Предварительные требования для развертывания Службы приложений в Azure Stack Hub
Внимание
При необходимости обновите Azure Stack Hub до поддерживаемой версии (или разверните последний пакет средств разработки Azure Stack) перед развертыванием или обновлением поставщика ресурсов Служба приложений (RP). Обязательно прочитайте заметки о выпуске RP, чтобы узнать о новых функциональных возможностях, исправлениях и любых известных проблемах, которые могут повлиять на развертывание.
Поддерживаемая минимальная версия Azure Stack Hub версия RP Служба приложений 2311 и позже установщика 24R1 ( заметки о выпуске )
Перед развертыванием Службы приложений Azure в Azure Stack Hub необходимо выполнить предварительные действия, описанные в этой статье.
Необходимые условия
В этом разделе перечислены предварительные требования для развертывания интегрированных систем и Пакета средств разработки Azure Stack (ASDK).
Предварительные требования для поставщика ресурсов
Если вы уже установили поставщик ресурсов, вы, вероятно, выполнили указанные далее предварительные требования и можете пропустить этот раздел. В противном случае выполните следующие действия, прежде чем продолжить:
Зарегистрируйте экземпляр Azure Stack Hub в Azure, если вы еще этого не сделали. Этот шаг необходим, так как вы будете скачивать элементы в marketplace из Azure и подключаться к ним.
Если вам не знакома возможность Marketplace Management (Управление Marketplace) на портале администрирования Azure Stack Hub, ознакомьтесь со статьей Скачивание элементов marketplace из Azure и их публикация в Azure Stack Hub. В этой статье описывается скачивание элементов из Azure в Azure Stack Hub marketplace. В ней рассматриваются сценарии с подключением к Интернету и без него. Если экземпляр концентратора Azure Stack Hub не подключен или частично подключен к Интернету, существуют дополнительные предварительные требования для завершения подготовки к установке.
Обновите домашний каталог Microsoft Entra. Начиная с сборки 1910, новое приложение должно быть зарегистрировано в клиенте домашнего каталога. Это приложение позволит Azure Stack Hub успешно создавать и регистрировать новые поставщики ресурсов (например, Центры событий и другие) в клиенте Microsoft Entra. Это однократное действие, которое необходимо выполнить после обновления до сборки 1910 или более поздней версии. Если этот шаг не завершен, установка поставщика ресурсов Marketplace завершится ошибкой.
- После успешного обновления экземпляра Azure Stack Hub до версии 1910 или более поздней следуйте инструкциям по клонированию или скачиванию репозитория средств Azure Stack Hub.
- Затем следуйте инструкциям по обновлению домашнего каталога Microsoft Stack Hub Microsoft Stack Hub (после установки обновлений или новых поставщиков ресурсов).
Скачивание установочного и вспомогательного скриптов
Скачайте Службу приложений Azure для вспомогательных скриптов развертывания Azure Stack Hub.
Примечание.
Вспомогательные сценарии развертывания требуют модуля AzureRM PowerShell. Дополнительные сведения об установке см. в модуле PowerShell AzureRM для Azure Stack Hub .
Скачайте установщик Службы приложений Azure в Azure Stack Hub.
Извлеките файлы из ZIP-файла вспомогательных скриптов. Должны быть извлечены следующие файлы и папки:
- Common.ps1;
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1;
- BCDR
- ReACL.cmd
- Папка модулей
- GraphAPI.psm1
Сертификаты и конфигурация сервера (интегрированные системы)
В этом разделе перечислены предварительные требования для развертывания интегрированных систем.
Требования к сертификатам
Для работы поставщика ресурсов в рабочей среде необходимо предоставить следующие сертификаты:
- Сертификат домена по умолчанию
- Сертификат API
- Сертификат для публикации
- Сертификат удостоверения
Помимо конкретных требований, перечисленных в следующих разделах, вы также будете использовать средство позже для тестирования общих требований. См. статью "Проверка PKI-сертификатов Azure Stack Hub" для полного списка проверок, в том числе:
- Формат файла . PFX
- Использование ключа, заданное для проверки подлинности сервера и клиента
- и несколько других
Сертификат домена по умолчанию
Сертификат домена по умолчанию размещается в роли внешнего интерфейса. Он используется пользовательскими приложениями для групповых запросов или запросов домена по умолчанию к Службе приложений Azure. Сертификат также применяется для операций системы управления версиями (Kudu).
