Wymagania wstępne dotyczące wdrażania usługi App Service w usłudze Azure Stack Hub
Ważne
Zaktualizuj usługę Azure Stack Hub do obsługiwanej wersji (lub w razie potrzeby wdróż najnowszy zestaw Azure Stack Development Kit) przed wdrożeniem lub zaktualizowaniem dostawcy zasobów usługi App Service. Pamiętaj, aby zapoznać się z informacjami o wersji dostawcy usług, aby dowiedzieć się więcej o nowych funkcjach, poprawkach i wszelkich znanych problemach, które mogą mieć wpływ na wdrożenie.
Obsługiwana minimalna wersja usługi Azure Stack Hub Wersja dostawcy usługi App Service 2301 i nowsze Instalator 2302 (informacje o wersji)
Przed wdrożeniem usługi aplikacja systemu Azure w usłudze Azure Stack Hub należy wykonać kroki wymagań wstępnych w tym artykule.
Przed rozpoczęciem
W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zintegrowanego systemu i zestawu Azure Stack Development Kit (ASDK).
Wymagania wstępne dostawcy zasobów
Jeśli masz już zainstalowanego dostawcę zasobów, prawdopodobnie zostały spełnione następujące wymagania wstępne i możesz pominąć tę sekcję. W przeciwnym razie przed kontynuowaniem wykonaj następujące kroki:
Jeśli jeszcze tego nie zrobiono, zarejestruj wystąpienie usługi Azure Stack Hub na platformie Azure. Ten krok jest wymagany, ponieważ nawiąż połączenie z witryną Marketplace i pobierzesz elementy z platformy Azure.
Jeśli nie znasz funkcji Zarządzanie witryną Marketplace portalu administratora usługi Azure Stack Hub, zapoznaj się z artykułem Pobieranie elementów witryny Marketplace z platformy Azure i publikowanie w usłudze Azure Stack Hub. W tym artykule przedstawiono proces pobierania elementów z platformy Azure do witryny Azure Stack Hub Marketplace. Obejmuje zarówno scenariusze połączone, jak i rozłączone. Jeśli wystąpienie usługi Azure Stack Hub jest odłączone lub częściowo połączone, dodatkowe wymagania wstępne należy wykonać w ramach przygotowań do instalacji.
Zaktualizuj katalog główny firmy Microsoft Entra. Począwszy od kompilacji 1910, nowa aplikacja musi być zarejestrowana w dzierżawie katalogu macierzystego. Ta aplikacja umożliwi usłudze Azure Stack Hub pomyślne utworzenie i zarejestrowanie nowszych dostawców zasobów (takich jak Event Hubs i inne) w dzierżawie firmy Microsoft Entra. Jest to jednorazowa akcja, którą należy wykonać po uaktualnieniu do kompilacji 1910 lub nowszej. Jeśli ten krok nie zostanie ukończony, instalacje dostawcy zasobów platformy Handlowej nie powiedzą się.
- Po pomyślnym zaktualizowaniu wystąpienia usługi Azure Stack Hub do wersji 1910 lub nowszej postępuj zgodnie z instrukcjami dotyczącymi klonowania/pobierania repozytorium Narzędzi usługi Azure Stack Hub.
- Następnie postępuj zgodnie z instrukcjami dotyczącymi aktualizowania katalogu głównego firmy Microsoft Microsoft Entra Hub (po zainstalowaniu aktualizacji lub nowych dostawców zasobów).
Skrypty instalatora i pomocnika
Pobierz usługę App Service w skryptach pomocnika wdrażania usługi Azure Stack Hub.
Uwaga
Skrypty pomocnika wdrażania wymagają modułu AzureRM PowerShell. Aby uzyskać szczegółowe informacje o instalacji, zobacz Instalowanie modułu AzureRM programu PowerShell dla usługi Azure Stack Hub .
Pobierz instalatora usługi App Service w usłudze Azure Stack Hub.
