Pré-requisitos para a implementação do Serviço de Aplicações no Azure Stack Hub
Importante
Atualize o Azure Stack Hub para uma versão suportada (ou implante o Kit de Desenvolvimento do Azure Stack mais recente), se necessário, antes de implantar ou atualizar o provedor de recursos (RP) do Serviço de Aplicativo. Certifique-se de ler as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.
Versão mínima suportada do Azure Stack Hub Versão RP do Serviço de Aplicativo 2311 e seguintes 24R1 Instalador (notas de versão)
Antes de implantar o Serviço de Aplicativo do Azure no Azure Stack Hub, você deve concluir as etapas de pré-requisito neste artigo.
Antes de começar
Esta seção lista os pré-requisitos para implantações do sistema integrado e do Azure Stack Development Kit (ASDK).
Pré-requisitos do provedor de recursos
Se você já instalou um provedor de recursos, provavelmente concluiu os seguintes pré-requisitos e pode ignorar esta seção. Caso contrário, conclua estas etapas antes de continuar:
Registe a sua instância do Azure Stack Hub com o Azure, se ainda não o tiver feito. Esta etapa é necessária, pois você estará se conectando e baixando itens do Azure para o marketplace.
Se você não estiver familiarizado com o recurso Gerenciamento do Marketplace do portal do administrador do Azure Stack Hub, revise Baixar itens do marketplace do Azure e publique no Azure Stack Hub. O artigo orienta você pelo processo de download de itens do Azure para o mercado do Azure Stack Hub. Ele abrange cenários conectados e desconectados. Se sua instância do Azure Stack Hub estiver desconectada ou parcialmente conectada, há pré-requisitos adicionais a serem concluídos na preparação para a instalação.
Atualize o diretório inicial do Microsoft Entra. A partir da build 1910, um novo aplicativo deve ser registrado em seu locatário do diretório pessoal. Este aplicativo permitirá que o Azure Stack Hub crie e registre com êxito provedores de recursos mais recentes (como Hubs de Eventos e outros) com seu locatário do Microsoft Entra. Esta é uma ação única que precisa ser feita após a atualização para construir 1910 ou mais recente. Se esta etapa não for concluída, as instalações do provedor de recursos do marketplace falharão.
- Depois de atualizar com êxito sua instância do Azure Stack Hub para 1910 ou superior, siga as instruções para clonar/baixar o repositório do Azure Stack Hub Tools.
- Em seguida, siga as instruções para Atualizar o Diretório Base do Microsoft Entra do Hub de Pilha do Azure (após a instalação de atualizações ou novos Provedores de Recursos).
Scripts de instalação e auxiliar
Baixe os scripts auxiliares de implantação do Serviço de Aplicativo no Azure Stack Hub.
Nota
Os scripts auxiliares de implantação exigem o módulo AzureRM PowerShell. Consulte Instalar o módulo AzureRM do PowerShell para o Azure Stack Hub para obter detalhes da instalação.
Baixe o Serviço de Aplicativo no instalador do Azure Stack Hub.
Extraia os arquivos dos scripts auxiliares .zip arquivo. Os seguintes arquivos e pastas são extraídos:
- Comum.ps1
- Criar-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Pasta Módulos
- GraphAPI.psm1
Certificados e configuração do servidor (Sistemas Integrados)
Esta seção lista os pré-requisitos para implantações de sistemas integrados.
Requisitos dos certificados
Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:
- Certificado de domínio padrão
- Certificado API
- Certificado de publicação
- Certidão de identidade
Além dos requisitos específicos listados nas seções a seguir, você também usará uma ferramenta posteriormente para testar os requisitos gerais. Consulte Validar certificados PKI do Azure Stack Hub para obter a lista completa de validações, incluindo:
- Formato de ficheiro de . PFX
- Uso de chave definido para autenticação de servidor e cliente
- e vários outros
Certificado de domínio padrão
O certificado de domínio padrão é colocado na função front-end. Os aplicativos de usuário para curinga ou solicitação de domínio padrão para o Serviço de Aplicativo do Azure usam esse certificado. O certificado também é usado para operações de controle do código-fonte (Kudu).
O certificado deve estar no formato .pfx e deve ser um certificado curinga de três assuntos. Esse requisito permite que um certificado cubra o domínio padrão e o ponto de extremidade SCM para operações de controle do código-fonte.
Formato | Exemplo |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificado API
O certificado da API é colocado na função Gerenciamento. O provedor de recursos o usa para ajudar a proteger chamadas de API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.