Сертификат должен иметь формат PFX и должен быть групповым сертификатом трех субъектов. Это требование позволяет использовать один сертификат для домена по умолчанию и конечной точки SCM для операций управления версиями.
Форматировать | Пример |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Сертификат API
Сертификат API помещается в роль управления. Он используется поставщиком ресурсов для защиты вызовов API. Сертификат для публикации должен содержать субъект, соответствующий записи API DNS.
Форматировать | Пример |
---|---|
api.appservice.<регион>.<доменное_имя>.<расширение> | api.appservice.redmond.azurestack.external |
Сертификат для публикации
Сертификат для роли издателя защищает трафик FTPS для владельцев приложений при загрузке содержимого. Сертификат для публикации должен содержать субъект, соответствующий записи FTPS DNS.
Форматировать | Пример |
---|---|
ftp.appservice.<регион>.<имя домена>.<расширение> | ftp.appservice.redmond.azurestack.external |
Сертификат удостоверения
Сертификат для приложения удостоверения позволяет поддерживает следующие возможности:
- Интеграция между каталогом Microsoft Entra ID или службы федерации Active Directory (AD FS) (AD FS), Azure Stack Hub и Служба приложений для поддержки интеграции с поставщиком вычислительных ресурсов.
- сценарии единого входа для расширенных средств разработки в Службе приложений Azure в Azure Stack Hub.
Сертификат для идентификации должен содержать субъект, соответствующий приведенному ниже формату.
Форматировать | Пример |
---|---|
sso.appservice.<регион>.<имя домена>.<расширение> | sso.appservice.redmond.azurestack.external |
Проверка сертификатов
Прежде чем развертывать поставщик ресурсов Службы приложений, проверьте сертификаты, которые будут использоваться, с помощью средства проверки готовности Azure Stack Hub, которое доступно в коллекции PowerShell. Средство проверки готовности Azure Stack Hub проверяет, подходят ли созданные сертификаты PKI для развертывания Службы приложений.
При работе с любым нужным сертификатом Azure Stack Hub PKI следует все спланировать так, чтобы при необходимости у вас осталось время на тестирование и повторную выдачу сертификатов.
Подготовка файлового сервера
Служба приложений Azure требует использования файлового сервера. Для развертываний в рабочей среде файловый сервер должен быть настроен так, чтобы обеспечивать высокую доступность и обрабатывать сбои.
Шаблон быстрого запуска файлового сервера и SQL Server с высоким уровнем доступности
Теперь вам доступен шаблон быстрого запуска эталонной архитектуры для развертывания файлового сервера и SQL Server. Этот шаблон поддерживает инфраструктуру Active Directory в виртуальной сети, настроенную для развертывания Службы приложений Azure в Azure Stack Hub с высоким уровнем доступности.
Внимание
Этот шаблон предлагается в качестве ссылки или примера развертывания необходимых компонентов. Так как оператор Azure Stack Hub управляет этими серверами, особенно в рабочих средах, необходимо настроить шаблон по мере необходимости или необходимости в организации.
Примечание.
Для завершения развертывания экземпляр интегрированной системы должен иметь возможность скачивать ресурсы из GitHub.
Инструкции по развертыванию пользовательского файлового сервера
Внимание
Чтобы развернуть Службу приложений в существующей виртуальной сети, файловый сервер необходимо развернуть в отдельной подсети.
Примечание.
Если вы решили развернуть файловый сервер, используя один из упомянутых выше шаблонов быстрого запуска, этот раздел можно пропустить, так как файловые серверы настроены как часть развертывания шаблона.
Подготовка групп и учетных записей в Active Directory
Создайте следующие группы глобальной безопасности Active Directory:
- FileShareOwners
- FileShareUsers
Создайте следующие учетные записи Active Directory в качестве учетных записей службы:
- FileShareOwner
- FileShareUser
Из соображений безопасности пользователи этих учетных записей (и всех веб-ролей) должны быть уникальными и иметь надежные имена пользователей и пароли. Задайте пароли со следующими условиями:
- Включите параметр Срок действия пароля не ограничен.
- Включите параметр Запретить смену пароля пользователем.
- Отключите параметр Требовать смены пароля при следующем входе в систему.
Добавьте учетные записи в группы следующим образом:
- Добавьте FileShareOwner в группу FileShareOwners.
- Добавьте FileShareUser в группу FileShareUsers.
