Vereisten voor het implementeren van App Service op Azure Stack Hub
Belangrijk
Werk Azure Stack Hub indien nodig bij naar een ondersteunde versie (of implementeer de nieuwste Azure Stack Development Kit) voordat u de App Service-resourceprovider (RP) implementeert of bijwerkt. Lees de releaseopmerkingen voor RP voor meer informatie over nieuwe functionaliteit, oplossingen en bekende problemen die van invloed kunnen zijn op uw implementatie.
Ondersteunde minimale Versie van Azure Stack Hub App Service RP-versie 2311 en hoger 24R1 Installer (releaseopmerkingen)
Voordat u Azure-app Service in Azure Stack Hub implementeert, moet u de vereiste stappen in dit artikel voltooien.
Voordat u aan de slag gaat
Deze sectie bevat de vereisten voor zowel geïntegreerde systeem- als ASDK-implementaties (Azure Stack Development Kit).
Vereisten voor resourceprovider
Als u al een resourceprovider hebt geïnstalleerd, hebt u waarschijnlijk de volgende vereisten voltooid en kunt u deze sectie overslaan. Voer anders de volgende stappen uit voordat u doorgaat:
Registreer uw Azure Stack Hub-exemplaar bij Azure als u dit nog niet hebt gedaan. Deze stap is vereist, omdat u verbinding maakt met en items downloadt naar Marketplace vanuit Azure.
Als u niet bekend bent met de marketplace-beheerfunctie van de Azure Stack Hub-beheerdersportal, raadpleegt u Marketplace-items downloaden van Azure en publiceert u naar Azure Stack Hub. Het artikel begeleidt u bij het downloaden van items van Azure naar de Azure Stack Hub Marketplace. Het omvat zowel verbonden als niet-verbonden scenario's. Als de verbinding met uw Azure Stack Hub-exemplaar is verbroken of gedeeltelijk is verbonden, zijn er aanvullende vereisten om de installatie te voltooien.
Werk de basismap van Microsoft Entra bij. Vanaf build 1910 moet een nieuwe toepassing worden geregistreerd in uw basismaptenant. Met deze app kan Azure Stack Hub nieuwere resourceproviders (zoals Event Hubs en anderen) met uw Microsoft Entra-tenant maken en registreren. Dit is een eenmalige actie die moet worden uitgevoerd na een upgrade naar build 1910 of hoger. Als deze stap niet is voltooid, mislukken de installaties van marketplace-resourceproviders.
- Nadat u uw Azure Stack Hub-exemplaar hebt bijgewerkt naar 1910 of hoger, volgt u de instructies voor het klonen/downloaden van de opslagplaats azure Stack Hub Tools.
- Volg vervolgens de instructies voor het bijwerken van de Microsoft Entra-basismap van Azure Stack Hub (na het installeren van updates of nieuwe resourceproviders).
Scripts voor installatieprogramma's en helper
Download de Helperscripts voor App Service in Azure Stack Hub-implementatie.
Notitie
Voor de helperscripts voor implementatie is de AzureRM PowerShell-module vereist. Zie PowerShell AzureRM-module installeren voor Azure Stack Hub voor installatiedetails.
Download het App Service-installatieprogramma in Azure Stack Hub.
Pak de bestanden uit de helperscripts .zip bestand. De volgende bestanden en mappen worden geëxtraheerd:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Map Modules
- GraphAPI.psm1
Certificaten en serverconfiguratie (geïntegreerde systemen)
Deze sectie bevat de vereisten voor geïntegreerde systeemimplementaties.
Certificaatvereisten
Als u de resourceprovider in productie wilt uitvoeren, moet u de volgende certificaten opgeven:
- Standaarddomeincertificaat
- API-certificaat
- Certificaat publiceren
- Identiteitscertificaat
Naast specifieke vereisten die worden vermeld in de volgende secties, gebruikt u later ook een hulpprogramma om te testen op algemene vereisten. Zie Azure Stack Hub PKI-certificaten valideren voor de volledige lijst met validaties, waaronder:
- Bestandsindeling van . PFX
- Sleutelgebruik ingesteld op server- en clientverificatie
- en verschillende andere
Standaarddomeincertificaat
Het standaarddomeincertificaat wordt op de front-endrol geplaatst. Gebruikers-apps voor jokertekens of standaarddomeinaanvragen voor Azure-app Service gebruiken dit certificaat. Het certificaat wordt ook gebruikt voor broncodebeheerbewerkingen (Kudu).