Wyodrębnij pliki ze skryptów pomocnika .zip pliku. Wyodrębnione są następujące pliki i foldery:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Folder Modules
- GraphAPI.psm1
Certyfikaty i konfiguracja serwera (zintegrowane systemy)
W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zintegrowanych systemów.
Wymagania dotyczące certyfikatu
Aby uruchomić dostawcę zasobów w środowisku produkcyjnym, należy podać następujące certyfikaty:
- Domyślny certyfikat domeny
- Certyfikat interfejsu API
- Publikowanie certyfikatu
- Certyfikat tożsamości
Oprócz konkretnych wymagań wymienionych w poniższych sekcjach użyjesz również narzędzia do późniejszego przetestowania pod kątem ogólnych wymagań. Aby uzyskać pełną listę weryfikacji, zobacz Weryfikowanie certyfikatów PKI usługi Azure Stack Hub, w tym:
- Format pliku . PFX
- Użycie klucza ustawione na serwer i uwierzytelnianie klienta
- i kilka innych
Domyślny certyfikat domeny
Domyślny certyfikat domeny jest umieszczany w roli frontonu. Aplikacje użytkowników do obsługi symboli wieloznacznych lub domyślnego żądania domeny do aplikacja systemu Azure Service używają tego certyfikatu. Certyfikat jest również używany na potrzeby operacji kontroli źródła (Kudu).
Certyfikat musi być w formacie pfx i powinien być certyfikatem wieloznacznymi z trzema podmiotami. To wymaganie umożliwia jednemu certyfikatowi pokrycie zarówno domeny domyślnej, jak i punktu końcowego SCM na potrzeby operacji kontroli źródła.
| Format | Przykład |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certyfikat interfejsu API
Certyfikat interfejsu API jest umieszczany w roli Zarządzanie. Dostawca zasobów używa go do zabezpieczania wywołań interfejsu API. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS interfejsu API.
| Format | Przykład |
|---|---|
| api.appservice.<region>.<Nazwadomeny>.<rozszerzenie> | api.appservice.redmond.azurestack.external |
Publikowanie certyfikatu
Certyfikat roli Wydawca zabezpiecza ruch FTPS dla właścicieli aplikacji podczas przekazywania zawartości. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS FTPS.
| Format | Przykład |
|---|---|
| ftp.appservice.<region>.<Nazwadomeny>.<rozszerzenie> | ftp.appservice.redmond.azurestack.external |
Certyfikat tożsamości
Certyfikat dla aplikacji tożsamości umożliwia:
- Integracja między katalogiem Microsoft Entra ID lub Active Directory Federation Services (AD FS), Usługą Azure Stack Hub i usługą App Service w celu obsługi integracji z dostawcą zasobów obliczeniowych.
- Scenariusze logowania jednokrotnego dla zaawansowanych narzędzi deweloperskich w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub.
Certyfikat tożsamości musi zawierać temat zgodny z następującym formatem.
| Format | Przykład |
|---|---|
| sso.appservice.<region>.<Nazwadomeny>.<rozszerzenie> | sso.appservice.redmond.azurestack.external |
Weryfikowanie certyfikatów
Przed wdrożeniem dostawcy zasobów usługi App Service należy zweryfikować certyfikaty, które mają być używane przy użyciu narzędzia do sprawdzania gotowości usługi Azure Stack Hub dostępnego w Galeria programu PowerShell. Narzędzie do sprawdzania gotowości usługi Azure Stack Hub sprawdza, czy wygenerowane certyfikaty PKI są odpowiednie do wdrożenia usługi App Service.
Najlepszym rozwiązaniem jest to, że podczas pracy z dowolnym z niezbędnych certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub należy zaplanować wystarczającą ilość czasu na przetestowanie i ponowne utworzenie certyfikatów w razie potrzeby.
Przygotowywanie serwera plików
usługa aplikacja systemu Azure wymaga użycia serwera plików. W przypadku wdrożeń produkcyjnych serwer plików musi być skonfigurowany tak, aby był wysoce dostępny i mógł obsługiwać błędy.