Подготовка групп и учетных записей в рабочей группе
Примечание.
При настройке файлового сервера выполните все указанные ниже команды в окне командной строки с правами администратора.
Не используйте PowerShell.
Если вы используете указанный выше шаблон Azure Resource Manager, пользователи уже созданы.
Выполните следующие команды, чтобы создать учетные записи FileShareOwner и FileShareUser. Замените
<password>
собственными значениями.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Задайте неограниченный срок действия паролей для учетных записей, выполнив следующие команды WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Создайте локальные группы FileShareUsers и FileShareOwners и добавьте в них учетные записи из первого шага:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Подготовка общей папки содержимого
В общей папке содержимого размещается содержимое веб-сайта клиента. Процедура подготовки общей папки содержимого на одном файловом сервере одинакова для сред Active Directory и рабочей группы. Однако для отказоустойчивого кластера в Active Directory эта процедура отличается.
Подготовка общей папки содержимого на одном файловом сервере (Active Directory или рабочей группы)
На одном файловом сервере выполните следующие команды в командной строке с повышенными привилегиями. Замените значение C:\WebSites
соответствующими путями в своей среде.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Настройка управления доступом к общим папкам
Выполните указанные ниже команды в командной строке с повышенными привилегиями на файловом сервере или на узле отказоустойчивого кластера, который является текущим владельцем кластерного ресурса. Замените значения, выделенные курсивом, значениями для конкретной среды.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Рабочая группа
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Подготовка экземпляра SQL Server
Примечание.
Чтобы развернуть файловый сервер и SQL Server с высоким уровнем доступности, используя шаблон быстрого запуска, этот раздел можно пропустить, так как шаблон развертывает и настраивает SQL Server в конфигурации, обеспечивающей высокую доступность.
Для службы приложений Azure в базах данных размещения и измерений Azure Stack Hub необходимо подготовить экземпляр SQL Server, чтобы разместить базы данных Службы приложений.
Для рабочих сред и с целью обеспечения высокого уровня доступности следует использовать полную версию SQL Server 2014 с пакетом обновления 2 (SP2) или более поздней версии, включить аутентификацию в смешанном режиме и выполнить развертывание в конфигурации, обеспечивающей высокий уровень доступности.
Экземпляр SQL Server для Службы приложений Azure в Azure Stack Hub должен быть доступен для всех ролей Службы приложений. Вы можете развернуть SQL Server в стандартной подписке поставщика в Azure Stack Hub. Также можно использовать существующую корпоративную инфраструктуру в (при наличии подключения к Azure Stack Hub). Если вы используете образ Azure Marketplace, не забудьте соответствующим образом настроить брандмауэр.
Примечание.
Через функцию управления Marketplace доступен ряд образов виртуальной машины SQL IaaS. Перед развертыванием виртуальной машины, используя элемент marketplace, всегда скачивайте последнюю версию расширения SQL IaaS. Образы SQL совпадают с виртуальными машинами SQL, которые доступны в Azure. Для виртуальных машин SQL, созданных на основе этих образов, расширение IaaS и соответствующие усовершенствования портала предоставляют функции, такие как автоматическая установка исправлений и резервное копирование.
Для любой роли SQL Server можно использовать экземпляр по умолчанию или именованный экземпляр. Если используется именованный экземпляр, вручную запустите службу обозревателя SQL Server и откройте порт 1434.
Установщик Службы приложений выполнит проверку на наличие автономности базы данных в SQL Server. Чтобы включить автономность базы данных в SQL Server, где будут размещаться базы данных Службы приложений, выполните следующие команды SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Сертификаты и конфигурация сервера (ASDK)
В этом разделе перечислены предварительные требования для ASDK.
Сертификаты, необходимых для развертывания Службы приложений Azure с помощью ASDK
Скрипт Create-AppServiceCerts.ps1 обращается к центру сертификации Azure Stack Hub для создания четырех сертификатов, необходимых для работы Службы приложений.
Имя файла | Использование |
---|---|
_.appservice.local.azurestack.external.pfx | Пароль SSL-сертификата по умолчанию для Службы |
api.appservice.local.azurestack.external.pfx | SSL-сертификат API службы приложений |
ftp.appservice.local.azurestack.external.pfx | SSL-сертификат издателя службы приложений |
sso.appservice.local.azurestack.external.pfx | Сертификат приложения для удостоверения службы приложений |
Чтобы создать сертификаты, выполните указанные ниже действия.