Het certificaat moet de PFX-indeling hebben en moet een jokertekencertificaat met drie onderwerpen zijn. Met deze vereiste kan één certificaat zowel het standaarddomein als het SCM-eindpunt dekken voor broncodebeheerbewerkingen.
| Format | Voorbeeld |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-certificaat
Het API-certificaat wordt op de beheerrol geplaatst. De resourceprovider gebruikt deze om API-aanroepen te beveiligen. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de API DNS-vermelding.
| Format | Voorbeeld |
|---|---|
| api.appservice.<regio>.<>Domeinnaam.<extensie> | api.appservice.redmond.azurestack.external |
Certificaat publiceren
Het certificaat voor de rol Publisher beveiligt het FTPS-verkeer voor app-eigenaren wanneer ze inhoud uploaden. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de FTPS DNS-vermelding.
| Format | Voorbeeld |
|---|---|
| ftp.appservice.<regio>.<>Domeinnaam.<extensie> | ftp.appservice.redmond.azurestack.external |
Identiteitscertificaat
Het certificaat voor de identiteits-app maakt het volgende mogelijk:
- Integratie tussen de directory Microsoft Entra ID of Active Directory Federation Services (AD FS), Azure Stack Hub en App Service ter ondersteuning van integratie met de rekenresourceprovider.
- Scenario's voor eenmalige aanmelding voor geavanceerde ontwikkelhulpprogramma's binnen Azure-app Service in Azure Stack Hub.
Het certificaat voor identiteit moet een onderwerp bevatten dat overeenkomt met de volgende indeling.
| Format | Voorbeeld |
|---|---|
| sso.appservice.<regio>.<>Domeinnaam.<extensie> | sso.appservice.redmond.azurestack.external |
Certificaten valideren
Voordat u de App Service-resourceprovider implementeert, moet u de certificaten valideren die moeten worden gebruikt met behulp van het hulpprogramma Azure Stack Hub Readiness Checker dat beschikbaar is in de PowerShell Gallery. Het hulpprogramma Gereedheidscontrole van Azure Stack Hub valideert dat de gegenereerde PKI-certificaten geschikt zijn voor app service-implementatie.
Als best practice moet u, wanneer u met een van de benodigde Azure Stack Hub PKI-certificaten werkt, voldoende tijd plannen om certificaten te testen en opnieuw uit te voeren, indien nodig.
De bestandsserver voorbereiden
Azure-app Service vereist het gebruik van een bestandsserver. Voor productie-implementaties moet de bestandsserver zo worden geconfigureerd dat deze maximaal beschikbaar is en fouten kan verwerken.
Quickstart-sjabloon voor maximaal beschikbare bestandsserver en SQL Server
Er is nu een snelstartsjabloon voor referentiearchitectuur beschikbaar waarmee een bestandsserver en SQL Server worden geïmplementeerd. Deze sjabloon ondersteunt Active Directory-infrastructuur in een virtueel netwerk dat is geconfigureerd ter ondersteuning van een maximaal beschikbare implementatie van Azure-app Service in Azure Stack Hub.
Belangrijk
Deze sjabloon wordt aangeboden als referentie of voorbeeld van hoe u de vereisten kunt implementeren. Omdat de Azure Stack Hub Operator deze servers beheert, met name in productieomgevingen, moet u de sjabloon zo nodig of vereist configureren voor uw organisatie.
Notitie
Het geïntegreerde systeemexemplaren moeten resources kunnen downloaden van GitHub om de implementatie te kunnen voltooien.
Stappen voor het implementeren van een aangepaste bestandsserver
Belangrijk
Als u Ervoor kiest Om App Service in een bestaand virtueel netwerk te implementeren, moet de bestandsserver worden geïmplementeerd in een afzonderlijk subnet van App Service.
Notitie
Als u ervoor hebt gekozen om een bestandsserver te implementeren met behulp van een van de bovenstaande quickstart-sjablonen, kunt u deze sectie overslaan omdat de bestandsservers zijn geconfigureerd als onderdeel van de sjabloonimplementatie.
