creare i seguenti gruppi di sicurezza globali di Active Directory:
- FileShareOwners
- FileShareUsers
Creare gli account Active Directory seguenti come account del servizio:
- FileShareOwner
- FileShareUser
Come procedura consigliata per la sicurezza, gli utenti per questi account (e per tutti i ruoli Web) devono essere univoci e avere nomi utente e password sicuri. Impostare le password con le condizioni seguenti:
- Abilita password non scade mai.
- Abilita l'utente non può modificare la password.
- Disabilitare l'utente deve modificare la password all'accesso successivo.
Aggiungere gli account alle appartenenze a gruppi come riportato di seguito:
- Aggiungere FileShareOwner al gruppo FileShareOwners .
- Aggiungere FileShareUser al gruppo FileShareUsers .
Effettuare il provisioning di gruppi e account in un gruppo di lavoro
Nota
Quando si configura un file server, eseguire tutti i comandi seguenti da un prompt dei comandi dell'amministratore.
Non usare PowerShell.
Quando si usa il modello di Azure Resource Manager, gli utenti sono già stati creati.
Eseguire i comandi indicati di seguito per creare gli account FileShareOwner e FileShareUser. Sostituire
<password>con i propri valori.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noImpostare le password per gli account in modo che non scadano mai eseguendo i comandi WMIC seguenti:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSECreare i gruppi locali FileShareUsers e FileShareOwners e aggiungere gli account nel primo passaggio:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Effettuare il provisioning della condivisione contenuto
La condivisione contenuto contiene il contenuto del sito Web del tenant. La procedura per effettuare il provisioning della condivisione contenuto in un singolo file server è la stessa per gli ambienti di Active Directory e del gruppo di lavoro. Ma è diverso per un cluster di failover in Active Directory.
Effettuare il provisioning della condivisione contenuto in un singolo file server (Active Directory o gruppo di lavoro)
In un singolo file server eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati. Sostituire il valore per C:\WebSites con i percorsi corrispondenti nell'ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurare il controllo di accesso alle condivisioni
Eseguire i comandi seguenti al prompt dei comandi con privilegi elevati nel file server o nel nodo del cluster di failover, ovvero il proprietario della risorsa cluster corrente. Sostituire i valori in corsivo con valori specifici dell'ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Gruppo di lavoro
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Preparare l'istanza di SQL Server
Nota
Se si è scelto di distribuire il modello di avvio rapido per File Server a disponibilità elevata e SQL Server, è possibile ignorare questa sezione quando il modello distribuisce e configura SQL Server in una configurazione a disponibilità elevata.
Per il servizio app Azure nel database di hosting e misurazione dell'hub di Azure Stack, è necessario preparare un'istanza di SQL Server per contenere i database servizio app.
Per scopi di produzione e disponibilità elevata, è consigliabile usare una versione completa di SQL Server 2014 SP2 o versione successiva, abilitare l'autenticazione in modalità mista e distribuire in una configurazione a disponibilità elevata.
L'istanza di SQL Server per app Azure servizio nell'hub di Azure Stack deve essere accessibile da tutti i ruoli servizio app. È possibile distribuire SQL Server all'interno della sottoscrizione del provider predefinito nell'hub di Azure Stack. In alternativa, è possibile usare l'infrastruttura esistente all'interno dell'organizzazione , purché sia disponibile la connettività all'hub di Azure Stack. Se si usa un'immagine di Azure Marketplace, ricordarsi di configurare di conseguenza il firewall.
Nota
Sono disponibili diverse immagini di macchine virtuali IaaS SQL tramite la funzionalità Di gestione del Marketplace. Assicurarsi di scaricare sempre la versione più recente dell'estensione SQL IaaS prima di distribuire una macchina virtuale usando un elemento del Marketplace. Le immagini SQL sono le stesse delle macchine virtuali SQL disponibili in Azure. Per le macchine virtuali SQL create da queste immagini, l'estensione IaaS e i miglioramenti del portale corrispondenti offrono funzionalità come l'applicazione automatica di patch e le funzionalità di backup.
Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o una denominata. Se si usa un'istanza denominata, assicurarsi di avviare manualmente il servizio SQL Server Browser e aprire la porta 1434.
Il programma di installazione di servizio app verificherà che SQL Server disponga dell'indipendenza del database abilitata. Per abilitare il contenimento del database in SQL Server che ospiterà i database servizio app, eseguire questi comandi SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificati e configurazione del server (ASDK)
Questa sezione elenca i prerequisiti per le distribuzioni ASDK.