- Войдите на узел ASDK, используя учетную запись AzureStack\AzureStackAdmin.
- Откройте сеанс PowerShell с повышенными привилегиями.
- Выполните скрипт Create-AppServiceCerts.ps1 из папки, в которую были извлечены вспомогательные скрипты. Этот скрипт создает четыре сертификата в той же папке, где расположен скрипт, который требуется Службе приложений для создания сертификатов.
- Введите пароль для защиты PFX-файлов и запишите его. Вам нужно будет ввести его в программе установки Службы приложений в Azure Stack Hub.
Параметры скрипта Create-AppServiceCerts.ps1
Параметр | Обязательно или необязательно | Значение по умолчанию | Description |
---|---|---|---|
pfxPassword | Обязательное поле | Null | Пароль, который помогает защитить закрытый ключ сертификата |
DomainName | Обязательное поле | local.azurestack.external | Регион и суффикс домена для Azure Stack Hub. |
Шаблон быстрого запуска файлового сервера для развертываний Службы приложений Azure на базе ASDK.
Этот пример шаблона развертывания Azure Resource Manager для развертывания настроенного файлового сервера на одном узле можно использовать только для развертываний ASDK. В рабочей группе будет файловый сервер с одним узлом.
Примечание.
Для завершения развертывания экземпляр ASDK должен иметь возможность скачивать ресурсы из GitHub.
Экземпляр SQL Server
Для службы приложений Azure в базах данных размещения и измерений Azure Stack Hub необходимо подготовить экземпляр SQL Server, чтобы разместить базы данных Службы приложений.
Чтобы развернуть ASDK, можно использовать SQL Server Express 2014 с пакетом обновления 2 (SP2) или более поздней версии. SQL Server должен поддерживать смешанный режим проверки подлинности, так как Служба приложений в Azure Stack Hub НЕ ПОДДЕРЖИВАЕТ проверку подлинности Windows.
Экземпляр SQL Server для Службы приложений Azure в Azure Stack Hub должен быть доступен для всех ролей Службы приложений. Вы можете развернуть SQL Server в стандартной подписке поставщика в Azure Stack Hub. Также можно использовать существующую корпоративную инфраструктуру в (при наличии подключения к Azure Stack Hub). Если вы используете образ Azure Marketplace, не забудьте соответствующим образом настроить брандмауэр.
Примечание.
Через функцию управления Marketplace доступен ряд образов виртуальной машины SQL IaaS. Перед развертыванием виртуальной машины, используя элемент marketplace, всегда скачивайте последнюю версию расширения SQL IaaS. Образы SQL совпадают с виртуальными машинами SQL, которые доступны в Azure. Для виртуальных машин SQL, созданных на основе этих образов, расширение IaaS и соответствующие усовершенствования портала предоставляют функции, такие как автоматическая установка исправлений и резервное копирование.
Для любой роли SQL Server можно использовать экземпляр по умолчанию или именованный экземпляр. Если используется именованный экземпляр, вручную запустите службу обозревателя SQL Server и откройте порт 1434.
Установщик Службы приложений выполнит проверку на наличие автономности базы данных в SQL Server. Чтобы включить автономность базы данных в SQL Server, где будут размещаться базы данных Службы приложений, выполните следующие команды SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Вопросы лицензирования для необходимого файлового сервера и SQL Server
Для работы Службы приложений Azure в Azure Stack Hub требуются файловый сервер и SQL Server. Вы можете свободно использовать доступные ресурсы, расположенные за пределами развертывания Azure Stack Hub, или развернуть ресурсы в рамках подписки поставщика Azure Stack Hub по умолчанию.
Если вы хотите развернуть ресурсы в подписке поставщика Azure Stack Hub по умолчанию, плата за лицензии на эти ресурсы (лицензии Windows Server и SQL Server) будет включена в плату за использование Службы приложений Azure в Azure Stack Hub при условии соблюдения следующих ограничений:
- Инфраструктура развернута в подписке поставщика по умолчанию.
- Инфраструктура используется исключительно поставщиком ресурсов Службы приложений Azure в Azure Stack Hub. Другие рабочие нагрузки, административные (другие поставщики ресурсов, например SQL-RP) или клиент (например, клиентские приложения, требующие базы данных), не могут использовать эту инфраструктуру.