Groepen en accounts inrichten in Active Directory
Maak de volgende globale Active Directory-beveiligingsgroepen:
- FileShareOwners
- FileShareUsers
Maak de volgende Active Directory-accounts als serviceaccounts:
- FileShareOwner
- FileShareUser
Als best practice voor beveiliging moeten de gebruikers voor deze accounts (en voor alle webrollen) uniek zijn en sterke gebruikersnamen en wachtwoorden hebben. Stel de wachtwoorden in met de volgende voorwaarden:
- Wachtwoord inschakelen verloopt nooit.
- Gebruiker kan het wachtwoord niet wijzigen.
- Gebruiker moet wachtwoord wijzigen bij volgende aanmelding.
Voeg de accounts als volgt toe aan de groepslidmaatschappen:
- Voeg FileShareOwner toe aan de groep FileShareOwners.
- Voeg FileShareUser toe aan de groep FileShareUsers .
Groepen en accounts inrichten in een werkgroep
Notitie
Wanneer u een bestandsserver configureert, voert u alle volgende opdrachten uit vanaf een administratoropdrachtprompt.
Gebruik PowerShell niet.
Wanneer u de Azure Resource Manager-sjabloon gebruikt, worden de gebruikers al gemaakt.
Voer de volgende opdrachten uit om de FileShareOwner- en FileShareUser-accounts te maken. Vervang
<password>door uw eigen waarden.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noStel de wachtwoorden voor de accounts in om nooit te verlopen door de volgende WMIC-opdrachten uit te voeren:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEMaak de lokale groepen FileShareUsers en FileShareOwners en voeg de accounts toe in de eerste stap:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
De inhoudsshare inrichten
De inhoudsshare bevat inhoud van tenantwebsites. De procedure voor het inrichten van de inhoudsshare op één bestandsserver is hetzelfde voor zowel Active Directory- als werkgroepomgevingen. Het is echter anders voor een failovercluster in Active Directory.
De inhoudsshare inrichten op één bestandsserver (Active Directory of werkgroep)
Voer op één bestandsserver de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid. Vervang de waarde voor C:\WebSites door de bijbehorende paden in uw omgeving.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Toegangsbeheer configureren voor de shares
Voer de volgende opdrachten uit op een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op het failoverclusterknooppunt. Dit is de eigenaar van de huidige clusterresource. Vervang waarden cursief door waarden die specifiek zijn voor uw omgeving.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Workgroup
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
De SQL Server-instantie voorbereiden
Notitie
Als u ervoor hebt gekozen om de quickstart-sjabloon voor maximaal beschikbare bestandsserver en SQL Server te implementeren, kunt u deze sectie overslaan wanneer de sjabloon SQL Server in een hoge beschikbaarheidsconfiguratie implementeert en configureert.
Voor de Azure-app Service in Azure Stack Hub-hosting- en meterdatabases moet u een SQL Server-exemplaar voorbereiden voor het opslaan van de App Service-databases.
Voor productie- en hoge beschikbaarheidsdoeleinden moet u een volledige versie van SQL Server 2014 SP2 of hoger gebruiken, verificatie in gemengde modus inschakelen en implementeren in een maximaal beschikbare configuratie.
Het SQL Server-exemplaar voor Azure-app Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service-rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.
Notitie
Er zijn een aantal SQL IaaS VM-installatiekopieën beschikbaar via de marketplace-beheerfunctie. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VIRTUELE machine implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die zijn gemaakt op basis van deze installatiekopieën, bieden de IaaS-extensie en de bijbehorende portalverbeteringen functies zoals automatische patches en back-upmogelijkheden.
Voor een van de SQL Server-rollen kunt u een standaardexemplaren of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.
Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Als u database-insluiting wilt inschakelen op de SQL Server die als host fungeert voor de App Service-databases, voert u de volgende SQL-opdrachten uit:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificaten en serverconfiguratie (ASDK)
Deze sectie bevat de vereisten voor ASDK-implementaties.
Certificaten die vereist zijn voor de ASDK-implementatie van Azure-app Service
Het script Create-AppServiceCerts.ps1 werkt samen met de Azure Stack Hub-certificeringsinstantie om de vier certificaten te maken die App Service nodig heeft.
| Bestandsnaam | Gebruik |
|---|---|
| _.appservice.local.azurestack.external.pfx | Standaard-SSL-certificaat voor App Service |
| api.appservice.local.azurestack.external.pfx | SSL-certificaat voor App Service-API |
| ftp.appservice.local.azurestack.external.pfx | SSL-certificaat voor App Service-uitgever |
| sso.appservice.local.azurestack.external.pfx | App Service-toepassingscertificaat voor identiteit |
Voer de volgende stappen uit om de certificaten te maken:
- Meld u aan bij de ASDK-host met behulp van het AzureStack\AzureStackAdmin-account.