Formato | Exemplo |
---|---|
api.appservice.<região>.<Nome de domínio>.<Extensão> | api.appservice.redmond.azurestack.external |
Certificado de publicação
O certificado para a função Publicador protege o tráfego FTPS para proprietários de aplicativos quando eles carregam conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS FTPS.
Formato | Exemplo |
---|---|
ftp.appservice.<região>.<Nome de domínio>.<Extensão> | ftp.appservice.redmond.azurestack.external |
Certidão de identidade
O certificado para o aplicativo de identidade permite:
- Integração entre o diretório Microsoft Entra ID ou Serviços de Federação do Ative Directory (AD FS), o Azure Stack Hub e o Serviço de Aplicativo para dar suporte à integração com o provedor de recursos de computação.
- Cenários de logon único para ferramentas avançadas de desenvolvedor no Serviço de Aplicativo do Azure no Azure Stack Hub.
O certificado de identidade deve conter uma entidade que corresponda ao seguinte formato.
Formato | Exemplo |
---|---|
sso.appservice.<região>.<Nome de domínio>.<Extensão> | sso.appservice.redmond.azurestack.external |
Validar certificados
Antes de implantar o provedor de recursos do Serviço de Aplicativo, você deve validar os certificados a serem usados usando a ferramenta Verificador de Preparação do Hub de Pilha do Azure disponível na Galeria do PowerShell. A Ferramenta Verificador de Preparação do Hub de Pilha do Azure valida se os certificados PKI gerados são adequados para a implantação do Serviço de Aplicativo.
Como prática recomendada, ao trabalhar com qualquer um dos certificados PKI do Azure Stack Hub necessários , você deve planejar tempo suficiente para testar e reemitir certificados, se necessário.
Preparar o servidor de arquivos
O Serviço de Aplicativo do Azure requer o uso de um servidor de arquivos. Para implantações de produção, o servidor de arquivos deve ser configurado para ser altamente disponível e capaz de lidar com falhas.
Modelo de início rápido para servidor de arquivos altamente disponível e SQL Server
Agora está disponível um modelo de início rápido de arquitetura de referência que implantará um servidor de arquivos e o SQL Server. Este modelo dá suporte à infraestrutura do Ative Directory em uma rede virtual configurada para dar suporte a uma implantação altamente disponível do Serviço de Aplicativo do Azure no Azure Stack Hub.
Importante
Este modelo é oferecido como uma referência ou exemplo de como você pode implantar os pré-requisitos. Como o Operador do Hub de Pilha do Azure gerencia esses servidores, especialmente em ambientes de produção, você deve configurar o modelo conforme necessário ou exigido pela sua organização.
Nota
A instância do sistema integrado deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Etapas para implantar um servidor de arquivos personalizado
Importante
Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o servidor de arquivos deverá ser implantado em uma Sub-rede separada do Serviço de Aplicativo.
Nota
Se você tiver optado por implantar um servidor de arquivos usando um dos modelos de início rápido mencionados acima, poderá ignorar esta seção, pois os servidores de arquivos são configurados como parte da implantação do modelo.
Aprovisionar grupos e contas no Active Directory
Crie os seguintes grupos de segurança global do Ative Directory:
- FileShareOwners
- FileShareUsers
Crie as seguintes contas do Ative Directory como contas de serviço:
- FileShareOwner
- FileShareUser
Como prática recomendada de segurança, os usuários dessas contas (e de todas as funções Web) devem ser exclusivos e ter nomes de usuário e senhas fortes. Defina as senhas com as seguintes condições:
- Ativar senha nunca expira.
- Ativar O usuário não pode alterar a senha.
- Desativar O usuário deve alterar a senha no próximo logon.
Adicione as contas às associações de grupo da seguinte maneira:
- Adicione FileShareOwner ao grupo FileShareOwners .
- Adicione FileShareUser ao grupo FileShareUsers .
Provisionar grupos e contas em um grupo de trabalho
Nota
Quando estiver a configurar um servidor de ficheiros, execute todos os comandos seguintes a partir de uma Linha de Comandos do Administrador.
Não use o PowerShell.
Quando você usa o modelo do Azure Resource Manager, os usuários já estão criados.
Execute os comandos a seguir para criar as contas FileShareOwner e FileShareUser. Substitua
<password>
pelos seus próprios valores.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Defina as senhas das contas para nunca expirarem executando os seguintes comandos WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Crie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Provisionar o compartilhamento de conteúdo
O compartilhamento de conteúdo contém conteúdo do site do locatário. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Ative Directory e de grupo de trabalho. Mas é diferente para um cluster de failover no Ative Directory.
Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (Ative Directory ou grupo de trabalho)
Em um único servidor de arquivos, execute os seguintes comandos em um prompt de comando elevado. Substitua o valor for C:\WebSites
pelos caminhos correspondentes em seu ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurar o controlo de acesso às partilhas de ficheiros
Execute os comandos a seguir em um prompt de comando elevado no servidor de arquivos ou no nó do cluster de failover, que é o proprietário atual do recurso de cluster. Substitua valores em itálico por valores específicos do seu ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupo de Trabalho
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Preparar a instância do SQL Server
Nota
Se você optou por implantar o modelo de início rápido para Servidor de Arquivos Altamente Disponível e SQL Server, poderá ignorar esta seção à medida que o modelo implanta e configura o SQL Server em uma configuração de HA.
Para o Serviço de Aplicativo do Azure no Hub de Stack do Azure hospedando e medindo bancos de dados, você deve preparar uma instância do SQL Server para armazenar os bancos de dados do Serviço de Aplicativo.
Para fins de produção e alta disponibilidade, você deve usar uma versão completa do SQL Server 2014 SP2 ou posterior, habilitar a autenticação de modo misto e implantar em uma configuração altamente disponível.
A instância do SQL Server para o Serviço de Aplicativo do Azure no Hub de Pilha do Azure deve estar acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server dentro da Assinatura de Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se estiver a utilizar uma imagem do Azure Marketplace, lembre-se de configurar a firewall em conformidade.
Nota
Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da extensão IaaS SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos correspondentes do portal fornecem recursos como patches automáticos e recursos de backup.
Para qualquer uma das funções do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, certifique-se de iniciar manualmente o serviço Navegador do SQL Server e abrir a porta 1434.
O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificados e configuração do servidor (ASDK)
Esta seção lista os pré-requisitos para implantações ASDK.
Certificados necessários para a implantação ASDK do Serviço de Aplicativo do Azure
O script Create-AppServiceCerts.ps1 funciona com a autoridade de certificação do Azure Stack Hub para criar os quatro certificados de que o Serviço de Aplicativo precisa.
Nome de ficheiro | Utilizar |
---|---|
_.appservice.local.azurestack.external.pfx | Certificado SSL padrão do Serviço de Aplicativo |
api.appservice.local.azurestack.external.pfx | Certificado SSL da API do Serviço de Aplicativo |
ftp.appservice.local.azurestack.external.pfx | Certificado SSL do editor do Serviço de Aplicativo |
sso.appservice.local.azurestack.external.pfx | Certificado de aplicativo de identidade do Serviço de Aplicativo |
Para criar os certificados, siga estes passos:
- Entre no host ASDK usando a conta AzureStack\AzureStackAdmin.
- Abra uma sessão do PowerShell com privilégios elevados.
- Execute o script Create-AppServiceCerts.ps1 da pasta onde você extraiu os scripts auxiliares. Esse script cria quatro certificados na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.
- Digite uma senha para proteger os arquivos .pfx e anote isso. Você deve inseri-lo mais tarde, no Serviço de Aplicativo no instalador do Azure Stack Hub.
Parâmetros de script Create-AppServiceCerts.ps1
Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
---|---|---|---|
pfxPassword | Necessário | Nulo | Senha que ajuda a proteger a chave privada do certificado |
DomainName | Necessário | local.azurestack.external | Região do Azure Stack Hub e sufixo de domínio |
Modelo de início rápido para servidor de arquivos para implantações do Serviço de Aplicativo do Azure em ASDK.
Somente para implantações ASDK, você pode usar o exemplo de modelo de implantação do Azure Resource Manager para implantar um servidor de arquivos de nó único configurado. O servidor de arquivos de nó único estará em um grupo de trabalho.
Nota
A instância ASDK deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Instância do SQL Server
Para o Serviço de Aplicativo do Azure no Hub de Stack do Azure hospedando e medindo bancos de dados, você deve preparar uma instância do SQL Server para armazenar os bancos de dados do Serviço de Aplicativo.
Para implantações ASDK, você pode usar o SQL Server Express 2014 SP2 ou posterior. O SQL Server deve ser configurado para dar suporte à autenticação de Modo Misto porque o Serviço de Aplicativo no Azure Stack Hub NÃO dá suporte à Autenticação do Windows.