Ответственность за работу файловых серверов и серверов SQL
Операторы облака отвечают за обслуживание и работу файлового сервера и сервера SQL Server. Поставщик ресурсов не управляет этими ресурсами. Оператор облака отвечает за резервное копирование баз данных Службы приложений и общей папки содержимого арендатора.
Получение корневого сертификата Azure Resource Manager для Azure Stack Hub
Откройте сеанс PowerShell с повышенными привилегиями на компьютере с доступом к привилегированной конечной точке в интегрированной системе Azure Stack Hub или на узле ASDK.
Выполните скрипт Get-AzureStackRootCert.ps1 из папки, в которую были извлечены вспомогательные скрипты. Сценарий создает корневой сертификат в той же папке, где расположен сценарий, используемый службой приложений при создании сценариев.
При выполнении приведенной ниже команды PowerShell необходимо указать привилегированную конечную точку и учетные данные для AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Параметры скрипта Get-AzureStackRootCert.ps1
Параметр | Обязательно или необязательно | Значение по умолчанию | Description |
---|---|---|---|
PrivilegedEndpoint | Обязательное поле | AzS-ERCS01 | Привилегированная конечная точка |
CloudAdminCredential | Обязательное поле | AzureStack\CloudAdmin | Учетные данные домена администратора облака Azure Stack Hub. |
Конфигурация сети и удостоверения
Виртуальная сеть
Примечание.
Предварительно создавать пользовательскую виртуальную сеть не обязательно, так как Служба приложений Azure в Azure Stack Hub может создать необходимую виртуальную сеть, но для этого ей нужно обмениваться данными с SQL Server и файловым сервером через общедоступные IP-адреса. Если вы используете шаблон быстрого запуска файлового сервера с высоким уровнем доступности Службы приложений и SQL Server для развертывания необходимых ресурсов SQL и файлового сервера, шаблон также развернет виртуальную сеть.
Служба приложений Azure в Azure Stack Hub позволяет развертывать поставщик ресурсов в существующей виртуальной сети или создавать виртуальную сеть в ходе развертывания. Использование существующей виртуальной сети позволяет Службе приложений Azure в Azure Stack Hub подключаться к файловому серверу и SQL Server через внутренние IP-адреса. Прежде чем устанавливать в виртуальной сети Службу приложений Azure в Azure Stack Hub, следует настроить следующий диапазон адресов и подсети:
Виртуальная сеть /16
подсети;
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Внимание
Чтобы развернуть Службу приложений в существующей виртуальной сети, SQL Server нужно развернуть в отдельной подсети.
Создание приложения удостоверений для включения сценариев единого входа
Служба приложений Azure использует приложение удостоверений (субъект-службу) для поддержки следующих операций:
- интеграция масштабируемых наборов виртуальных машин на уровнях рабочих ролей;
- единый вход для портала решения "Функции Azure" и расширенные средства разработчика (Kudu).
В зависимости от того, какой поставщик удостоверений использует Azure Stack Hub, идентификатор Microsoft Entra или службы федерации Active Directory (AD FS) (ADFS), необходимо выполнить следующие действия, чтобы создать субъект-службу для использования службой приложение Azure в поставщике ресурсов Azure Stack Hub.
Создание приложения Microsoft Entra
Выполните следующие действия, чтобы создать субъект-службу в клиенте Microsoft Entra:
- Откройте экземпляр PowerShell с правами azurestack\AzureStackAdmin.
- Перейдите к расположению скриптов, скачанных и извлеченных на этапе подготовки.
- Установка PowerShell для Azure Stack Hub.
- Запустите скрипт Create-AADIdentityApp.ps1. При появлении запроса введите идентификатор клиента Microsoft Entra, который вы используете для развертывания Azure Stack Hub. Например, введите myazurestack.onmicrosoft.com.
- В окне учетных данных введите учетную запись администратора службы Microsoft Entra и пароль. Нажмите ОК.
- Введите путь к файлу сертификата и пароль для сертификата, созданного ранее. Для этого шага по умолчанию создается сертификат sso.appservice.local.azurestack.external.pfx.
- Запишите идентификатор приложения, который возвращается в выходных данных PowerShell. Этот идентификатор используется в следующих шагах, чтобы предоставить согласие на разрешения приложения, и во время установки.
- Откройте новое окно браузера и войдите в портал Azure в качестве администратора службы Microsoft Entra.
- Откройте службу Microsoft Entra.
- В области слева щелкните Регистрация приложений.