- Open een PowerShell-sessie met verhoogde bevoegdheid.
- Voer het script Create-AppServiceCerts.ps1 uit vanuit de map waarin u de helperscripts hebt uitgepakt. Met dit script worden vier certificaten gemaakt in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.
- Voer een wachtwoord in om de PFX-bestanden te beveiligen en noteer het. U moet deze later invoeren in het App Service-installatieprogramma in Azure Stack Hub.
Scriptparameters voor Create-AppServiceCerts.ps1
| Parameter | Vereist of optioneel | Default value | Beschrijving |
|---|---|---|---|
| pfxPassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd |
| DomainName | Vereist | local.azurestack.external | Azure Stack Hub-regio en domeinachtervoegsel |
Quickstartsjabloon voor bestandsserver voor implementaties van Azure-app Service op ASDK.
Alleen voor ASDK-implementaties kunt u het azure Resource Manager-implementatiesjabloon gebruiken om een geconfigureerde bestandsserver met één knooppunt te implementeren. De bestandsserver met één knooppunt bevindt zich in een werkgroep.
Notitie
Het ASDK-exemplaar moet resources kunnen downloaden van GitHub om de implementatie te voltooien.
SQL Server-exemplaar
Voor de Azure-app Service in Azure Stack Hub-hosting- en meterdatabases moet u een SQL Server-exemplaar voorbereiden voor het opslaan van de App Service-databases.
Voor ASDK-implementaties kunt u SQL Server Express 2014 SP2 of hoger gebruiken. SQL Server moet zijn geconfigureerd ter ondersteuning van verificatie in de gemengde modus , omdat App Service op Azure Stack Hub geen ondersteuning biedt voor Windows-verificatie.
Het SQL Server-exemplaar voor Azure-app Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service-rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.
Notitie
Er zijn een aantal SQL IaaS VM-installatiekopieën beschikbaar via de marketplace-beheerfunctie. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VIRTUELE machine implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die zijn gemaakt op basis van deze installatiekopieën, bieden de IaaS-extensie en de bijbehorende portalverbeteringen functies zoals automatische patches en back-upmogelijkheden.
Voor een van de SQL Server-rollen kunt u een standaardexemplaren of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.
Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Als u database-insluiting wilt inschakelen op de SQL Server die als host fungeert voor de App Service-databases, voert u de volgende SQL-opdrachten uit:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Licentieproblemen voor vereiste bestandsserver en SQL-server
Azure-app Service in Azure Stack Hub vereist dat een bestandsserver en SQL Server worden uitgevoerd. U kunt vooraf bestaande resources buiten uw Azure Stack Hub-implementatie gebruiken of resources implementeren binnen hun Standaardproviderabonnement voor Azure Stack Hub.
Als u ervoor kiest om de resources binnen uw Standaardproviderabonnement voor Azure Stack Hub te implementeren, zijn de licenties voor deze resources (Windows Server-licenties en SQL Server-licenties) opgenomen in de kosten van Azure-app Service in Azure Stack Hub, afhankelijk van de volgende beperkingen:
- de infrastructuur wordt geïmplementeerd in het standaardproviderabonnement;
- de infrastructuur wordt uitsluitend gebruikt door de Azure-app Service op Azure Stack Hub-resourceprovider. Geen andere werkbelastingen, beheer (andere resourceproviders, bijvoorbeeld: SQL-RP) of tenant (bijvoorbeeld: tenant-apps waarvoor een database is vereist), mogen gebruikmaken van deze infrastructuur.
Operationele verantwoordelijkheid van bestands- en SQL-servers
Cloudoperators zijn verantwoordelijk voor het onderhoud en de werking van de bestandsserver en SQL Server. De resourceprovider beheert deze resources niet. De cloudoperator is verantwoordelijk voor het maken van een back-up van de App Service-databases en de tenantinhoudsbestandsshare.
Het Azure Resource Manager-basiscertificaat voor Azure Stack Hub ophalen
Open een PowerShell-sessie met verhoogde bevoegdheid op een computer die het bevoegde eindpunt kan bereiken op het geïntegreerde Azure Stack Hub-systeem of de ASDK-host.