Szablon szybkiego startu dla serwera plików o wysokiej dostępności i programu SQL Server
Szablon szybkiego startu dotyczący architektury referencyjnej jest teraz dostępny, który wdroży serwer plików i program SQL Server. Ten szablon obsługuje infrastrukturę usługi Active Directory w sieci wirtualnej skonfigurowanej do obsługi wdrożenia usługi aplikacja systemu Azure Service w usłudze Azure Stack Hub o wysokiej dostępności.
Ważne
Ten szablon jest oferowany jako odwołanie lub przykład sposobu wdrażania wymagań wstępnych. Ponieważ operator usługi Azure Stack Hub zarządza tymi serwerami, zwłaszcza w środowiskach produkcyjnych, należy skonfigurować szablon zgodnie z potrzebami lub wymaganiami organizacji.
Uwaga
Zintegrowane wystąpienie systemu musi mieć możliwość pobierania zasobów z usługi GitHub w celu ukończenia wdrożenia.
Kroki wdrażania niestandardowego serwera plików
Ważne
Jeśli zdecydujesz się wdrożyć usługę App Service w istniejącej sieci wirtualnej, serwer plików powinien zostać wdrożony w oddzielnej podsieci od usługi App Service.
Uwaga
Jeśli wybrano wdrożenie serwera plików przy użyciu jednego z szablonów szybkiego startu wymienionych powyżej, możesz pominąć tę sekcję, ponieważ serwery plików są konfigurowane w ramach wdrożenia szablonu.
Aprowizowanie grup i kont w usłudze Active Directory
Utwórz następujące globalne grupy zabezpieczeń usługi Active Directory:
- Właściciele udziałów plików
- FileShareUsers
Utwórz następujące konta usługi Active Directory jako konta usług:
- FileShareOwner
- FileShareUser
Najlepszym rozwiązaniem w zakresie zabezpieczeń jest to, że użytkownicy tych kont (i dla wszystkich ról sieci Web) powinni być unikatowi i mieć silne nazwy użytkowników i hasła. Ustaw hasła przy użyciu następujących warunków:
- Włącz hasło nigdy nie wygasa.
- Włącz opcję Użytkownik nie może zmienić hasła.
- Wyłącz opcję Użytkownik musi zmienić hasło przy następnym logowaniu.
Dodaj konta do członkostwa w grupach w następujący sposób:
- Dodaj element FileShareOwner do grupy FileShareOwners .
- Dodaj element FileShareUser do grupy FileShareUsers .
Aprowizuj grupy i konta w grupie roboczej
Uwaga
Podczas konfigurowania serwera plików uruchom wszystkie następujące polecenia w wierszu polecenia administratora.
Nie używaj programu PowerShell.
Gdy używasz szablonu usługi Azure Resource Manager, użytkownicy są już utworzeni.
Uruchom następujące polecenia, aby utworzyć konta FileShareOwner i FileShareUser. Zastąp
<password>ciąg własnymi wartościami.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noUstaw hasła dla kont, aby nigdy nie wygasały, uruchamiając następujące polecenia WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEUtwórz grupy lokalne FileShareUsers i FileShareOwners i dodaj konta w pierwszym kroku do nich:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Aprowizuj udział zawartości
Udział zawartości zawiera zawartość witryny sieci Web dzierżawy. Procedura aprowizacji udziału zawartości na jednym serwerze plików jest taka sama zarówno w środowiskach usługi Active Directory, jak i grupy roboczej. Jednak różni się to w przypadku klastra trybu failover w usłudze Active Directory.
Aprowizuj udział zawartości na jednym serwerze plików (active directory lub grupie roboczej)
Na jednym serwerze plików uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień. Zastąp wartość parametru C:\WebSites odpowiednimi ścieżkami w danym środowisku.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurowanie kontroli dostępu do udziałów
Uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików lub w węźle klastra trybu failover, który jest bieżącym właścicielem zasobu klastra. Zastąp wartości kursywą wartościami specyficznymi dla danego środowiska.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Workgroup
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Przygotowywanie wystąpienia programu SQL Server
Uwaga
Jeśli wybrano wdrożenie szablonu Szybkiego startu dla serwera plików o wysokiej dostępności i programu SQL Server, możesz pominąć tę sekcję, ponieważ szablon wdraża i konfiguruje program SQL Server w konfiguracji wysokiej dostępności.