- Выполните поиск по идентификатору приложения, который вы сохранили на шаге 7.
- Выберите регистрацию приложения службы приложений из списка.
- В области слева щелкните Разрешения API.
- Выберите "Предоставить согласие администратора" для <клиента>, где <клиент> является именем клиента Microsoft Entra. Подтвердите предоставление согласия, щелкнув Да.
Create-AADIdentityApp.ps1
Параметр | Обязательно или необязательно | Значение по умолчанию | Description |
---|---|---|---|
DirectoryTenantName | Обязательное поле | Null | Идентификатор клиента Microsoft Entra. Введите идентификатор GUID или строку. Пример: myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Обязательное поле | Null | Конечная точка Azure Resource Manager администратора. Пример: adminmanagement.local.azurestack.external. |
TenantARMEndpoint | Обязательное поле | Null | Конечная точка Azure Resource Manager клиента. Пример: management.local.azurestack.external. |
AzureStackAdminCredential | Обязательное поле | Null | Учетные данные администратора службы Microsoft Entra. |
CertificateFilePath | Обязательное поле | Null | Полный путь к файлу сертификата приложения идентификации, созданному ранее. |
CertificatePassword | Обязательное поле | Null | Пароль, который помогает защитить закрытый ключ сертификата. |
Среда | Необязательно | AzureCloud | Имя поддерживаемой облачной среды, в которой доступна целевая служба Azure Active Directory Graph. Доступные значения: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
Создание приложения ADFS
- Откройте экземпляр PowerShell с правами azurestack\AzureStackAdmin.
- Перейдите к расположению скриптов, скачанных и извлеченных на этапе подготовки.
- Установка PowerShell для Azure Stack Hub.
- Запустите скрипт Create-ADFSIdentityApp.ps1.
- В окне Учетные данные укажите учетную запись администратора облака AD FS и пароль. Нажмите ОК.
- Предоставьте путь к файлу сертификата и пароль для сертификата, созданного ранее. Для этого шага по умолчанию создается сертификат sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Параметр | Обязательно или необязательно | Значение по умолчанию | Description |
---|---|---|---|
AdminArmEndpoint | Обязательное поле | Null | Конечная точка Azure Resource Manager администратора. Пример: adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Обязательное поле | Null | Привилегированная конечная точка. Пример: AzS-ERCS01. |
CloudAdminCredential | Обязательное поле | Null | Учетные данные домена администратора облака Azure Stack Hub. Пример: Azurestack\CloudAdmin. |
CertificateFilePath | Обязательное поле | Null | Полный путь к PFX-файлу сертификата приложения идентификации. |
CertificatePassword | Обязательное поле | Null | Пароль, который помогает защитить закрытый ключ сертификата. |
Скачивание элементов из Azure Marketplace
Для работы Службы приложений Azure в Azure Stack Hub необходимо скачать элементы из Azure Marketplace, сделав их доступными в Azure Stack Hub Marketplace. До запуска развертывания или обновления Службы приложений Azure в Azure Stack Hub нужно скачать следующие компоненты:
Внимание
Служба приложений Azure в Azure Stack Hub не поддерживает образ платформы Windows Server Core.
Не используйте образы вычисления при развертывании в рабочей среде.
- Последняя версия образа виртуальной машины Центра обработки данных Windows Server 2022.
Образ полной виртуальной машины Центра обработки данных Windows Server 2022 с активированным Microsoft.Net 3.5.1 с пакетом обновления 1 (SP1). Для Службы приложений Azure в Azure Stack Hub требуется, чтобы Microsoft.Net 3.5.1 с пакетом обновления 1 был активирован в образе, который используется для развертывания. Образы Windows Server 2022 с синдикатом Marketplace не включают эту функцию и в отключенных средах не могут получить доступ к Центру обновления Майкрософт, чтобы скачать пакеты для установки с помощью DISM. Поэтому необходимо создать и использовать образ Windows Server 2022 с предварительной поддержкой этой функции с отключенными развертываниями.
См. сведения о том, как создать и добавить пользовательский образ виртуальной машины в Azure Stack Hub Marketplace. При добавлении образа в Marketplace укажите следующие свойства:
- Издатель — MicrosoftWindowsServer.
- Предложение — WindowsServer.
- SKU = AppService
- Версия — укажите последнюю версию.
- Расширение пользовательских скриптов версии 1.9.1 или выше. Этот элемент является расширением виртуальной машины.