Certificati necessari per la distribuzione ASDK del servizio app Azure
Lo script Create-AppServiceCerts.ps1 funziona con l'autorità di certificazione dell'hub di Azure Stack per creare i quattro certificati necessari servizio app.
| File name | Utilizzo |
|---|---|
| _.appservice.local.azurestack.external.pfx | servizio app certificato SSL predefinito |
| api.appservice.local.azurestack.external.pfx | servizio app certificato SSL dell'API |
| ftp.appservice.local.azurestack.external.pfx | certificato SSL dell'editore servizio app |
| sso.appservice.local.azurestack.external.pfx | servizio app certificato dell'applicazione di identità |
Per creare i certificati, seguire questa procedura:
- Accedere all'host ASDK usando l'account AzureStack\AzureStackAdmin.
- Aprire una sessione di PowerShell con privilegi elevati.
- Eseguire lo script Create-AppServiceCerts.ps1 dalla cartella in cui sono stati estratti gli script helper. Questo script crea quattro certificati nella stessa cartella dello script che servizio app necessario per la creazione di certificati.
- Immettere una password per proteggere i file con estensione pfx e prendere nota di esso. È necessario immetterlo in un secondo momento nella servizio app nel programma di installazione dell'hub di Azure Stack.
Parametri di script Create-AppServiceCerts.ps1
| Parametro | Obbligatorio o facoltativo | Default value | Descrizione |
|---|---|---|---|
| pfxPassword | Richiesto | Null | Password che consente di proteggere la chiave privata del certificato |
| DomainName | Richiesto | local.azurestack.external | Area dell'hub di Azure Stack e suffisso di dominio |
Modello di avvio rapido per il file server per le distribuzioni di app Azure Servizio in ASDK.
Solo per le distribuzioni ASDK, è possibile usare il modello di distribuzione di Azure Resource Manager di esempio per distribuire un file server a nodo singolo configurato. Il file server a nodo singolo si troverà in un gruppo di lavoro.
Nota
L'istanza di ASDK deve essere in grado di scaricare le risorse da GitHub per completare la distribuzione.
Istanza di SQL Server
Per il servizio app Azure nel database di hosting e misurazione dell'hub di Azure Stack, è necessario preparare un'istanza di SQL Server per contenere i database servizio app.
Per le distribuzioni ASDK, è possibile usare SQL Server Express 2014 SP2 o versione successiva. SQL Server deve essere configurato per supportare l'autenticazione in modalità mista perché servizio app nell'hub di Azure Stack NON supporta l'autenticazione di Windows.
L'istanza di SQL Server per app Azure servizio nell'hub di Azure Stack deve essere accessibile da tutti i ruoli servizio app. È possibile distribuire SQL Server all'interno della sottoscrizione del provider predefinito nell'hub di Azure Stack. In alternativa, è possibile usare l'infrastruttura esistente all'interno dell'organizzazione , purché sia disponibile la connettività all'hub di Azure Stack. Se si usa un'immagine di Azure Marketplace, ricordarsi di configurare di conseguenza il firewall.
Nota
Sono disponibili diverse immagini di macchine virtuali IaaS SQL tramite la funzionalità Di gestione del Marketplace. Assicurarsi di scaricare sempre la versione più recente dell'estensione SQL IaaS prima di distribuire una macchina virtuale usando un elemento del Marketplace. Le immagini SQL sono le stesse delle macchine virtuali SQL disponibili in Azure. Per le macchine virtuali SQL create da queste immagini, l'estensione IaaS e i miglioramenti del portale corrispondenti offrono funzionalità come l'applicazione automatica di patch e le funzionalità di backup.
Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o una denominata. Se si usa un'istanza denominata, assicurarsi di avviare manualmente il servizio SQL Server Browser e aprire la porta 1434.
Il programma di installazione di servizio app verificherà che SQL Server disponga dell'indipendenza del database abilitata. Per abilitare il contenimento del database in SQL Server che ospiterà i database servizio app, eseguire questi comandi SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Dubbi relativi alle licenze per file server e SQL Server richiesti
app Azure servizio nell'hub di Azure Stack richiede il funzionamento di un file server e di SQL Server. È possibile usare risorse preesistenti che si trovano all'esterno della distribuzione dell'hub di Azure Stack o distribuire le risorse all'interno della sottoscrizione del provider predefinito dell'hub di Azure Stack.