Voer het get-AzureStackRootCert.ps1-script uit vanuit de map waarin u de helperscripts hebt uitgepakt. Het script maakt een basiscertificaat in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.
Wanneer u de volgende PowerShell-opdracht uitvoert, moet u het bevoegde eindpunt en de referenties voor AzureStack\CloudAdmin opgeven.
Get-AzureStackRootCert.ps1
Get-AzureStackRootCert.ps1-scriptparameters
| Parameter | Vereist of optioneel | Default value | Beschrijving |
|---|---|---|---|
| PrivilegedEndpoint | Vereist | AzS-ERCS01 | Privileged-eindpunt |
| CloudAdminCredential | Vereist | AzureStack\CloudAdmin | Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders |
Netwerk- en identiteitsconfiguratie
Virtueel netwerk
Notitie
De precreëring van een aangepast virtueel netwerk is optioneel omdat de Azure-app-service in Azure Stack Hub het vereiste virtuele netwerk kan maken, maar vervolgens moet communiceren met SQL en Bestandsserver via openbare IP-adressen. Als u de App Service HA File Server- en SQL Server-quickstart-sjabloon gebruikt om de vereiste SQL- en Bestandsserverbronnen te implementeren, implementeert de sjabloon ook een virtueel netwerk.
Azure-app Service in Azure Stack Hub kunt u de resourceprovider implementeren in een bestaand virtueel netwerk of kunt u een virtueel netwerk maken als onderdeel van de implementatie. Met behulp van een bestaand virtueel netwerk kan het gebruik van interne IP-adressen verbinding maken met de bestandsserver en SQL Server die vereist zijn voor Azure-app Service in Azure Stack Hub. Het virtuele netwerk moet worden geconfigureerd met het volgende adresbereik en subnetten voordat u Azure-app Service installeert in Azure Stack Hub:
Virtueel netwerk - /16
Subnetten
- ControllersSubnet-/24
- ManagementServersSubnet-/24
- FrontEndsSubnet-/24
- PublishersSubnet-/24
- WorkersSubnet-/21
Belangrijk
Als u Ervoor kiest Om App Service in een bestaand virtueel netwerk te implementeren, moet de SQL Server worden geïmplementeerd in een afzonderlijk subnet van App Service en de bestandsserver.
Een identiteitstoepassing maken om SSO-scenario's in te schakelen
Azure-app Service maakt gebruik van een identiteitstoepassing (service-principal) ter ondersteuning van de volgende bewerkingen:
- Integratie van virtuele-machineschaalsets op werklagen.
- Eenmalige aanmelding voor de Azure Functions-portal en geavanceerde hulpprogramma's voor ontwikkelaars (Kudu).
Afhankelijk van de id-provider die de Azure Stack Hub gebruikt, moet u microsoft Entra-id of Active Directory Federation Services (ADFS) de juiste stappen volgen om de service-principal te maken voor gebruik door de Azure-app-service op Azure Stack Hub-resourceprovider.
Een Microsoft Entra-app maken
Volg deze stappen om de service-principal te maken in uw Microsoft Entra-tenant:
- Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
- Ga naar de locatie van de scripts die u hebt gedownload en geëxtraheerd in de vereiste stap.
- Installeer PowerShell voor Azure Stack Hub.
- Voer het script Create-AADIdentityApp.ps1 uit. Wanneer u hierom wordt gevraagd, voert u de Tenant-id van Microsoft Entra in die u gebruikt voor uw Azure Stack Hub-implementatie. Voer bijvoorbeeld myazurestack.onmicrosoft.com in.
- Voer in het venster Referentie uw microsoft Entra-servicebeheerdersaccount en wachtwoord in. Selecteer OK.
- Voer het pad naar het certificaatbestand en het certificaatwachtwoord in voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat voor deze stap is gemaakt, is standaard sso.appservice.local.azurestack.external.pfx.
- Noteer de toepassings-id die wordt geretourneerd in de PowerShell-uitvoer. U gebruikt de id in de volgende stappen om toestemming te geven voor de machtigingen van de toepassing en tijdens de installatie.
- Open een nieuw browservenster en meld u als microsoft Entra-servicebeheerder aan bij Azure Portal .
- Open de Microsoft Entra-service.
- Selecteer App-registraties in het linkerdeelvenster.
- Zoek de toepassings-id die u in stap 7 hebt genoteerd.
- Selecteer de App Service-toepassingsregistratie in de lijst.