W przypadku usługi aplikacja systemu Azure w usłudze Azure Stack Hub hostowania i pomiarów baz danych należy przygotować wystąpienie programu SQL Server do przechowywania baz danych usługi App Service.
W celach produkcyjnych i wysokiej dostępności należy użyć pełnej wersji programu SQL Server 2014 SP2 lub nowszej, włączyć uwierzytelnianie w trybie mieszanym i wdrożyć w konfiguracji o wysokiej dostępności.
Wystąpienie programu SQL Server dla usługi aplikacja systemu Azure w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról usługi App Service. Program SQL Server można wdrożyć w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu witryny Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.
Uwaga
Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji Zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu z witryny Marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS sql. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu udostępniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.
W przypadku dowolnej z ról programu SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, pamiętaj, aby ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.
Instalator usługi App Service sprawdzi, czy program SQL Server ma włączoną funkcję zawierania bazy danych. Aby włączyć zawieranie bazy danych w programie SQL Server, który będzie hostować bazy danych usługi App Service, uruchom następujące polecenia SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certyfikaty i konfiguracja serwera (ASDK)
W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zestawu ASDK.
Certyfikaty wymagane do wdrożenia zestawu ASDK usługi aplikacja systemu Azure Service
Skrypt Create-AppServiceCerts.ps1 współpracuje z urzędem certyfikacji usługi Azure Stack Hub w celu utworzenia czterech certyfikatów, których potrzebuje usługa App Service.
| Nazwa pliku | Używanie |
|---|---|
| _.appservice.local.azurestack.external.pfx | Domyślny certyfikat SSL usługi App Service |
| api.appservice.local.azurestack.external.pfx | Certyfikat SSL interfejsu API usługi App Service |
| ftp.appservice.local.azurestack.external.pfx | Certyfikat SSL wydawcy usługi App Service |
| sso.appservice.local.azurestack.external.pfx | Certyfikat aplikacji tożsamości usługi App Service |
Aby utworzyć certyfikaty, wykonaj następujące kroki:
- Zaloguj się do hosta ASDK przy użyciu konta AzureStack\AzureStackAdmin.
- Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.
- Uruchom skrypt Create-AppServiceCerts.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Ten skrypt tworzy cztery certyfikaty w tym samym folderze co skrypt wymagany przez usługę App Service do tworzenia certyfikatów.
- Wprowadź hasło, aby zabezpieczyć pliki pfx i zanotuj je. Musisz wprowadzić go później w instalatorze usługi App Service w usłudze Azure Stack Hub.
Parametry skryptu Create-AppServiceCerts.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | opis |
|---|---|---|---|
| pfxPassword | Wymagania | Null (zero) | Hasło, które pomaga chronić klucz prywatny certyfikatu |
| DomainName | Wymagania | local.azurestack.external | Sufiks regionu i domeny usługi Azure Stack Hub |
Szablon szybkiego startu dla serwera plików dla wdrożeń usługi aplikacja systemu Azure w zestawie ASDK.
Tylko w przypadku wdrożeń zestawu ASDK można użyć przykładowego szablonu wdrażania usługi Azure Resource Manager, aby wdrożyć skonfigurowany serwer plików z jednym węzłem. Serwer plików z jednym węzłem będzie znajdować się w grupie roboczej.
Uwaga
Wystąpienie zestawu ASDK musi być w stanie pobrać zasoby z usługi GitHub, aby ukończyć wdrożenie.
Wystąpienie programu SQL Server
W przypadku usługi aplikacja systemu Azure w usłudze Azure Stack Hub hostowania i pomiarów baz danych należy przygotować wystąpienie programu SQL Server do przechowywania baz danych usługi App Service.