Se si sceglie di distribuire le risorse all'interno della sottoscrizione del provider predefinito dell'hub di Azure Stack, le licenze per tali risorse (licenze di Windows Server e licenze di SQL Server) sono incluse nel costo del servizio app Azure nell'hub di Azure Stack in base ai vincoli seguenti:
- l'infrastruttura viene distribuita nella sottoscrizione del provider predefinito;
- l'infrastruttura viene usata esclusivamente dal servizio app Azure nel provider di risorse dell'hub di Azure Stack. Non sono consentiti altri carichi di lavoro, amministrativi (altri provider di risorse, ad esempio SQL-RP) o tenant (ad esempio: app tenant che richiedono un database).
Responsabilità operativa dei file e dei server SQL
Gli operatori cloud sono responsabili della manutenzione e del funzionamento del file server e di SQL Server. Il provider di risorse non gestisce queste risorse. L'operatore cloud è responsabile del backup dei database servizio app e della condivisione file del contenuto del tenant.
Recuperare il certificato radice di Azure Resource Manager per l'hub di Azure Stack
Aprire una sessione di PowerShell con privilegi elevati in un computer in grado di raggiungere l'endpoint con privilegi nel sistema integrato dell'hub di Azure Stack o nell'host ASDK.
Eseguire lo script Get-AzureStackRootCert.ps1 dalla cartella in cui sono stati estratti gli script helper. Lo script crea un certificato radice nella stessa cartella dello script che servizio app necessario per la creazione di certificati.
Quando si esegue il comando di PowerShell seguente, è necessario fornire l'endpoint con privilegi e le credenziali per AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parametri di script Get-AzureStackRootCert.ps1
| Parametro | Obbligatorio o facoltativo | Default value | Descrizione |
|---|---|---|---|
| PrivilegedEndpoint | Richiesto | AzS-ERCS01 | Endpoint con privilegi |
| CloudAdminCredential | Richiesto | AzureStack\CloudAdmin | Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack |
Configurazione di rete e identità
Rete virtuale
Nota
La creazione preliminare di una rete virtuale personalizzata è facoltativa perché il servizio app Azure nell'hub di Azure Stack può creare la rete virtuale necessaria, ma dovrà quindi comunicare con SQL e File Server tramite indirizzi IP pubblici. Se si usa il modello di avvio rapido servizio app file server a disponibilità elevata e SQL Server per distribuire le risorse SQL e File Server necessarie, il modello distribuirà anche una rete virtuale.
app Azure Servizio nell'hub di Azure Stack consente di distribuire il provider di risorse in una rete virtuale esistente o di creare una rete virtuale come parte della distribuzione. L'uso di una rete virtuale esistente consente l'uso di indirizzi IP interni per connettersi al file server e a SQL Server richiesto da app Azure servizio nell'hub di Azure Stack. La rete virtuale deve essere configurata con l'intervallo di indirizzi e le subnet seguenti prima di installare app Azure Servizio nell'hub di Azure Stack:
Rete virtuale - /16
Subnet
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- Server di pubblicazioneSubnet /24
- WorkersSubnet /21
Importante
Se si sceglie di distribuire servizio app in una rete virtuale esistente, SQL Server deve essere distribuito in una subnet separata da servizio app e file server.
Creare un'applicazione identity per abilitare gli scenari SSO
app Azure servizio usa un'applicazione di identità (entità servizio) per supportare le operazioni seguenti:
- Integrazione del set di scalabilità di macchine virtuali nei livelli di lavoro.
- SSO per il portale di Funzioni di Azure e gli strumenti di sviluppo avanzati (Kudu).
A seconda del provider di identità usato dall'hub di Azure Stack, microsoft Entra ID o Active Directory Federation Services (ADFS) è necessario seguire i passaggi appropriati per creare l'entità servizio da usare dal provider di risorse del servizio app Azure nel provider di risorse dell'hub di Azure Stack.
Creare un'app Microsoft Entra
Seguire questa procedura per creare l'entità servizio nel tenant di Microsoft Entra:
- Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.
- Passare al percorso degli script scaricati ed estratti nel passaggio prerequisito.
- Installare PowerShell per l'hub di Azure Stack.
- Eseguire lo script Create-AADIdentityApp.ps1 . Quando richiesto, immettere l'ID tenant di Microsoft Entra usato per la distribuzione dell'hub di Azure Stack. Ad esempio, immettere myazurestack.onmicrosoft.com.
- Nella finestra Credenziali immettere l'account amministratore del servizio Microsoft Entra e la password. Seleziona OK.
- Immettere il percorso del file di certificato e la password del certificato per il certificato creato in precedenza. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.
- Prendere nota dell'ID applicazione restituito nell'output di PowerShell. Usare l'ID nei passaggi seguenti per fornire il consenso per le autorizzazioni dell'applicazione e durante l'installazione.