- Selecteer API-machtigingen in het linkerdeelvenster.
- Selecteer Beheerderstoestemming verlenen voor <tenant>, waarbij <de tenant> de naam is van uw Microsoft Entra-tenant. Bevestig de toestemmingstoekenning door Ja te selecteren.
Create-AADIdentityApp.ps1
| Parameter | Vereist of optioneel | Default value | Beschrijving |
|---|---|---|---|
| DirectoryTenantName | Vereist | Null | Tenant-id van Microsoft Entra. Geef de GUID of tekenreeks op. Een voorbeeld is myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Vereist | Null | Azure Resource Manager-eindpunt beheren. Een voorbeeld is adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Vereist | Null | Tenant Azure Resource Manager-eindpunt. Een voorbeeld is management.local.azurestack.external. |
| AzureStackAdminCredential | Vereist | Null | Microsoft Entra-servicebeheerdersreferenties. |
| CertificateFilePath | Vereist | Null | Volledig pad naar het certificaatbestand van de identiteitstoepassing dat eerder is gegenereerd. |
| CertificatePassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd. |
| Omgeving | Optioneel | AzureCloud | De naam van de ondersteunde cloudomgeving waarin de Azure Active Directory Graph-doelservice beschikbaar is. Toegestane waarden: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Een ADFS-app maken
- Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
- Ga naar de locatie van de scripts die u hebt gedownload en geëxtraheerd in de vereiste stap.
- Installeer PowerShell voor Azure Stack Hub.
- Voer het script Create-ADFSIdentityApp.ps1 uit.
- Voer in het venster Referentie uw AD FS-cloudbeheerdersaccount en wachtwoord in. Selecteer OK.
- Geef het pad naar het certificaatbestand en het certificaatwachtwoord op voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat voor deze stap is gemaakt, is standaard sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parameter | Vereist of optioneel | Default value | Beschrijving |
|---|---|---|---|
| AdminArmEndpoint | Vereist | Null | Azure Resource Manager-eindpunt beheren. Een voorbeeld is adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Vereist | Null | Bevoegd eindpunt. Een voorbeeld is AzS-ERCS01. |
| CloudAdminCredential | Vereist | Null | Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders. Een voorbeeld is Azurestack\CloudAdmin. |
| CertificateFilePath | Vereist | Null | Volledig pad naar het PFX-certificaatbestand van de identiteitstoepassing. |
| CertificatePassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd. |
Items downloaden van Azure Marketplace
Azure-app Service in Azure Stack Hub vereist dat items worden gedownload van Azure Marketplace, zodat ze beschikbaar zijn in Azure Stack Hub Marketplace. Deze items moeten worden gedownload voordat u de implementatie of upgrade van Azure-app Service in Azure Stack Hub start:
Belangrijk
Windows Server Core is geen ondersteunde platforminstallatiekopieën voor gebruik met Azure-app Service in Azure Stack Hub.
Gebruik geen evaluatie-installatiekopieën voor productie-implementaties.
- De nieuwste versie van de VM-installatiekopieën van Windows Server 2022 Datacenter.
Windows Server 2022 Datacenter Volledige VM-installatiekopie met Microsoft.Net 3.5.1 SP1 geactiveerd. Azure-app Service in Azure Stack Hub vereist dat Microsoft .NET 3.5.1 SP1 is geactiveerd op de installatiekopie die wordt gebruikt voor implementatie. Voor Windows Server 2022-installatiekopieën met Marketplace is deze functie niet ingeschakeld en in niet-verbonden omgevingen kan Microsoft Update niet worden bereikt om de pakketten te downloaden die via DISM moeten worden geïnstalleerd. Daarom moet u een Windows Server 2022-installatiekopieën maken en gebruiken met deze functie vooraf ingeschakeld met niet-verbonden implementaties.
Zie Een aangepaste VM-installatiekopieën toevoegen aan Azure Stack Hub voor meer informatie over het maken van een aangepaste installatiekopieën en toevoegen aan Marketplace. Zorg ervoor dat u de volgende eigenschappen opgeeft wanneer u de installatiekopieën toevoegt aan Marketplace:
- Publisher = MicrosoftWindowsServer
- Aanbieding = WindowsServer
- SKU = AppService
- Versie = Geef de nieuwste versie op
- Aangepaste scriptextensie v1.9.1 of hoger. Dit item is een VM-extensie.