W przypadku wdrożeń zestawu ASDK można użyć programu SQL Server Express 2014 SP2 lub nowszego. Program SQL Server musi być skonfigurowany do obsługi uwierzytelniania w trybie mieszanym, ponieważ usługa App Service w usłudze Azure Stack Hub nie obsługuje uwierzytelniania systemu Windows.
Wystąpienie programu SQL Server dla usługi aplikacja systemu Azure w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról usługi App Service. Program SQL Server można wdrożyć w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu witryny Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.
Uwaga
Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji Zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu z witryny Marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS sql. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu udostępniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.
W przypadku dowolnej z ról programu SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, pamiętaj, aby ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.
Instalator usługi App Service sprawdzi, czy program SQL Server ma włączoną funkcję zawierania bazy danych. Aby włączyć zawieranie bazy danych w programie SQL Server, który będzie hostować bazy danych usługi App Service, uruchom następujące polecenia SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Zagadnienia dotyczące licencjonowania wymaganego serwera plików i programu SQL Server
usługa aplikacja systemu Azure w usłudze Azure Stack Hub wymaga działania serwera plików i programu SQL Server. Możesz korzystać ze wstępnie istniejących zasobów znajdujących się poza wdrożeniem usługi Azure Stack Hub lub wdrażać zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub.
Jeśli zdecydujesz się wdrożyć zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub, licencje dla tych zasobów (licencje systemu Windows Server i licencje programu SQL Server) są uwzględniane w kosztach usługi aplikacja systemu Azure w usłudze Azure Stack Hub z zastrzeżeniem następujących ograniczeń:
- infrastruktura jest wdrażana w domyślnej subskrypcji dostawcy;
- infrastruktura jest używana wyłącznie przez usługę aplikacja systemu Azure u dostawcy zasobów usługi Azure Stack Hub. Brak innych obciążeń, administracyjnych (innych dostawców zasobów, na przykład SQL-RP) lub dzierżawy (na przykład: aplikacje dzierżawy, które wymagają bazy danych), mogą korzystać z tej infrastruktury.
Operacyjna odpowiedzialność za pliki i serwery SQL
Operatorzy chmury są odpowiedzialni za konserwację i działanie serwera plików i programu SQL Server. Dostawca zasobów nie zarządza tymi zasobami. Operator chmury jest odpowiedzialny za tworzenie kopii zapasowych baz danych usługi App Service i udziału plików zawartości dzierżawy.
Pobieranie certyfikatu głównego usługi Azure Resource Manager dla usługi Azure Stack Hub
Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień na komputerze, który może uzyskać dostęp do uprzywilejowanego punktu końcowego na zintegrowanym systemie usługi Azure Stack Hub lub hoście ASDK.
Uruchom skrypt Get-AzureStackRootCert.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Skrypt tworzy certyfikat główny w tym samym folderze co skrypt wymagany przez usługę App Service do tworzenia certyfikatów.
Po uruchomieniu następującego polecenia programu PowerShell należy podać uprzywilejowany punkt końcowy i poświadczenia dla usługi AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parametry skryptu Get-AzureStackRootCert.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | opis |
|---|---|---|---|
| PrivilegedEndpoint | Wymagania | AzS-ERCS01 | Uprzywilejowany punkt końcowy |
| CloudAdminCredential | Wymagania | AzureStack\CloudAdmin | Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub |
Konfiguracja sieci i tożsamości
Sieć wirtualna
Uwaga
Wstępne utworzenie niestandardowej sieci wirtualnej jest opcjonalne, ponieważ usługa aplikacja systemu Azure w usłudze Azure Stack Hub może utworzyć wymaganą sieć wirtualną, ale następnie będzie musiała komunikować się z programem SQL i serwerem plików za pośrednictwem publicznych adresów IP. Jeśli użyjesz szablonu Szybki start serwera plików wysokiej dostępności usługi App Service i programu SQL Server, aby wdrożyć wstępnie wymagane zasoby programu SQL i serwera plików, szablon wdroży również sieć wirtualną.