A instância do SQL Server para o Serviço de Aplicativo do Azure no Hub de Pilha do Azure deve estar acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server dentro da Assinatura de Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se estiver a utilizar uma imagem do Azure Marketplace, lembre-se de configurar a firewall em conformidade.
Nota
Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da extensão IaaS SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos correspondentes do portal fornecem recursos como patches automáticos e recursos de backup.
Para qualquer uma das funções do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, certifique-se de iniciar manualmente o serviço Navegador do SQL Server e abrir a porta 1434.
O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Preocupações de licenciamento para o servidor de ficheiros necessário e o SQL Server
O Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e o SQL Server para operar. Você é livre para usar recursos pré-existentes localizados fora de sua implantação do Azure Stack Hub ou implantar recursos dentro de sua Assinatura de Provedor Padrão do Azure Stack Hub.
Se você optar por implantar os recursos em sua Assinatura de Provedor Padrão do Azure Stack Hub, as licenças para esses recursos (Licenças do Windows Server e Licenças do SQL Server) serão incluídas no custo do Serviço de Aplicativo do Azure no Azure Stack Hub, sujeitas às seguintes restrições:
- a infraestrutura é implantada na Assinatura de Provedor Padrão;
- a infraestrutura é usada exclusivamente pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub. Nenhuma outra carga de trabalho, administrativa (outros provedores de recursos, por exemplo: SQL-RP) ou locatária (por exemplo: aplicativos de locatário, que exigem um banco de dados), tem permissão para fazer uso dessa infraestrutura.
Responsabilidade operacional dos servidores file e sql
Os operadores de nuvem são responsáveis pela manutenção e operação do Servidor de Arquivos e do SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados do Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.
Recuperar o certificado raiz do Azure Resource Manager para o Azure Stack Hub
Abra uma sessão elevada do PowerShell em um computador que possa alcançar o ponto de extremidade privilegiado no Sistema Integrado do Hub de Pilha do Azure ou no Host ASDK.
Execute o script Get-AzureStackRootCert.ps1 da pasta onde você extraiu os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.
Ao executar o seguinte comando do PowerShell, você precisa fornecer o ponto de extremidade privilegiado e as credenciais para o AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parâmetros de script Get-AzureStackRootCert.ps1
Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
---|---|---|---|
PrivilegedEndpoint | Necessário | AzS-ERCS01 | Ponto de extremidade privilegiado |
CloudAdminCredential | Necessário | AzureStack\CloudAdmin | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub |
Configuração de rede e identidade
Rede virtual
Nota
A pré-criação de uma rede virtual personalizada é opcional, pois o Serviço de Aplicativo do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas precisará se comunicar com o SQL e o Servidor de Arquivos por meio de endereços IP públicos. Se você usar o Servidor de Arquivos HA do Serviço de Aplicativo e o modelo de Início Rápido do SQL Server para implantar os recursos de pré-requisito do SQL e do Servidor de Arquivos, o modelo também implantará uma rede virtual.
O Serviço de Aplicativo do Azure no Hub de Pilha do Azure permite implantar o provedor de recursos em uma rede virtual existente ou permite criar uma rede virtual como parte da implantação. O uso de uma rede virtual existente permite o uso de IPs internos para se conectar ao servidor de arquivos e ao SQL Server exigido pelo Serviço de Aplicativo do Azure no Azure Stack Hub. A rede virtual deve ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar o Serviço de Aplicativo do Azure no Azure Stack Hub:
Rede virtual - /16
Sub-redes
- ControladoresSub-rede /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- TrabalhadoresSubnet /21
Importante
Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o SQL Server deverá ser implantado em uma Sub-rede separada do Serviço de Aplicativo e do Servidor de Arquivos.
Criar um aplicativo de identidade para habilitar cenários de SSO
O Serviço de Aplicativo do Azure usa um Aplicativo de Identidade (Entidade de Serviço) para dar suporte às seguintes operações:
- A integração do conjunto de dimensionamento da máquina virtual em camadas de trabalho.
- SSO para o portal Azure Functions e ferramentas avançadas de desenvolvedor (Kudu).
Dependendo de qual provedor de identidade o Azure Stack Hub está usando, Microsoft Entra ID ou Ative Directory Federation Services (ADFS), você deve seguir as etapas apropriadas abaixo para criar a entidade de serviço para uso pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub.
Criar um aplicativo Microsoft Entra
Siga estas etapas para criar a entidade de serviço em seu locatário do Microsoft Entra:
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
- Instale o PowerShell para Azure Stack Hub.