- Aprire una nuova finestra del browser e accedere al portale di Azure come amministratore del servizio Microsoft Entra.
- Aprire il servizio Microsoft Entra.
- Selezionare Registrazioni app nel riquadro sinistro.
- Cercare l'ID applicazione annotato nel passaggio 7.
- Selezionare la registrazione dell'applicazione servizio app dall'elenco.
- Selezionare Autorizzazioni API nel riquadro sinistro.
- Selezionare Concedi consenso amministratore per <il tenant>, dove <tenant è il nome del tenant> di Microsoft Entra. Confermare la concessione del consenso selezionando Sì.
Create-AADIdentityApp.ps1
| Parametro | Obbligatorio o facoltativo | Default value | Descrizione |
|---|---|---|---|
| DirectoryTenantName | Richiesto | Null | ID tenant di Microsoft Entra Specificare il GUID o la stringa. Un esempio è myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Richiesto | Null | Amministratore dell'endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Richiesto | Null | Endpoint di Azure Resource Manager tenant. Un esempio è management.local.azurestack.external. |
| AzureStackAdminCredential | Richiesto | Null | Credenziali di amministratore del servizio Microsoft Entra. |
| CertificateFilePath | Richiesto | Null | Percorso completo del file del certificato dell'applicazione di identità generato in precedenza. |
| CertificatePassword | Richiesto | Null | Password che consente di proteggere la chiave privata del certificato. |
| Ambiente | Facoltativo | AzureCloud | Nome dell'ambiente cloud supportato in cui è disponibile il servizio Graph di Azure Active Directory di destinazione. Valori consentiti: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Creare un'app ADFS
- Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.
- Passare al percorso degli script scaricati ed estratti nel passaggio prerequisito.
- Installare PowerShell per l'hub di Azure Stack.
- Eseguire lo script Create-ADFSIdentityApp.ps1 .
- Nella finestra Credenziali immettere l'account amministratore cloud e la password di AD FS. Seleziona OK.
- Specificare il percorso del file di certificato e la password del certificato per il certificato creato in precedenza. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parametro | Obbligatorio o facoltativo | Default value | Descrizione |
|---|---|---|---|
| AdminArmEndpoint | Richiesto | Null | Amministratore dell'endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Richiesto | Null | Endpoint con privilegi. Un esempio è AzS-ERCS01. |
| CloudAdminCredential | Richiesto | Null | Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack. Un esempio è Azurestack\CloudAdmin. |
| CertificateFilePath | Richiesto | Null | Percorso completo del file PFX del certificato dell'applicazione di identità. |
| CertificatePassword | Richiesto | Null | Password che consente di proteggere la chiave privata del certificato. |
Scaricare elementi da Azure Marketplace
app Azure servizio nell'hub di Azure Stack richiede che gli elementi vengano scaricati da Azure Marketplace, rendendoli disponibili nel Marketplace dell'hub di Azure Stack. Questi elementi devono essere scaricati prima di avviare la distribuzione o l'aggiornamento del servizio app Azure nell'hub di Azure Stack:
Importante
Windows Server Core non è un'immagine della piattaforma supportata da usare con il servizio app Azure nell'hub di Azure Stack.
Non usare immagini di valutazione per le distribuzioni di produzione.
- La versione più recente dell'immagine della macchina virtuale Windows Server 2022 Datacenter.
Immagine della macchina virtuale completa di Windows Server 2022 Datacenter con Microsoft.Net 3.5.1 SP1 attivata. app Azure servizio nell'hub di Azure Stack richiede che Microsoft .NET 3.5.1 SP1 sia attivato nell'immagine usata per la distribuzione. Le immagini di Windows Server 2022 con diffusione nel Marketplace non dispongono di questa funzionalità abilitata e in ambienti disconnessi non riescono a raggiungere Microsoft Update per scaricare i pacchetti da installare tramite Gestione e manutenzione immagini distribuzione. Pertanto, è necessario creare e usare un'immagine di Windows Server 2022 con questa funzionalità pre-abilitata con distribuzioni disconnesse.
Per informazioni dettagliate sulla creazione di un'immagine personalizzata e sull'aggiunta a Marketplace, vedere Aggiungere un'immagine di macchina virtuale personalizzata all'hub di Azure Stack. Assicurarsi di specificare le proprietà seguenti quando si aggiunge l'immagine a Marketplace:
- Publisher = MicrosoftWindowsServer
- Offerta = WindowsServer
- SKU = AppService
- Version = Specificare la versione "latest"
- Estensione script personalizzata v1.9.1 o successiva. Questo elemento è un'estensione della macchina virtuale.