usługa aplikacja systemu Azure w usłudze Azure Stack Hub umożliwia wdrożenie dostawcy zasobów w istniejącej sieci wirtualnej lub utworzenie sieci wirtualnej w ramach wdrożenia. Użycie istniejącej sieci wirtualnej umożliwia korzystanie z wewnętrznych adresów IP w celu nawiązania połączenia z serwerem plików i programem SQL Server wymaganym przez usługę aplikacja systemu Azure w usłudze Azure Stack Hub. Przed zainstalowaniem usługi aplikacja systemu Azure Service w usłudze Azure Stack Hub należy skonfigurować sieć wirtualną z następującym zakresem adresów i podsieciami:
Sieć wirtualna — /16
Podsieci
- ControllersSubnet /24
- /24 ManagementServersSubnet
- /24 FrontEndsSubnet
- /24 PublishersSubnet
- /21 WorkerSubnet
Ważne
Jeśli zdecydujesz się wdrożyć usługę App Service w istniejącej sieci wirtualnej, program SQL Server powinien zostać wdrożony w oddzielnej podsieci od usługi App Service i serwera plików.
Tworzenie aplikacji tożsamości w celu włączenia scenariuszy logowania jednokrotnego
usługa aplikacja systemu Azure używa aplikacji tożsamości (jednostki usługi) do obsługi następujących operacji:
- Integracja zestawu skalowania maszyn wirtualnych w warstwach procesów roboczych.
- Logowanie jednokrotne dla portalu usługi Azure Functions i zaawansowanych narzędzi programistycznych (Kudu).
W zależności od dostawcy tożsamości używanego przez usługę Azure Stack Hub należy wykonać odpowiednie kroki, aby utworzyć jednostkę usługi do użycia przez usługę aplikacja systemu Azure Service w usłudze Azure Stack Hub.
Tworzenie aplikacji Microsoft Entra
Wykonaj następujące kroki, aby utworzyć jednostkę usługi w dzierżawie firmy Microsoft Entra:
- Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
- Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
- Zainstaluj program PowerShell dla usługi Azure Stack Hub.
- Uruchom skrypt Create-AADIdentityApp.ps1. Po wyświetleniu monitu wprowadź identyfikator dzierżawy firmy Microsoft Entra, którego używasz do wdrożenia usługi Azure Stack Hub. Na przykład wprowadź myazurestack.onmicrosoft.com.
- W oknie Credential (Poświadczenia) wprowadź swoje konto administratora usługi Microsoft Entra i hasło. Wybierz przycisk OK.
- Wprowadź ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
- Zanotuj identyfikator aplikacji zwrócony w danych wyjściowych programu PowerShell. Identyfikator jest używany w poniższych krokach, aby wyrazić zgodę na uprawnienia aplikacji i podczas instalacji.
- Otwórz nowe okno przeglądarki i zaloguj się do witryny Azure Portal jako administrator usługi Microsoft Entra.
- Otwórz usługę Microsoft Entra.
- Wybierz pozycję Rejestracje aplikacji w okienku po lewej stronie.
- Wyszukaj identyfikator aplikacji zanotowany w kroku 7.
- Wybierz rejestrację aplikacji usługi App Service z listy.
- Wybierz pozycję Uprawnienia interfejsu API w okienku po lewej stronie.
- Wybierz pozycję Udziel zgody administratora dla <dzierżawy>, gdzie <dzierżawa> jest nazwą dzierżawy firmy Microsoft Entra. Potwierdź udzielenie zgody, wybierając pozycję Tak.