- Execute o script Create-AADIdentityApp.ps1 . Quando lhe for pedido, introduza o ID de inquilino do Microsoft Entra que está a utilizar para a implementação do Azure Stack Hub. Por exemplo, digite myazurestack.onmicrosoft.com.
- Na janela Credencial, insira sua conta e senha de administrador do serviço Microsoft Entra. Selecione OK.
- Insira o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
- Anote a ID do aplicativo retornada na saída do PowerShell. Você usa a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.
- Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço Microsoft Entra.
- Abra o serviço Microsoft Entra.
- Selecione Registros de aplicativos no painel esquerdo.
- Procure o ID do aplicativo que você anotou na etapa 7.
- Selecione o registro do aplicativo do Serviço de Aplicativo na lista.
- Selecione Permissões de API no painel esquerdo.
- Selecione Conceder consentimento de administrador para <locatário>, onde <locatário> é o nome do locatário do Microsoft Entra. Confirme a concessão de consentimento selecionando Sim.
Create-AADIdentityApp.ps1
Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
---|---|---|---|
DirectoryTenantName | Necessário | Nulo | ID de locatário do Microsoft Entra. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Necessário | Nulo | Administrador do ponto de extremidade do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external. |
InquilinoARMEndpoint | Necessário | Nulo | Ponto de extremidade do Azure Resource Manager do locatário. Um exemplo é management.local.azurestack.external. |
AzureStackAdminCredential | Necessário | Nulo | Credencial de administrador do serviço Microsoft Entra. |
CertificateFilePath | Necessário | Nulo | Caminho completo para o arquivo de certificado de aplicativo de identidade gerado anteriormente. |
CertificatePassword | Necessário | Nulo | Senha que ajuda a proteger a chave privada do certificado. |
Environment | Opcional | AzureCloud | O nome do Ambiente de Nuvem suportado no qual o Serviço de Gráfico do Azure Ative Directory de destino está disponível. Valores permitidos: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Criar um aplicativo ADFS
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
- Instale o PowerShell para Azure Stack Hub.
- Execute o script Create-ADFSIdentityApp.ps1 .
- Na janela Credencial, introduza a sua conta de administrador na nuvem e palavra-passe do AD FS. Selecione OK.
- Forneça o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
---|---|---|---|
AdminArmEndpoint | Necessário | Nulo | Administrador do ponto de extremidade do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Necessário | Nulo | Ponto de extremidade privilegiado. Um exemplo é o AzS-ERCS01. |
CloudAdminCredential | Necessário | Nulo | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin. |
CertificateFilePath | Necessário | Nulo | Caminho completo para o arquivo PFX de certificado do aplicativo de identidade. |
CertificatePassword | Necessário | Nulo | Senha que ajuda a proteger a chave privada do certificado. |
Baixar itens do Azure Marketplace
O Serviço de Aplicativo do Azure no Azure Stack Hub exige que os itens sejam baixados do Azure Marketplace, tornando-os disponíveis no Azure Stack Hub Marketplace. Esses itens devem ser baixados antes de iniciar a implantação ou atualização do Serviço de Aplicativo do Azure no Azure Stack Hub:
Importante
O Windows Server Core não é uma imagem de plataforma com suporte para uso com o Serviço de Aplicativo do Azure no Azure Stack Hub.
Não use imagens de avaliação para implantações de produção.
- A versão mais recente da imagem de VM do Windows Server 2022 Datacenter.
Imagem de VM completa do Windows Server 2022 Datacenter com Microsoft.Net 3.5.1 SP1 ativado. O Serviço de Aplicativo do Azure no Azure Stack Hub requer que o Microsoft .NET 3.5.1 SP1 esteja ativado na imagem usada para implantação. As imagens do Windows Server 2022 distribuídas pelo marketplace não têm esse recurso habilitado e, em ambientes desconectados, não conseguem acessar o Microsoft Update para baixar os pacotes a serem instalados via DISM. Portanto, você deve criar e usar uma imagem do Windows Server 2022 com esse recurso pré-habilitado com implantações desconectadas.
Consulte Adicionar uma imagem de VM personalizada ao Azure Stack Hub para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace. Certifique-se de especificar as seguintes propriedades ao adicionar a imagem ao Marketplace:
- Publisher = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Versão = Especifique a versão "mais recente"
- Extensão de script personalizada v1.9.1 ou superior. Este item é uma extensão VM.