Create-AADIdentityApp.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | opis |
|---|---|---|---|
| DirectoryTenantName | Wymagania | Null (zero) | Identyfikator dzierżawy entra firmy Microsoft. Podaj identyfikator GUID lub ciąg. Przykładem jest myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Wymagania | Null (zero) | Administrator punktu końcowego usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Wymagania | Null (zero) | Punkt końcowy dzierżawy usługi Azure Resource Manager. Przykładem jest zarządzanie.local.azurestack.external. |
| AzureStackAdminCredential | Wymagania | Null (zero) | Poświadczenia administratora usługi Entra firmy Microsoft. |
| CertificateFilePath | Wymagania | Null (zero) | Pełna ścieżka do wygenerowanego wcześniej pliku certyfikatu aplikacji tożsamości. |
| CertificatePassword | Wymagania | Null (zero) | Hasło, które pomaga chronić klucz prywatny certyfikatu. |
| Środowisko | Opcjonalnie | AzureCloud | Nazwa obsługiwanego środowiska chmury, w którym dostępna jest docelowa usługa Azure Active Directory Graph. Dozwolone wartości: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
Tworzenie aplikacji usług AD FS
- Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
- Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
- Zainstaluj program PowerShell dla usługi Azure Stack Hub.
- Uruchom skrypt Create-ADFSIdentityApp.ps1.
- W oknie Poświadczenia wprowadź swoje konto administratora chmury usług AD FS i hasło. Wybierz przycisk OK.
- Podaj ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | opis |
|---|---|---|---|
| AdminArmEndpoint | Wymagania | Null (zero) | Administrator punktu końcowego usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Wymagania | Null (zero) | Uprzywilejowany punkt końcowy. Przykładem jest AzS-ERCS01. |
| CloudAdminCredential | Wymagania | Null (zero) | Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub. Przykładem jest azurestack\CloudAdmin. |
| CertificateFilePath | Wymagania | Null (zero) | Pełna ścieżka do pliku PFX certyfikatu aplikacji tożsamości. |
| CertificatePassword | Wymagania | Null (zero) | Hasło, które pomaga chronić klucz prywatny certyfikatu. |
Pobieranie elementów z witryny Azure Marketplace
usługa aplikacja systemu Azure w usłudze Azure Stack Hub wymaga pobrania elementów z witryny Azure Marketplace, dzięki czemu będą one dostępne w witrynie Azure Stack Hub Marketplace. Te elementy należy pobrać przed rozpoczęciem wdrażania lub uaktualniania usługi aplikacja systemu Azure w usłudze Azure Stack Hub:
Ważne
Windows Server Core nie jest obsługiwanym obrazem platformy do użycia z usługą aplikacja systemu Azure w usłudze Azure Stack Hub.
Nie używaj obrazów ewaluacyjnych do wdrożeń produkcyjnych.
- Najnowsza wersja obrazu maszyny wirtualnej z systemem Windows Server 2022 Datacenter.
Obraz pełnej maszyny wirtualnej z systemem Windows Server 2022 z aktywowaną Microsoft.Net 3.5.1 z dodatkiem SP1. usługa aplikacja systemu Azure w usłudze Azure Stack Hub wymaga aktywowania programu Microsoft .NET 3.5.1 SP1 na obrazie używanym do wdrożenia. Obrazy z systemem Windows Server 2022 ze wskazanymi w witrynie Marketplace nie mają włączonej tej funkcji, a w środowiskach bez połączenia nie można nawiązać połączenia z usługą Microsoft Update w celu pobrania pakietów do zainstalowania za pośrednictwem narzędzia DISM. Dlatego należy utworzyć i użyć obrazu systemu Windows Server 2022 z tą funkcją wstępnie włączoną z odłączonymi wdrożeniami.
Aby uzyskać szczegółowe informacje na temat tworzenia obrazu niestandardowego i dodawania go do witryny Marketplace, zobacz Dodawanie niestandardowego obrazu maszyny wirtualnej do usługi Azure Stack Hub . Podczas dodawania obrazu do witryny Marketplace należy określić następujące właściwości:
- Publisher = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Wersja = Określ "najnowszą" wersję
- Rozszerzenie niestandardowego skryptu w wersji 1.9.1 lub nowszej. Ten element jest rozszerzeniem maszyny wirtualnej.